无法使用 UserPrincipal 类设置 AD-LDS 用户密码

Question

我被 UserPrincipal 类操作 AD-LDS 用户对象所困扰。虽然我可以查询用户、更改属性并将它们保存回 AD LDS，但只要我尝试设置（或更改）密码，我总是会收到带有附加信息的 PrincipalOperationException“目录属性不能在缓存中找到。”

如果我通过 ADSI-Edit 更改用户密码，一切正常。因此我认为这不是模式问题。我使用简单绑定而不使用 SSL 进行绑定（它是一个开发机器）。我已经通过 dsmgmt 允许了不安全的密码设置选项。我用来连接的用户是用户所在目录配置单元的管理员角色。 代码如下所示（简化）：

using (var ctx = GetPrincipalContext()) {                
    UserPrincipal u = UserPrincipal.FindByIdentity(ctx, IdentityType.Name, identityValue);         
    u.SetPassword("12345$äöAAA1234_");  
    u.Save();
}

在 GetPrincipalContext() 中创建上下文的位置如下：

new PrincipalContext(ContextType.ApplicationDirectory, "localhost", "[DC=...]", ContextOptions.SimpleBind,"[username of adminuser]","[Password of admin user]");

当我尝试创建一个新的 UserPrincipal 然后保存它时，也会出现同样的问题。我想，这也是因为附加的密码。

Answer 1

长话短说，这是一个安全问题。只要不是通过 SSL 建立与 AD-LDS 的连接，所有处理密码的事情都令人头疼。

在找到最初问题的解决方案后（见下文），我得出结论，安装带有证书的 AD-LDS 比尝试解决所有由配置引起的问题没有SSL（即使在开发中）。因此，我建议所有想要使用 AD-LDS 的人，做额外的安装开发证书的工作。这样做的复杂性远低于解决没有 SSL 出现的所有问题的复杂性。经过一番谷歌搜索，我能够使用 windows sdk 的 makecert-programm 创建和安装必要的证书。

对于那些对解决方案感兴趣的人：
在阅读了很多关于 AD-LDS 及其身份验证方式的信息后，我的理解是，使用没有 SSL 的 UserPrincipal 类设置密码是不可能的。作为一种解决方法，DirectoryEntry-class 可用于通过 LDAP 调用 SetPassword-methdod。但是它需要一些参数化：

const long ADS_OPTION_PASSWORD_PORTNUMBER = 6;
const long ADS_OPTION_PASSWORD_METHOD = 7;
const int ADS_PASSWORD_ENCODE_CLEAR = 1;

directoryEntry.Invoke("SetOption", new object[] { ADS_OPTION_PASSWORD_PORTNUMBER, intPort });
directoryEntry.Invoke("SetOption", new object[] { ADS_OPTION_PASSWORD_METHOD, ADS_PASSWORD_ENCODE_CLEAR});
directoryEntry.Invoke("SetPassword", new object[] { "MyPassword" });

此外，必须通过 dsmgmt-命令行工具允许取消保存密码通信。

对发生的事情的了解，我从本书的在线预览中得到了The .Net Developer's Guide to Directory Services Programming 虽然我可能不再需要这本书了，但我下令将其捐赠给作者，他为我节省了数小时的搜索时间.这本书虽然年代久远，但对 AD LDS (ADAM) 进行了很好的解释，这些解释至今仍然适用。

Answer 2

有一种设置密码的方法，但您需要更改 ADLDS 设置以允许在不安全的频道上设置密码。

cmd\
dsmgmt\
ds behavior\
connections\
connect to server localhost:389\
quit\
allow passwd op on unsecured connection\
quit\
quit