如何更改 LDAP 中的用户名或电子邮件或电话号码信息？

Question

我有这个脚本，通过它我可以更改我的 LDAP 密码，但我也想更改我的用户名或全名或电子邮件或电话号码。我怎样才能做到这一点？当我回显记录时，我只会得到我的姓名和电子邮件等信息，但我需要做什么才能让 ldap_modify 更改我的全名或电话号码或电子邮件或用户 ID？

<?php
$server = "ldap://ldap";
$dn = "ou=People,DC=ssdfg,DC=sadad,DC=com";
$message = array();

function changePassword($server,$dn,$user,$oldPassword,$newPassword,$newPasswordCnf){
  global $message;

  error_reporting(0);

  $con=ldap_connect($server);
  ldap_set_option($con, LDAP_OPT_PROTOCOL_VERSION, 3);

  $findWhat = array ("cn","mail");
  $findWhere = $dn;
  $findFilter = "(uid=$user)";

  #bind anon and find user by uid
  $sr = ldap_search($con,$dn,$findFilter,$findWhat);
  $records = ldap_get_entries($con, $sr);
   echo "<pre>";print_r($records);
  /* error if found more than one user */
  if ($records["count"] != "1") {
    $message[] = "Error E100 - Wrong user.";
    return false; 
  }else {
    $message[] = "Found user <b>".$records[0]["cn"][0]."</b>";
  }

  /* try to bind as that user */
  if (ldap_bind($con, $records[0]["dn"], $oldPassword) === false) {
    $message[] = "Error E104 - Current password is wrong.";
    return false;
  }
  else { }

  if ($newPassword != $newPasswordCnf ) {
    $message[] = "Error E101 - New passwords do not match! ";
    return false;
  }
  if (strlen($newPassword) < 8 ) {
    $message[] = "Error E102 - Your new password is too short! ";
    return false;
  }
  if (!preg_match("/[0-9]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one digit. ";
    return false;
  }
  if (!preg_match("/[a-zA-Z]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one letter. ";
    return false;
  }


  /* change the password finally */
  $entry = array();
  $entry["userPassword"] = "{SHA}" . base64_encode( pack( "H*", sha1( $newPassword ) ) );
  if (ldap_modify($con,$records[0]["dn"],$entry) === false){
    $message[] = "E200 - Your password cannot be change, please contact the administrator.";
  }
  else { 
    $message[] = " Your password has been changed. "; 
    //mail($records[0]["mail"][0],"Password change notice : ".$user,"Your password has just been changed."); 
    } 
}  

?>

Answer 1

将您的 $findwhat 变量更改为其中包含一个 *，您将获得执行搜索的帐户可以看到的所有用户属性。请注意，anonymous 可能看不到太多内容，当然也无法进行太多更新。我的建议是在您的目录中创建一个帐户，该帐户拥有您需要的所有权限，并在该帐户下执行所有操作（当然身份验证除外）。

修改其他属性只需将它们包含在 $entry 数组中即可。您需要使用正确的属性名称，但是在将 $findwhat 更改为 * 后将它们打印出来时会看到它们。

此外，Apache Directory Studio 是一个不错的免费目录处理工具。一件很酷的事情是，您可以查看搜索和修改日志，并查看它发送到目录的 ldif 操作。然后你可以在你的代码中复制它。

Answer 2

除非使用 ALL_ATTRIBUTES 值，否则必须请求属性，通常这是一个星号，但并非总是如此。目录服务器必须允许客户端检索值，而userPassword 通常仅限于拥有更多权限的用户。

要修改属性值，请使用可分辨名称、属性和新值构造修改请求。

有几点需要注意：

• 当服务器传输对请求的响应时，LDAP 客户端应检查响应控件。未能检查响应控件将导致 LDAP 客户端可能会丢失来自服务器的重要信息
• 为什么这个客户群对密码进行 64 位编码？目录服务器不应接受预编码密码（服务器应配置为拒绝预编码密码），因为服务器无法对预编码密码执行密码质量和历史检查。由于这些和其他原因，传输预编码密码是一个糟糕的主意，所有客户端都应该拒绝这种做法。 LDAP 客户端必须使用安全连接（SSL、TLS 或 ipsec）并以明文形式传输密码或使用外部 SASL 绑定请求。为了获得更好的安全性，请使用password modify extended request，它需要现有密码，并且可以为用户生成密码。
• 此客户端似乎无法响应来自服务器的主动通知。目录服务器可能会传输未经请求的扩展结果，也就是说，不是响应客户端请求。客户端必须能够处理这些通知，这些通知通常是服务器出于某种原因断开客户端的通知。

更多信息请查看"LDAP: Programming Practices"。