Изпечатай

[Gaara]

Здравейте,

от известно време тръгнах да изучавам ldap командите и то предимно към AD с Windows 2003 (само за тест). Опитвам се да създам потребителски акаунт (успешно), но единственият проблем, на който не мога да намеря решение е паролата. Четох за сертификатите, за ldaps, криптиране на стойността на параметъра userPassword (използвам следният ред на пърл: perl -e 'print("userPassword: {CRYPT}".crypt("pass","passw")."\n");', unicodePwd и още хиляди неща, но потребителя не може да ползва зададената парола '>. Ако я задам от AD-то, всичко е ОК, но ми се иска да има и друг начин, който да не ползва ldapssl. В най-общи линии, нещата, които права, са:

- създавам файл user.ldif със следното съдържание:

Примерен код

[root@c46 ~]# cat /mnt/test.ldif dn: ou=deby,dc=ws2003,dc=gaara,dc=com objectClass: organizationalUnit ou: deby dn: cn=john,ou=deby,dc=ws2003,dc=gaara,dc=com objectclass: top objectclass: person objectclass: organizationalPerson objectclass: user cn: john givenName: john distinguishedName: CN=john,OU=deby,DC=ws2003,DC=gaara,DC=com instanceType: 4 displayName: john name: john userAccountControl: 512 sAMAccountName: john legacyExchangeDN: /o=First Organization/ou=First Administrative Group/cn=Recipients/cn=john userPrincipalName: [EMAIL=john@ws2003.gaara.com]john@ws2003.gaara.com[/EMAIL] objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=ws2003,DC=gaara,DC=com textEncodedORAddress: c=US;a=;p=First Organizat;o=Exchange;s=john mail: [EMAIL=john@ws2003.gaara.com]john@ws2003.gaara.com[/EMAIL] msExchHomeServerName: /o=First Organization/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=EXCH homeMDB: CN=Mailbox Store (EXCH),CN=First Storage Group,CN=InformationStore,CN=c46,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=ws2003,DC=gaara,DC=com mailNickname: john

За да ми е още по-лесно имам и инсталиран exchange (EXCH) '>
Има още атрибути, които трябва да се добавят, но и това ще стане '>. Смятам, когато го разбера и да си напиша пърл скрипт, но има още много докато се стигне дотам '>

- Прибаваям потребителя по следният начин:

Примерен код

ldapadd -xcvh 10.191.12.170 -D "ws2003\administrator" -w "password"  -f user.ldif

Всякакви идеи са добре дошли '>

Всичко най-свежо от мен

[Ali Nebi]

Здравей,

ами по принцип стандартно паротлата се задава по следния начин:

userPassword: {CRYPT}HASHSTOINOST

вместо крипт, ако искаш може да ползваш и SHA, както решиш ти. имаше една команда за генериране на пароли за ldap

man slappasswd

може да видиш как работи.

Надявам се да съм ти разбрал проблема правилно и успял да ти помогна.

[Gaara]

Здравей,
благодаря за инфото, но и то не помага'>
Целият проблем е, че ако "Minimum password length", на "Password policy"е !0, то параметъра useraccountcontrol не може да се зададе да е 512, т.е. акаунта да е активен. Както и да генерирам тази парола, Windows-a има собствено мнение и все едно този атрибут не се слага. Ако задам минималната дължина да е 0 символа, то спокойно мога да задам userAccountControl=512, а по подразбиране е 543, т.е. не е активиран '>.
Цялата борба се свежда до задаване на парола, която отговаря на политиката на Windows за дължина и най-вече да я приеме. Сега не връща грешка, но все едно този параметър отива в /dev/null '>

Edit: Използвам следният пърл скрипт, ако някой го интересува:

Примерен код

debian:~/ldap# cat ldap.pl #!/usr/bin/perl use Net::LDAP; use strict; my $server='ws2003.gaara.com'; my $user='administrator@ws2003.gaara.com'; my $password='password'; my $ldap=Net::LDAP->new($server) or die "Could not connect to server: $@\n"; my $bind = $ldap->bind($user, password => $password); die "Could not bind to server: ", $bind->error if $bind->code; #Add user my $ou='Test'; my $u1='Kulu'; my $result=$ldap->add("cn=$u1,ou=$ou,dc=ws2003,dc=gaara,dc=com",                   attr=>[ cn                => $u1,                           sn                => $u1,                           uid               => $u1,                           objectclass       =>['top','person','organizationalPerson','user'],                           givenName         => $u1,                           distinguishedName => "uid=$u1,OU=$ou,DC=ws2003,DC=gaara,DC=com",                           displayName       => $u1,                           name              => $u1,                           samaccountname    => $u1,                           userprincipalname => $u1.'@ws2003.gaara.com',                           telephoneNumber   => '359 888 888 888',                           userpassword      => '{SSHA}mu8+jz70sPPBTJQiwXgtaWaCR9/T5klw',                           useraccountcontrol=> '512',                           ]); $result->code && warn "failed to add entry: ", $result->error; $ldap->unbind; debian:~/ldap#

Като предварително съм създал OU=Test '>

[Gaara]

Интересно е, че ако създадем потребител през AD-то и му видим обектите, през ADSI Edit, то се вижда, че:
- useraccountcontrol е 512
- userpassword не е зададено, т.е. показва not set
- unicodePwd не е зададено

А юзера има парола и може да се логва..... направо ужас '>