使用 Python 和 ldap3 重置 Active Directory 密码

问题描述 投票:0回答:3

我似乎遇到了在 AD 中重置密码的经典错误,尽管我在网上找到的所有内容通常都表明我应该是金色的。

先写代码。

from ldap3 import *

username = '<account with the proper permissions>'
password = '<totally@realpassword>'

server = Server('<fqdn of server>', use_ssl=True, get_info=ALL)
conn = Connection(server, user='<domain>\\' + username, password=password, authentication=NTLM, auto_bind=True)

print(conn)

user_dn = 'CN=Test,OU=US,OU=NA,OU=Employees,OU=Users,DC=domain,DC=com'
new_pass = 'U^mod2olla'

r = conn.extend.microsoft.modify_password(user_dn, new_pass)

print(conn.result)

这似乎是通过 SSL 实例化与 LDAP 服务器的连接的正确方法,此连接打印输出证实了这一点:

ldaps://ldap.domain.com:636 - ssl - user: domain.com\samaccountname - not lazy - bound - open - <local: IP:62368 - remote: IP:636> - tls not started - listening - SyncStrategy - internal decoder

但我仍然收到此错误:

{'result': 53, 'description': 'unwillingToPerform', 'dn': '', 'message': '0000001F: SvcErr: DSID-031A1248, problem 5003 (WILL_NOT_PERFORM), data 0\n\x00', 'referrals': None, 'type': 'modifyResponse'}

根据我的 Google 搜索,这通常意味着密码未正确编码,或者根据 LDAP 服务器,连接不够安全。

此时我迷失了。想法?

@cannatag 如果你在外面...我需要你:)

我的研究链接:

https://github.com/cannatag/ldap3/issues/130

Python 3.5、ldap3 和modify_password()

无法通过ldap3 Python3更改用户密码

在 Python 3.x 中更改 Active Directory 用户密码

python-3.x active-directory ldap ldap3
3个回答
0
投票

您需要以域管理员身份绑定到 AD。

之后搜索userdn并修改

我正在使用 c.modify(user_dn,{"userAccountControl":(MODIFY_REPLACE,512)}) 确保用户可以登录(如果锁定或密码过期,我们无法更改密码)

admin = CONF['admin']['user']
passwdadm = CONF['admin']['pass']
with connect_ldap(authentication=SIMPLE, user=admin, password=passwdadm) as c:
    c.bind()
    user_dn = find_user_dn(c, username)
    c.modify(user_dn,{"userAccountControl":(MODIFY_REPLACE,512)})
    print(c.result)
    c.unbind()

with connect_ldap(authentication=SIMPLE, user=admin, password=passwdadm) as c:
    c.bind()
    user_dn = find_user_dn(c, username)
    c.extend.microsoft.modify_password(user_dn, new_pass, old_pass)
    print(c.result)
    c.unbind()
0
投票

不幸的是,我的假设是正确的,不存在与代码相关的问题。

我与一些域管理员聊天,他们向我确认我使用 LDAPS 连接的服务器实际上是 F5,并且 LDAPS 终止于此处。这意味着如果没有特定的证书和 IP,则无法与任何单独的域控制器建立 LDAPS 连接。这样做对于我的系统来说是不可扩展的或不现实的,所以我不会使用这种方法来重置 AD 中的密码。

如果有人发现自己遇到类似情况,我建议研究 Linux 上的 PowerShell 远程处理。现在可以在 Linux 上运行本机 powershell 并在 Windows Server 上打开会话以在本地执行命令。目前您需要 PS 6.0 beta。

0
投票

将证书从 AD 服务器导入到我运行代码添加的机器后,您的代码对我有用

conn.start_tls()

最新问题
© www.soinside.com 2019 - 2025. All rights reserved.