使用 UnboundID 强制执行目录策略的密码重置

【问题标题】:Password Reset Enforcing Directory Policies with UnboundID使用 UnboundID 强制执行目录策略的密码重置
【发布时间】:2014-01-15 13:37:38
【问题描述】:

我正在开发一个网络应用程序,让用户可以在 Active Directory 中重置自己的密码。我一直通过以管理员身份绑定来完成它,它工作正常,但目录策略(重用历史、字符等)没有被强制执行。我无法绑定为用户,因为我没有当前密码。

我阅读了 Windows 2008 R2 SP1 中引入的 LDAP_SERVER_POLICY_HINTS 控件,用于在 Active Directory 中执行此操作,甚至发现了 someone who made it using Spring LDAP

由于我使用的是 UnboundID 并且没有为此提供标准控件,因此我认为我必须创建自己的控件类。记录的 OID 是 1.2.840.113556.1.4.2239 和值 {48, 3, 2, 1, 1}

public class PolicyHintsControl extends Control {

    private static final long serialVersionUID = 1L;

    public final static String LDAP_SERVER_POLICY_HINTS_OID = "1.2.840.113556.1.4.2066";

    public final static byte[] LDAP_SERVER_POLICY_HINTS_DATA = { 48,
            (byte) 132, 0, 0, 0, 3, 2, 1, 1 };

    public PolicyHintsControl() {
        super(LDAP_SERVER_POLICY_HINTS_OID, false, new ASN1OctetString(
                LDAP_SERVER_POLICY_HINTS_DATA));
    }

    @Override
    public String getControlName() {
        return "LDAP Server Policy Hints Control";
    }

    @Override
    public void toString(StringBuilder buffer) {
        buffer.append("LDAPServerPolicyHints(isCritical=");
        buffer.append(isCritical());
        buffer.append(')');
    }
}

所以我在修改请求中添加了这个新控件,如下所示:

public static void main(String[] args) throws Exception {

    final String host = "ldap.example.com";
    final int port = 636;
    String adminDn = "admin@example.com";
    String adminPassword = "passwd";
    String userDn = "CN=user,ou=people,dc=example,dc=com";
    String userPassword = "passwd";
    String keystoreFile = "/path/to/keystore.jks";
    String keystorePassword = "passwd";

    String passwordAttribute = "unicodePwd";

    //Password change requires SSL
    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    keyStore.load(new FileInputStream(keystoreFile), keystorePassword.toCharArray());
    TrustManagerFactory factory = TrustManagerFactory.getInstance("x509");
    factory.init(keyStore);
    final SSLUtil sslUtil = new SSLUtil(factory.getTrustManagers());
    SSLSocketFactory socketFactory = sslUtil.createSSLSocketFactory();
    Debug.setEnabled(true);

    // Connect as the configured administrator
    LDAPConnection ldapConnection = new LDAPConnection(socketFactory, host,
            port, adminDn, adminPassword);
    // Set password in AD format
    final String newQuotedPassword = "\"" + userPassword + "\"";
    final byte[] newPasswordBytes = newQuotedPassword.getBytes("UTF-16LE");
    String encryptedNewPwd = new String(newPasswordBytes);
    //Build modifications array and request
    final ArrayList<Modification> modifications = new ArrayList<Modification>();
    modifications.add(new Modification(ModificationType.REPLACE,
            passwordAttribute, encryptedNewPwd));
    ModifyRequest modifyRequest = new ModifyRequest(userDn, modifications);
    //Add the policy hints control
    modifyRequest.addControl(new PolicyHintsControl());
    //Modify already
    ldapConnection.modify(modifyRequest);
    ldapConnection.close();
}

我得到以下异常:

Exception in thread "main" LDAPException(resultCode=53 (unwilling to perform), errorMessage='0000052D: SvcErr: DSID-031A120C, problem 5003 (WILL_NOT_PERFORM), data 0
        ', diagnosticMessage='0000052D: SvcErr: DSID-031A120C, problem 5003 (WILL_NOT_PERFORM), data 0
        ')

经过进一步研究,我发现 Windows 2012 中针对同一控件的另一个更新将 OID 更改为 1.2.840.113556.1.4.2066 并弃用了旧的 OID。

由于此应用可以配置任何版本的 AD,因此我想优雅地处理每种情况(Windows 2012、Windows 2008 R2 SP1 等)。我的问题是:

  1. 有人用 UnboundID 成功地做到了这一点吗?
  2. 在修改请求之前是否知道控件是否可用?
  3. 为同一控件处理不同版本的 AD 的不同 OID 的最佳方法是什么?同班还是不同班?

【问题讨论】:

    标签: java active-directory unboundid-ldap-sdk


    【解决方案1】:

    我对 Microsoft 特定的控件并不十分熟悉,因此我无法提供很多帮助,但看起来您已经走上了正确的道路。在这种情况下,实际上控件看起来像预期的那样工作,并且服务器拒绝密码,因为它不够强。

    Active Directory 真的很糟糕,它很难弄清楚这样的事情,但秘密在于诊断消息中给出的“0000052D”。这是对 Active Directory 系统错误代码 0x52D 的引用,它是十进制的 1325。系统错误代码记录在 http://msdn.microsoft.com/en-us/library/windows/desktop/ms681381(v=vs.85).aspx,在这种情况下,您需要遵循“系统错误代码 (1300-1699)”链接 (@987654322 @) 并找到值 1325 的描述。该错误代码的文本显示“无法更新密码。为新密码提供的值不符合域的长度、复杂性或历史要求。”由于您尝试使用的控制点似乎是使服务器对新密码执行质量检查,因此它看起来像预期的那样工作。如果您使用更强的密码(例如,加长密码,包括大写/数字/符号字符等),那么服务器可能会接受它。

    关于您关于确定服务器支持哪些控件的问题,解决方法是检索服务器根 DSE 并查看supportedControls 属性中报告的OID。 UnboundID LDAP SDK for Java 使这非常容易,因为您可以使用 LDAPConnection.getRootDSE 方法来检索根 DSE,然后使用 RootDSE.supportsControl 方法来确定服务器是否支持指定的控件。

    关于您是否处理具有相同类或不同类的不同 OID 的问题,这更多的是风格问题。如果具有较新 OID 的控件也对值使用不同的编码,那么这肯定会建议创建一个单独的类。如果两个 OID 的值编码相同,那么这可能是个人喜好问题,但即使您将它们设为单独的类,那么最好保持大部分代码通用而不是在两个不同的地方使用相同的代码.

    【讨论】:

    • 是的,你是对的,我使用的密码不够强。现在可以了。非常感谢您参考 AD 错误代码和建议。
    猜你喜欢
    • 1970-01-01
    • 2014-06-26
    • 2021-12-17
    • 1970-01-01
    • 1970-01-01
    • 2020-02-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode