沒有SSL的Active Directory密碼重置
[英]Active Directory Password reset without SSL
問題描述
我試圖在沒有ssl的情況下重置Active Directory用戶的密碼。 通過此鏈接可以了解在AD中可以禁用ssl的沖動。 但是使用這段代碼:
import javax.naming.*;
import javax.naming.directory.*;
import javax.naming.ldap.*;
import java.util.*;
import java.security.*;
public class ADConnection {
DirContext ldapContext;
String baseName = ",cn=users,DC=fabrikam,DC=com";
String serverIP = "10.1.1.7";
public ADConnection() {
try {
Hashtable ldapEnv = new Hashtable(11);
ldapEnv.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
ldapEnv.put(Context.PROVIDER_URL, "ldap://" + serverIP + ":389");
ldapEnv.put(Context.SECURITY_AUTHENTICATION, "simple");
ldapEnv.put(Context.SECURITY_PRINCIPAL, "cn=administrator" + baseName);
ldapEnv.put(Context.SECURITY_CREDENTIALS, "PA$$w0rd");
ldapContext = new InitialDirContext(ldapEnv);
}
catch (Exception e) {
System.out.println(" bind error: " + e);
e.printStackTrace();
System.exit(-1);
}
}
public void updatePassword(String username, String password) {
try {
String quotedPassword = "\"" + password + "\"";
char unicodePwd[] = quotedPassword.toCharArray();
byte pwdArray[] = new byte[unicodePwd.length * 2];
for (int i=0; i<unicodePwd.length; i++) {
pwdArray[i*2 + 1] = (byte) (unicodePwd[i] >>> 8);
pwdArray[i*2 + 0] = (byte) (unicodePwd[i] & 0xff);
}
ModificationItem[] mods = new ModificationItem[1];
mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,
new BasicAttribute("UnicodePwd", pwdArray));
ldapContext.modifyAttributes("cn=" + username + baseName, mods);
}
catch (Exception e) {
System.out.println("update password error: " + e);
System.exit(-1);
}
}
public static void main(String[] args) {
ADConnection adc = new ADConnection();
adc.updatePassword("Java User2", pass@word3);
}
}
造成:
javax.naming.OperationNotSupported: [LDAP: error code 53 - 00002077: SvcErr: DSID-03190F0A, problem 5003 (WILL_NOT_PERFORM)....
假設我們可以信任Microsoft文檔(密碼可以通過非ssl端口389重置),我懷疑java API並且想要使用套接字與AD建立直接連接並運行reset password命令,實際上正在尋找替代方法javax.naming中。*。 那可能嗎? 有人試過沒有ssl重置AD密碼?
PS:Application Server和AD服務器處於私有安全網絡中,我並不擔心嗅探。
1 個解決方案
解決方案1
0 2017-06-19 08:17:57
Windows不允許在普通ldap上更改Active Directory中的密碼。 它需要具有SSL連接才能更改AD存儲密碼的unicodePwd屬性。
有時您可能會遇到以下異常:
javax.naming.OperationNotSupportedException: [LDAP: error code 53 - 00002077: SvcErr: DSID-03190F4C, problem 5003 (WILL_NOT_PERFORM), data 0 ]
解決方案:使用SSL證書
為了修改此屬性,客戶端必須具有到服務器的128位傳輸層安全性(TLS)/安全套接字層(SSL)連接。 只要滿足最小密鑰長度,使用SSP創建的會話密鑰使用NTLM或Kerberos的加密會話也是可以接受的。
重置密碼時使用ldaptive強制執行Active Directory密碼歷史記錄策略
[英]Enforce Active Directory password history policy using ldaptive on password reset
使用Java連接到LDAP Active Directory,無需用戶名和密碼
[英]Connect to the LDAP Active Directory in Java without username and password
如何在不提示輸入用戶名/密碼的情況下使用 Windows 身份驗證調用 Active Directory?
[英]How can I call Active Directory using Windows Authentication without prompting for username/password?
我可以從LDAP更改自己的Active Directory密碼(沒有管理帳戶)
[英]Can I change myself Active Directory password from LDAP (without administrative account)
是否可以在 LDAP/Active Directory 中驗證用戶的密碼而無需以此用戶身份登錄?
[英]Can I validate a user's password in LDAP/Active Directory without having to log in as this user?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
無法與Active Directory連接以重置密碼
重置密碼時使用ldaptive強制執行Active Directory密碼歷史記錄策略
使用Java連接到LDAP Active Directory,無需用戶名和密碼
如何在不提示輸入用戶名/密碼的情況下使用 Windows 身份驗證調用 Active Directory?
我可以從LDAP更改自己的Active Directory密碼(沒有管理帳戶)
是否可以在 LDAP/Active Directory 中驗證用戶的密碼而無需以此用戶身份登錄?
通過SSL以匿名用戶身份進行Active Directory身份驗證
在 ssl (ldaps) 的支持下連接活動目錄
密碼重置使用UnboundID強制執行目錄策略
使用用戶名和密碼訪問Azure Active Directory
相關標簽