在尝试使用unboundid LDAP SDK更改scala中的密码时,如何解决“WILL_NOT_PERFORM”MS AD回复?
我正在与Active Directory搏斗,试图让它让我更改密码。 我发现了大量有用的信息,但我仍然遇到了持续的错误。
一些代码:
import com.unboundid.ldap.sdk._ import com.unboundid.util.ssl._ def main(args: Array[String]) : Unit = { var sslUtil = new SSLUtil( new TrustAllTrustManager() ) var con = new LDAPConnection(sslUtil.createSSLSocketFactory()) con.connect("ldap.example.net", 636) con.bind("ldapadmin", "adminpasswd") val newPass = "Jfi8ZH8#k".getBytes("UTF-16LE"); val modRequest = new ModifyRequest("dn: cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net", "changetype: modify", "replace: unicodePwd", "unicodePwd: " + '"' + newPass + '"') println("\nGoing to try to set password to " + newPass + " with: " + modRequest.toString()) try { con.modify(modRequest) } catch { case lde:LDAPException => println("failed LDAPException: " + lde.toString()) } } 所以,我把它作为运行时错误:
要尝试将密码设置为[B @ 6dd1627e with:ModifyRequest(dn =’cn = Tester Dude,ou = Lab,ou = Org,ou = Provider,DC = example,DC = net’,mods = {REPLACE unicodePwd} )
LDAPException失败:LDAPException(resultCode = 53(不愿执行),errorMessage =’0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_PERFORM),数据0’,diagnosticMessage =’0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_PERFORM ),数据0’)
因此,我知道的事情可能会导致此错误:
- 不通过SSL连接。 (不是这里的情况,我已经检查过100%确定我使用netstat在端口636上)
- 传递违反Active Directory密码策略的密码。 (我已经测试过手动设置确切密码;它会拒绝短/简单密码,但它接受我在此代码中使用的密码)
我已经尝试过,无论是否有密码附加的引号。
最有用的信息来源是:
http://www.dirmgr.com/blog/2010/8/26/ldap-password-changes-in-active-directory.html
但我已经筋疲力尽了那里的所有建议(还有很多其他的地方)。
我还尝试了其他一些方法,包括为手动添加的其他有效用户设置密码。 (这也是通过sdk添加的。)
其他操作正常。 我删除了不相关的代码,但我能够搜索,打印属性,添加和删除用户没有问题; 但是这个修改请求失败了。 如果我将ModifyRequest设置为更改某些其他属性(例如关联的电子邮件),那么也可以正常工作。
连接不够安全
引用自: http : //support.microsoft.com/kb/269190
要修改此属性,客户端必须具有到服务器的128位安全套接字层(SSL)连接。
因此,即使其他一切看起来正确,如果连接被认为是不安全的,您仍可能得到一个SvcErr: DSID-03190F4C, problem 5003 (WILL_NOT_PERFORM) 。
缺乏管理权限
如果尝试在没有足够权限的情况下进行replace则修改请求可能会失败。
dn: CN=johndoe,OU=Users,DC=example,DC=com changetype: modify replace: unicodePwd unicodePwd:: base64(utf16le(quoted(password))) -
在这种情况下SecErr: DSID-03150E47, problem 4003 (INSUFF_ACCESS_RIGHTS)您将获得SecErr: DSID-03150E47, problem 4003 (INSUFF_ACCESS_RIGHTS) 。 如果您尝试使用非特权帐户bind ,则会发生这种情况。
密码历史
一些管理员喜欢拥有长密码历史记录(例如,保存了最后24个密码)。 如果您使用历史记录中已有的旧密码,您将获得CONSTRAINT_ATT_TYPE 。
普通用户
-
保护连接
-
使用
delete–add组合。
例如
dn: CN=johndoe,OU=Users,DC=example,DC=com changetype: modify delete: unicodePwd unicodePwd:: base64(utf16le(quoted(old password))) - add: unicodePwd unicodePwd:: base64(utf16le(quoted(new password))) -
事实certificate它必须是UTF-16LE编码,然后转换为base64。
val newPass = javax.xml.bind.DatatypeConverter.printBase64Binary(('"'+"Jfi8ZH8#k"+'"').getBytes("UTF-16LE"))
诀窍。
我的猜测是"unicodePwd: " + '"' + newPass + '"'绕过你的编码(因为String必须再次转换为字节,我敢打赌它没有使用正确的编码)。
尝试使用MofifyRequest版本获取Modification对象,然后使用将属性值作为字节的构造函数。
val newPass = "\"Jfi8ZH8#k\"".getBytes("UTF-16LE") // note the dquotes inside the string val mod = new Modification(ModificationType.REPLACE, "unicodePwd", newPass)
就像你链接到的博客文章…
- Java SSO:针对Active Directory的Kerberos身份validation
- 使用JNDI启用Active Directory帐户
- 检测使用Java登录计算机的用户
- 带有Active Directory的JNDI PartialResultException
- 使用LDAP / Java启用Active Directory用户
- 使用Java查找简单的Active Directory信息
- 通过Java执行ADS相关的Powershell命令在使用2种不同方式时不会产生2种不同的错误
- 安全Java SOAP Web服务 – Active Directory身份validation信任
- 如何将Java连接到Active Directory