AD のパスワードを LDAP から変更する

Linux から Active Direcoty (AD) に登録されているアカウントのパスワードを変更しようと思ったらこれが意外と大変でした。
今回開発しようとしているのは、パスワードを忘れたユーザーのパスワードを管理者が強制的に書き換えるというもの。

すぐ使えるサンプルは GitHub に上げておいたので、経緯に興味がない人は以下からどうぞ。

• hsur/ADPasswordUpdaterUsingLdap

多少の AD や LDAP の知識があれば、プログラム中の変数を変えるだけで使えるはずです。

† ハマり所は盛りだくさん

こんなもの Linux のコマンドラインからおちゃのこさいさいだと高をくくっていたのですが、調べてみた限りでは管理者が強制的に AD アカウントのパスワードを書き換えるには LDAP や Kerberos を使わないといけないようなので、今回は Python と python-ldap/python-ldap を使って組むことにしました。

開発にあたっては、以下の先人のありがたい教訓を活用させていただきました。

• 技術的雑談-LDAP経由でActiveDirectoryにユーザなどを作る - Tsubasa's HomePage
• OSS EXPO: Active DirectoryのユーザーのパスワードをLDAPS経由で変更する

まず、パスワードが格納されているのは unicodePwd で LDAPでは一般的な userPassword ではありません。
しかもこの unicodePwd が曲者で、パスワードを更新するためには以下の条件を全て満たさなければなりません。

• サーバへの接続は LDAPS でないといけない^*1
• bind に使うユーザーは Administrator でないといけない（Domain Users では自分のパスワードの更新も不可）
• アップデートにはダブルクオートで囲った平文を UTF-16LE でエンコードする必要がある
• アップデートに使うパスワードはAD　のパスワードポリシーに適合していないといけない
• （unicodePwd は LDAP からはどうやっても読み出せない）

これらを１つずつクリアしてなんとか完成にたどり着きました。
できたプログラムの両自体は全然大したことないんですけどね。。。

• ^*1: 先日のActive Directory を LDAPS に対応させたのは今回のこの作業のための布石でした。