我正在尝试通过 openLDAP 从 CentOS 6.2 机器更改 Active Directory(在 Windows 2008 服务器上)。
我尝试过 passwd、ldappasswd,并尝试看看是否可以在不使用 TSL/SSL/SASL 的情况下使用 Samba 完成此操作。这可能吗?
答案1
不,unicodePwd如果连接不安全,属性将拒绝所做的更改。
它对于原始 LDAP 的格式(密码字符串需要为 UTF-16)以及权限执行也非常挑剔。
为了重置密码(在不知道旧密码的情况下更改密码),绑定到 LDAP 的用户需要对目标用户拥有“重置密码”权限。如果您这样做,您必须使用该replace操作。
为了改变密码(知道旧密码和新密码),您不需要以任何特定用户的身份绑定到 LDAP(假设您保留了“更改密码”的默认权限)。但是,您需要在同一操作中发送包含delete正确旧密码的 LDAP 更改以及add包含新密码的类型更改。
查看unicodePwd属性的文档了解更多信息。