5つのパスワード履歴制限を適用するActiveDirectoryにアクセスできます。最後の5つのパスワードに含まれるパスワードは、パスワードとして設定またはリセットするための実行可能な候補ではありません。
私はphpを使用しており、ldap呼び出しを使用してユーザーのパスワードをリセットしようとしています。ldap_modify呼び出しを使用して、パスワードを問題なくリセットできます。ただし、残念ながら、ldap_modifyはActive Directoryのパスワード履歴ルールをまったく気にせず、警告やエラーなしでパスワードを選択したものにリセットします。
LDAPがこの制限を尊重する方法はありますか?
私はこれをしばらく研究してきましたが、固溶体は見つかりませんでした。ヒントやコメントは大歓迎です!
MODIFY が何らかの理由で失敗した場合、ディレクトリー・サーバーは MODIFY 応答でゼロ以外の結果コードを返す必要があります。属性の制約違反 (たとえば、履歴にあるパスワード、最後のパスワード変更から十分な時間が経過していない、またはその他の属性制約違反) が発生した場合、ディレクトリ サーバーは制約違反の整数結果コードを返す必要があります。 (19)。
LDAP プロトコルは、サーバーの実装がパスワード ポリシーをどのように処理するかを認識していません。LDAP クライアントは、上記の結果コードを使用して、LDAP 要求が成功したかどうかを判断する必要があります。つまり、LDAP クライアントはサーバーの実装から分離されています。
ユーザーエントリがパスワードポリシーの対象となるかどうか、またはその他の属性制約の決定の対象となるかどうかは、プロトコルではなくサーバー次第です。クライアントが失敗すると予想しているにもかかわらず、MODIFY 要求が成功する場合、問題はサーバー側にあるか、パスワード ポリシーの制約にあります。