Какой хэш-формат по умолчанию / алгоритм Active Directory?
Мне интересно, в каком формате мне нужно добавить хэши для записи в userPassword через LDAP. Apache Directory Studio предоставляет мне несколько вариантов, но я не думаю, что они есть. Может ли кто-нибудь документировать правильную кодировку и алгоритмы, используемые по умолчанию для AD 2003r2?
2 ответа
Вы не можете записывать хеши паролей в Active Directory через LDAP. Вы можете обновить атрибут "unicodePwd" через LDAP через SSL. (Если вы не используете SSL, вы получите сообщение об ошибке "Сервер не хочет обрабатывать запрос". Ошибка 0x80072035).
Однако нет никакого "поддерживаемого" механизма для записи необработанных хэшей в Справочник.
В этой статье базы знаний показано, что вы можете записать пароль в виде строки октетов в кодировке Unicode (открытого текста) в атрибут unicodePwd пользователя. Это описано для Windows 2000, но, насколько я знаю, это не изменилось.
Этот пост включает в себя Perl-скрипт, который реализует этот процесс и к которому вы можете обратиться за более подробной информацией. Вот еще один пример на Java.
Я думаю, что атрибут userPassword является псевдонимом для unicodePwd, но на самом деле я не знаю, правда ли это.
Примечание. Для обновления пароля пользователя необходимо использовать SSL-соединение с LDAP; AD не разрешает обновление пароля по незашифрованному каналу.