BLOGTIMES
« :: »
2019/04/13

AD のパスワードを LDAP から変更する

  python  windowsserver 
このエントリーをはてなブックマークに追加

Linux から Active Direcoty (AD) に登録されているアカウントのパスワードを変更しようと思ったらこれが意外と大変でした。
今回開発しようとしているのは、パスワードを忘れたユーザーのパスワードを管理者が強制的に書き換えるというもの。

すぐ使えるサンプルは GitHub に上げておいたので、経緯に興味がない人は以下からどうぞ。

多少の AD や LDAP の知識があれば、プログラム中の変数を変えるだけで使えるはずです。

ハマり所は盛りだくさん

こんなもの Linux のコマンドラインからおちゃのこさいさいだと高をくくっていたのですが、調べてみた限りでは管理者が強制的に AD アカウントのパスワードを書き換えるには LDAP や Kerberos を使わないといけないようなので、今回は Python と python-ldap/python-ldap を使って組むことにしました。

開発にあたっては、以下の先人のありがたい教訓を活用させていただきました。

まず、パスワードが格納されているのは unicodePwd で LDAPでは一般的な userPassword ではありません。
しかもこの unicodePwd が曲者で、パスワードを更新するためには以下の条件を全て満たさなければなりません。

  • サーバへの接続は LDAPS でないといけない*1
  • bind に使うユーザーは Administrator でないといけない(Domain Users では自分のパスワードの更新も不可)
  • アップデートにはダブルクオートで囲った平文を UTF-16LE でエンコードする必要がある
  • アップデートに使うパスワードはAD のパスワードポリシーに適合していないといけない
  • (unicodePwd は LDAP からはどうやっても読み出せない

これらを1つずつクリアしてなんとか完成にたどり着きました。
できたプログラムの両自体は全然大したことないんですけどね。。。


by hsur at 19:55 [5年前][4年前][3年前][2年前][1年前] |
こんな記事もあります 「Python パスワード変更 LDAP
Transystem の GPS が週数ロールオーバーに対応していなかったので対処してみた
Raspberry Pi を使ってレシートプリンタから印刷してみる
Active Directory を LDAPS に対応させる
VS Code を使い始めてみた
selenium で cookie を保存・復元する方法
WSL の Ubuntu 18.04 に chrome と selenium 環境を作る
Google が IoT の AI 処理向けのワンボードコンピュータをリリース
ChromeDriver を使って Chrome を headless で動かす
基本情報技術者試験から COBOL が廃止に、新たに Python が追加に
2018 年の人気検索フレーズ Top100
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/10893
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン

« :: »
Copyright © 2004-2018 by CLES All Rights Reserved.