为新的LDAP用户设置密码

Question

我一直在试图创建Windows用户帐户出PHP本身没有问题。我唯一不能做的就是将windows用户密码设置为公司标准密码。 我可以创建，更改和删除用户帐户，除了密码外没有任何问题。每次我创建一个用户并尝试使用凭证登录自己时，我所得到的只是一个“用户名或密码错误”。我检查了用户名。

我试过到目前为止：有明确的密码（$ldaprecord['userPassword'] = "standard";）

$ldaprecord['userPassword'] = '{MD5}' . base64_encode(pack('H*',md5($newuser_plaintext_password)));就像在给定的例子

• ldapp_add在php.net
• 尝试添加用户后更改密码，看到this

看来我可以更换$ldaprecord['userPassword']但是当我尝试要更改ldaprecord['unicodePwd']服务器不愿意做我的请求。 哪个密码正确？

我没有通过SSL连接到AD。这是我的错误吗？如果是这样，为什么我可以删除用户但不设置他们的密码？

在此先感谢。

编辑：

询问系统管理员建立通过SSL连接，但他说，轻型目录服务甚至没有安装在DC。在他看来，我直接在AD上工作。对此有何想法？

使用IIS在Windows 2012 R2上工作。

Answer 1

首先我做@ChadSikorra告诉我：我创建了文件夹/文件C:\OpenLDAP\sysconf\ldap.conf并添加了行TLS_REQCERT never。然而，这并没有帮助ldap_start_tls()，但我们的系统管理员检查了DC，发现没有安装域控制器证书。所以我最终可以通过ldap_connect("ldaps://mydomaincontroller");建立连接，这意味着我可以设置unicodePwd-属性。

下一个问题是unicodePwd的编码。这是要走的路：

$newPassword = "mypassword"; 
$newPassword = "\"" . $newPassword . "\""; 
$newPass = mb_convert_encoding($newPassword, "UTF-16LE"); 

奇怪的是，它似乎是将用户添加到该AD（纠正我，如果有一种方法），当您不能设置密码。相反，你必须在事后设置密码：

$result = ldap_add(...); 
$entry = array(
    "unicodePwd" => "$newPass", 
    "pwdLastSet" => 0 
); 
ldap_modify($connect, $member, $entry); 

与ldap_add()设置密码，我没有工作。pwdLastSet强制用户在登录后更改密码，并且$member是用户的“ID”（例如：CN=johndoe, ou=person, dc=mycompany）。确保在“CN =”之后使用唯一密钥 。

谢谢你们的帮助。

Answer 2

根据this Microsoft article它看起来好像密码存储在一个字段unicodePwd只能设置但不能读取。除此之外，NTLM-Hash和NT-Hash可以存储在SAM-数据库中（这是AFAIK无法通过LDAP访问的），所以你不会有太多的运气通过LDAP更改密码。

虽然有一篇关于如何通过上述网站引用的LDAP更改Windows200-Password的文章。