passwd / ldappasswd / Sambaを使用してLDAP経由でActiveDirectoryパスワードを変更する
OpenLDAPを介してCentOS6.2マシンからActiveDirectory(Windows 2008サーバー上)を変更しようとしています。
Passwd、ldappasswdを試し、TSL/SSL/SASLを使用せずにSambaでそれを実行できるかどうかを確認しようとしました。これは可能ですか?
いいえ、接続が安全でない場合、unicodePwd属性は行われた変更を拒否します。
また、生のLDAPのフォーマット(パスワード文字列にはUTF-16が必要)や権限の適用についても非常に厄介です。
resettingパスワード(古いパスワードを知らずにパスワードを変更する)の場合、LDAPにバインドされたユーザーは、ターゲットに対する「パスワードのリセット」権限を持っている必要がありますユーザー。これを行う場合は、mustreplace操作を使用する必要があります。
パスワードの変更(新旧を知っている)の場合、特定のユーザーとしてLDAPにバインドする必要はありません( 「パスワードの変更」のデフォルトの権限はそのままにしておきます)。ただし、同じ操作で、正しい古いパスワードを使用したdelete LDAP変更と、新しいパスワードを使用したaddタイプの変更の両方を送信する必要があります。
詳細については、 unicodePwd属性のドキュメント を参照してください。