使用LDAP C API修改a user's password in MS Active Directory

最新推荐文章于 2021-08-10 17:38:55 发布
最新推荐文章于 2021-08-10 17:38:55 发布
阅读量3.3k 收藏 1
点赞数
文章标签: user api c null authentication filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzhwho/article/details/6209693
版权

一、首先,要弄明白修改Windows活动目录中用户的密码需要注意的地方:
1.在活动目录中,用户的密码是unicode编码,所以密码必须由ascii转换成为unicode编码,如下shell命令转换

[root@local~]echo -n "/"ppAA1234/"" | iconv -f UTF8 -t UTF16LE | base64 -w 0
IgBwAHAAQQBBADEAMgAzADQAIgA=

2.为了与AD 服务器能正常通信,必须使用SSL连接

二、示例
#include <stdio.h>
#include <stdlib.h>
#include <ldap.h>
#include <unistd.h>

using namespace std;
#ifndef PASS_LOG
#define PASS_LOG(fmt, arg...) printf(fmt, ##arg)
#endif

#define BUF_MAX_LEN 1024
#define PASSWD_MAX_LEN 512
#define AD_LDAP_PORT 636
#define AD_LDAP_URL "ldaps://ad02.example.com:636"

char g_admin_dn[BUF_MAX_LEN]= "cn=admin,ou=finance,dc=example,dc=com";
char g_admin_pass[BUF_MAX_LEN]= "123456";
//char g_user_dn[BUF_MAX_LEN]= "CN=user_test,OU=finance,DC=example,DC=com";
char g_base_dn[BUF_MAX_LEN]= "ou=finance,dc=example,dc=com";

int modifyAccountAttributeInActivityDirectory(char *admin_dn, char *admin_pass, char* username, char *user_pass)
{
    char filter[BUF_MAX_LEN];
    char * user_dn = NULL;
    LDAP          *ld = NULL;
    LDAPMessage   *result = NULL, *element = NULL;
    LDAPMod mod, mod2;
    LDAPMod *mods[3];
    struct berval bvalold;
    struct berval bvalnew;
    struct berval *bvalsold[2];
    struct berval *bvalsnew[2];
    char old_password_with_quotes[PASSWD_MAX_LEN], new_password_with_quotes[PASSWD_MAX_LEN];
    char old_unicode_password[PASSWD_MAX_LEN *2], new_unicode_password[PASSWD_MAX_LEN* 2];
    const char *new_password = NULL;
    const char *old_password = "1234PPmm";
    int ldap_version = LDAP_VERSION3;
    int rc = -1, err_code = -1;
    int i = 0;

    if (NULL == admin_dn || NULL == admin_pass || NULL == username || NULL == user_pass)
    {
        PASS_LOG("modifyAccountAttributeInActivityDirectory: Parameters is NULL/n");
        err_code = -1;
        goto clean;
    }
    rc = ldap_initialize(&ld, AD_LDAP_URL);
    if ( rc != LDAP_SUCCESS)
    {

        ldap_perror( ld, "ldap_initialize" );
        PASS_LOG("ldap_initialize: %s/n", ldap_err2string (rc));
        err_code = rc;
        goto clean;
    }
    rc = ldap_set_option(ld, LDAP_OPT_PROTOCOL_VERSION, &ldap_version);
    if ( rc != LDAP_SUCCESS)
    {
        ldap_perror( ld, "ldap_set_option" );
        PASS_LOG("ldap_set_option: %s/n", ldap_err2string (rc));
        err_code = rc;
        goto unbind_ld;
    }
    rc = ldap_simple_bind_s( ld, admin_dn, admin_pass);
    if ( rc != LDAP_SUCCESS  )
    {
        ldap_perror(ld, "ldap_simple_bind_s" );
        PASS_LOG("ldap_simple_bind_s: %s/n", ldap_err2string (rc));
        err_code = rc;
        goto unbind_ld;
    }  
    memset(filter,0,sizeof(filter));
    sprintf(filter,"cn=%s", username);
    rc = ldap_search_s(ld,
                         g_base_dn,
                         LDAP_SCOPE_SUBTREE,
                         filter,
                         NULL,
                         0,
                         &result);
     if (rc  != LDAP_SUCCESS)
     {
        ldap_perror( ld, "ldap_search_s" );
        PASS_LOG("ldap_search_s: %s/n", ldap_err2string (rc));
        err_code = rc;
        goto unbind_ld;
     }

    for ( element= ldap_first_entry( ld, result ); element != NULL;  element = ldap_next_entry( ld, element ) )
    {
            user_dn = ldap_get_dn(ld, element);   
              PASS_LOG("dn:%s/n", user_dn);   
    }
    if (user_dn == NULL)
    {
      PASS_LOG("dn is NULL/n");
      err_code = -1;
      goto free_msg;
    }

    new_password = user_pass;
    memset(new_password_with_quotes, 0, sizeof(new_password_with_quotes));
    snprintf (new_password_with_quotes, sizeof (new_password_with_quotes), "/"%s/"", new_password);
    memset (new_unicode_password, 0, sizeof (new_unicode_password));
    for (i = 0; i < strlen (new_password_with_quotes); i++)
    {
        new_unicode_password[i * 2] = new_password_with_quotes[i];
    }
    bvalnew.bv_val = new_unicode_password;
    bvalnew.bv_len = strlen (new_password_with_quotes) * 2;

    bvalsnew[0] = &bvalnew;
    bvalsnew[1] = NULL;
    mod.mod_vals.modv_bvals = bvalsnew;
    mod.mod_type = (char *) "unicodePwd";
    #if 0
    /* user must supply old password */
    memset(old_password_with_quotes, 0, sizeof(old_password_with_quotes));
    snprintf (old_password_with_quotes,
            sizeof (old_password_with_quotes), "/"%s/"",
            old_password);
    memset (old_unicode_password, 0, sizeof (old_unicode_password));
    for (i = 0; i < strlen (old_password_with_quotes); i++)
    {
    old_unicode_password[i * 2] = old_password_with_quotes[i];
    }
    bvalold.bv_val = old_unicode_password;
    bvalold.bv_len = strlen (old_password_with_quotes) * 2;

    bvalsold[0] = &bvalold;
    bvalsold[1] = NULL;
    mod2.mod_vals.modv_bvals = bvalsold;
    mod2.mod_type = (char *) "unicodePwd";
    mod2.mod_op = LDAP_MOD_DELETE | LDAP_MOD_BVALUES;

    mod.mod_op = LDAP_MOD_ADD | LDAP_MOD_BVALUES;

    mods[0] = &mod2;
    mods[1] = &mod;
    mods[2] = NULL;

#else
    mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;
    mods[0] = &mod;
    mods[1] = NULL;
#endif

    rc = ldap_modify_s(ld, user_dn, mods);
    if (rc  != LDAP_SUCCESS)
    {
        ldap_perror( ld, "ldap_modify_s" );
        PASS_LOG("ldap_modify_s: %s/n", ldap_err2string (rc));
    }
    err_code = rc;
    PASS_LOG("Modify account's attribute in activity directory Ok/n");
    if (NULL != ld)
    {
        free(user_dn);
    }

free_msg:  
    if (NULL != result)
    {
        ldap_msgfree(result);
    }
unbind_ld:
    if (NULL != ld)
    {
        ldap_unbind(ld);
    }
clean:
    return err_code;
}

int main(int argc, char *argv[])
{
    char *new_password = "ooXX1234";
    if (modifyAccountAttributeInActivityDirectory(g_admin_dn, g_admin_pass, "user_test", new_password) < 0)
    {
        PASS_LOG("Failed to modify account's attribute in activity directory");
        return -1;
    }

    return 0;
}

[root@local~]g++ change_passwd.cpp -lldap -g  -DLDAP_DEPRECATED=1  -o change_passwd

三、CA证书

[root@local~]# ./change_passwd 
ldap_simple_bind_s: Can't contact LDAP server (-1)
        additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
解决方法:
1. 从域控导出.cer文件
2. 把该cer文件格式改为pem       
[root@local~]#openssl x509 -inform DER -in /root/ad02.cer -out /root/ad02.pem -outform PEM
3.配置/etc/openldap/ldap.conf
[root@local~]#vim /etc/openldap/ldap.conf
use_sasl        on
ssl             on
sasl            start_tls
SASL_MECH       GSSAPI
tls_checkpeer   no
tls_ciphers     TLSv1
TLS_REQCERT     never
chasereferrals  yes
deref           always
uri             ldaps://ad02.example.com:636
binddn          cn=admin,ou=finance,dc=example,dc=com

# Tell GSSAPI not to negotiate a security or privacy layer since
# AD doesn't support nested security or privacy layers
sasl_secprops   minssf=0,maxssf=0
tls_cacertfile  /root/ad02.pem
[root@local~]#./change_passwd
Modify account's attribute in activity directory Ok

Creating Active Directory Accounts

四、参考资料

OpenLDAP Server With Server-Side SSL/TLS and Client Authentication(最具价值参考ldap_initialize)

pam_ldap.c中_get_authtok(最具价值参考 unicode转换)

LDAP Authentication and Password Management

如何更改通过 LDAP 的 Windows 2000 用户的密码

启用 LDAP 客户端通过 SSL 与 LDAP 服务器进行通信的说明

LDAP C programming development - SDK Man Pages

Mozilla LDAP C SDK Programmer's Guide

ldap 636   Java Python  C# Cold Fusion Perl PHP Ruby

百云在飘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
用C语言操作LDAP服务器
Sagely's blog
04-28 2374
   毕竟用PHP操作LDAP有局限性,因为当我们用生成证书的函数生成证书以后不可能再用PHP去给LDAP增加条目,所以最近研究了一下C语言操作LDAP,希望能对大家有点借鉴意义,有错误的地方还请原谅。至于如何安装,运行和测试LDAP服务器请看http://www.infosecurity.org.cn/forum/read.php?fid=12&tid=47&fpage=1毕竟用PHP操作LDA
LDAP简介及其使用
dl425134845的专栏
12-25 9403
LDAP简介 LDAP(Lightweight Directory Access Protocol)的意思是"轻量级目录访问协议",是一个用于访问"目录服务器"(Directory Servers)的协议。这里所谓的"目录"是指一种按照树状结构存储信息的数据库。这个概念和硬盘上的目录结构类似,不过LDAP的"根目录"必须是"The world",并且其一级子目录必须是"countries
LDAP 认证(Linux)
青春不老,奋斗不止!
05-08 2977
之前分享过 Windows 下LDAP 认证的相关内容,为了跨平台,针对 Linux 也进行相关的实现。
Installing and configuring OpenSSH with pam_ldap for RedHat Enterprise Linux3
weixin_34366546的博客
02-14 627
   (See also related documents at http://web.singnet.com.sg/~garyttt/ )   Last Updated: 26-Aug-2006   Purpose:   The document is one of the deliverables of the “OpenLDAP Centralized Authen...
C语言操作OpenLDAP
bytxl的专栏
10-10 3545
参考:http://www.cnblogs.com/zhumao/archive/2005/08/13/214258.html 步骤: 包括openldap,netscape(sun),mozilla, novell,ibm等,都提供了LDAP的C SDK和接口函数。作为RFC标准的LDAP结构,struct LDAP是定义为对用户隐藏的,并在各个实现函数中各自定义,以便适应不同的LDAP
java使用ldap修改ad域用户密码
02-02
mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, new BasicAttribute("userPassword", newPassword.getBytes())); ctx.modifyAttributes(userName, mods); // ... } ``` 在上面的代码中,我们...
Active Directory Cookbook, 3rd Edition.pdf
07-25
Covers the basics of searching Active Directory: creating, modifying, and deleting objects, using LDAP controls, and importing and exporting data using LDAP Data Interchange Format (LDIF) and comma-...
java通过LDAP验证ActiveDirectory服务.pdf
11-21
在Java中,可以通过JNDI (Java Naming and Directory Interface) API来与LDAP目录服务交互,包括Active Directory。以下是一个简单的示例代码,用于验证用户身份: ```java import java.util.Hashtable; import ...
飞连v2.0 初次使用-LDAP 配置手册.pdf
08-31
LDAP(Lightweight Directory Access Protocol)是一种轻量级目录访问协议,基于该协议的软件有 openLDAPActive Directory 等。LDAP 配置手册旨在帮助用户快速了解 LDAP 的基本概念、结构和配置方法。 LDAP 基本...
通过C#访问Active Directory对象(Visual Studio)
04-05
在IT领域,尤其是在Windows服务器环境下的开发工作中,访问和管理Active Directory对象是一项常见的任务。本文将深入探讨如何使用C#编程语言,结合Visual Studio来实现这一功能。Active Directory是Microsoft ...
php ldap modify,PHP ldap_mod_replace 用法 手册 | 示例代码
weixin_33910305的博客
03-27 535
chris at mr2madness dot comYou can use arrays for multiple attributes example:$entry[mail] = array("example@example.com","example2@example.com");$results=ldap_mod_add($ldapConnID,$dn,$entry);?>or a...
服务器显示replace,ldap_mod_replace()[function.ldap-MOD-取代]:修改:服务器是不愿...
weixin_34237362的博客
08-10 285
收到一个错误:服务器是不愿意执行同时,通过在PHP AD改变unicodePwd。 不过,我能搜索,添加,删除和修改用户的任何属性。使用管理员帐户进行绑定和管理具有完全访问权限更改任何用户的密码。下面是我使用的代码:$dn = "CN=Vishal Makwana,OU=Address Book,DC=example,DC=com";$ad = ldap_connect("ldap://exam...
库的安装与使用_ldap第三方库的安装和初步使用
weixin_30778043的博客
01-15 263
在pycharm上尝试导入ldap库,无论是使用ldap,或者是python-ldap搜索都无法找到。第1种方法:去官网下载.tar.gz包,cmd中运行python setup.py install,安装后报错:error: Microsoft Visual C++ 14.0 or greater is required. Get it with "Microsoft C++ Buil...
c++ 连接LDAP实现统一认证
Tobyn的博客
02-27 4349
  公司里开发的系统比较多,如果每个系统都实现一套自己的认证,那人员和部门数据管理起来成本太高,所以得选一个公认标准的规范,LDAP是一个老牌的选择。  下面记录一下用C++连接LDAP的过程。#include &lt;stdio.h&gt; extern "C" { #define LDAP_DEPRECATED 1 #include &lt;ldap.h&gt; #in...
使用OPENLDAP C API修改 win2003 AD域(Active Directory)用户密码
bytxl的专栏
01-08 2311
参考:http://blog.csdn.net/wzhwho/article/details/6209693 参考:http://www.121.name/LDAP.html 首先要在win2003上安装AD域,并且支持SSL,参见: win2003 AD域 支持 LDAP SSL 上源码: #include #include #include #include
LDAP基础:8:ldap用户密码确认和修改
热门推荐
知行合一 止于至善
11-17 4万+
ldap用户密码的修改可以使用ldappasswd命令,也可以使用万能的ldapmodify结合ldif文件来实现,但所修改的都是普通的用户,cn=admin的管理员用户的修改一般可以通过slappasswd来进行,由于本系列使用了openldap的docker镜像,此项功能已被封装,通过设定环境变量即可轻易实现。
c操作ldap
lxt643755936的专栏
11-18 1277
#include "stdafx.h" #include    #include #include   #pragma comment(lib,"crypt32.lib") #pragma comment(lib,"Wldap32.lib") LDAP *ld; LDAPMessage *res,*e; char *dn, *a, *sdn, **vals; BerEle
JAVA LDAP AD操作:无证书查询、修改、删除、新增与权限管理
本文将详细讲解如何使用Java LDAP API进行无证书的AD操作,包括查询、修改、删除、新增、启用、禁用用户以及修改密码。 1. **AD配置** 在Java代码中,我们通常会创建一个配置类如 `ADConfig.java` 来存储连接AD所...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值