【问题标题】:How to modify the "cn" and "name" attributes in Active Directory via PHP LDAP class如何通过 PHP LDAP 类修改 Active Directory 中的“cn”和“name”属性
【发布时间】:2014-04-15 20:58:57
【问题描述】:

我正在尝试使用 PHP 脚本更改 Active Directory 信息。

我能够更改除“cn”和“name”属性之外的所有我需要的属性。

当我尝试更改它们时,我收到一个错误“服务器不愿意执行”

Warning: ldap_modify(): Modify: Server is unwilling to perform

当我尝试更改密码时,它也不起作用。我没有收到任何错误/警告,但它不会更改密码。 (如您所见,我正在尝试将密码更改为 Mike@1234567。更新有效,因为我能够看到新值但它不会更改用户密码。(即,新的 userPassword 值为 {SHA}i9Ai8Y8xRGcXEd3mpZ4x6JhHkWM =)

以下是我用来修改条目的函数

function userchange($username, $firstName, $lastName, $domadlogin, $domadpw, $domctrl, $enable=1, $ldapBase = 'DC=domain,DC=com', $new_status = 512, $password = 'Mike@1234567'){

    $ds = ldap_connect($domctrl);
    if (!$ds)
        die('Cannot Connect to LDAP server');

    ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION, 3);
    ldap_set_option($ds, LDAP_OPT_REFERRALS, 0);

    $ldapBind = ldap_bind($ds,$domadlogin,$domadpw);

    if (!$ldapBind)
        die('Cannot Bind to LDAP server');

    $sr = ldap_search($ds, $ldapBase, '(samaccountname='.$username.')');
    $ent= ldap_get_entries($ds,$sr);

    $dn=$ent[0]["dn"];

    $userdata=array();

    $new = 514; //disable?

    if ($enable == 1) 
        $new = $new_status;


    //change the user status
    $userdata["useraccountcontrol"] = $new;

    $userdata["cn"] = $firstName.' '.$lastName;
    $userdata['name'] = $firstName.' '.$lastName;

    $userdata['displayname'] = $firstName.' '.$lastName;
    $userdata['givenname'] = $firstName;
    $userdata['sn'] = $lastName;

    $update_ldap = ldap_modify($ds, $dn, $userdata); 

        if(!$update_ldap)
            return false;

    $sr = ldap_search($ds, $ldapBase, '(samaccountname='.$username.')');
    $ent= ldap_get_entries($ds,$sr);
    $new_first_ent = ldap_first_entry($ds,$sr);

    if(!empty($password)){

        $encode_password = "{SHA}" . base64_encode( pack( "H*", sha1( $password ) ) );
        $newEntry['userpassword'] = "$encode_password";
        $update_ldap = ldap_mod_replace($ds, $dn, $newEntry );

        if(!$update_ldap)
            return false;

    }

    ldap_close($ds);
    return true;
}   

【问题讨论】:

    标签: php active-directory ldap


    【解决方案1】:

    首先,当您要修改用于构建可分辨名称 (DN) 的属性时,您要修改所谓的相对可分辨名称 (RDN)。从 LDAP 的角度来看,您必须为此使用特殊的动词 (modRDN),这意味着您应该在 PHP 中使用特殊的 API。 PHP 不是我的环境,但我想ldap_rename 会解决问题。

    第二,就 Active-directory 而言,密码不在“userpassword”中,而是在“unicodePwd”中,您在另一个Stckoverflow question 中有一个示例。而且,请注意,您需要使用 LDAPS 来设置“unicodePwd”。你也可以去Changing Active Directory passwords via LDAP using PHP看看。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2020-09-22
      • 1970-01-01
      • 2011-01-18
      • 2018-06-11
      • 2015-09-11
      • 2013-01-26
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多