1

LDAPパスワードを変更できるこのスクリプトがありますが、ユーザー名、フルネーム、電子メール、または電話番号も変更したいと思います。どうやってやるの?レコードをエコーアウトすると、名前や電子メールなどの情報しか取得できませんが、ldap_modifyでフルネーム、電話番号、電子メール、またはユーザーIDを変更するにはどうすればよいですか?

<?php
$server = "ldap://ldap";
$dn = "ou=People,DC=ssdfg,DC=sadad,DC=com";
$message = array();

function changePassword($server,$dn,$user,$oldPassword,$newPassword,$newPasswordCnf){
  global $message;

  error_reporting(0);

  $con=ldap_connect($server);
  ldap_set_option($con, LDAP_OPT_PROTOCOL_VERSION, 3);

  $findWhat = array ("cn","mail");
  $findWhere = $dn;
  $findFilter = "(uid=$user)";

  #bind anon and find user by uid
  $sr = ldap_search($con,$dn,$findFilter,$findWhat);
  $records = ldap_get_entries($con, $sr);
   echo "<pre>";print_r($records);
  /* error if found more than one user */
  if ($records["count"] != "1") {
    $message[] = "Error E100 - Wrong user.";
    return false; 
  }else {
    $message[] = "Found user <b>".$records[0]["cn"][0]."</b>";
  }

  /* try to bind as that user */
  if (ldap_bind($con, $records[0]["dn"], $oldPassword) === false) {
    $message[] = "Error E104 - Current password is wrong.";
    return false;
  }
  else { }

  if ($newPassword != $newPasswordCnf ) {
    $message[] = "Error E101 - New passwords do not match! ";
    return false;
  }
  if (strlen($newPassword) < 8 ) {
    $message[] = "Error E102 - Your new password is too short! ";
    return false;
  }
  if (!preg_match("/[0-9]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one digit. ";
    return false;
  }
  if (!preg_match("/[a-zA-Z]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one letter. ";
    return false;
  }


  /* change the password finally */
  $entry = array();
  $entry["userPassword"] = "{SHA}" . base64_encode( pack( "H*", sha1( $newPassword ) ) );
  if (ldap_modify($con,$records[0]["dn"],$entry) === false){
    $message[] = "E200 - Your password cannot be change, please contact the administrator.";
  }
  else { 
    $message[] = " Your password has been changed. "; 
    //mail($records[0]["mail"][0],"Password change notice : ".$user,"Your password has just been changed."); 
    } 
}  

?>
4

2 に答える 2

1

$ findwhat変数を変更して*を含めると、検索を実行しているアカウントが表示できるすべてのユーザー属性を取得できます。匿名は多くを見ることができないかもしれず、それは確かに多くを更新することができないことに注意してください。私のアドバイスは、必要なすべての権限を持つアカウントをディレクトリに作成し、その下ですべての操作を実行することです(もちろん認証を除く)。

他の属性を変更するには、それらを$entry配列に含めるだけです。適切な属性名を使用する必要がありますが、$ findwhatを*に変更した後、それらを印刷すると表示されます。

また、Apache Directory Studioは、ディレクトリを操作するための優れた無料ツールです。これのすばらしい点の1つは、検索ログと変更ログを表示して、ディレクトリに送信しているldif操作を確認できることです。次に、それをコードに複製できます。

于 2011-12-16T18:00:03.007 に答える
0

ALL_ATTRIBUTES値が使用されていない限り、属性を要求する必要があります。多くの場合、これはアスタリスクですが、常にそうであるとは限りません。ディレクトリサーバーは、クライアントが値を取得できるようにする必要があり、多くのuserPassword場合、より多くの権限を持つユーザーに制限されます。

属性値を変更するには、識別された名前、属性、および新しい値を使用して変更要求を作成します。

注意すべき点がいくつかあります。

  • LDAPクライアントは、サーバーが要求に応答を送信するときに応答制御をチェックする必要があります。応答制御のチェックに失敗すると、LDAPクライアントがサーバーから重要な情報を見逃す可能性があります
  • このクライアントベース64がパスワードをエンコードするのはなぜですか?サーバーは事前にエンコードされたパスワードのパスワード品質と履歴チェックを実行できないため、ディレクトリサーバーは事前にエンコードされたパスワードを受け入れないようにする必要があります(サーバーは事前にエンコードされたパスワードを拒否するように構成する必要があります)。これらの理由やその他の理由から、事前にエンコードされたパスワードを送信することはひどい考えであり、すべてのクライアントはこの方法を拒否する必要があります。LDAPクライアントは、安全な接続(SSL、TLS、またはipsec)を使用し、パスワードをクリアで送信するか、外部SASLバインド要求を使用する必要があります。さらにセキュリティを強化するには、既存のパスワードを必要とし、ユーザーのパスワードを生成できるパスワード変更拡張リクエストを使用します。
  • このクライアントは、サーバーからの一方的な通知に応答できないようです。Directory Serverは、一方的な、つまりクライアントの要求に応答しない拡張結果を送信する場合があります。クライアントは、これらの通知を処理できる必要があります。これらの通知は、多くの場合、サーバーが何らかの理由でクライアントを切断したという通知です。

詳細については、「LDAP:プログラミングプラクティス」を参照してください。

于 2011-12-17T16:36:28.907 に答える