Python+LDAP+SSL答案

【问题标题】：Python+LDAP+SSLPython+LDAP+SSL
【发布时间】：2011-10-10 17:40:14
【问题描述】：

美好的一天。

提前为我的英语道歉，我的国家论坛和资源没有帮助。

我正在制作一个脚本，用于在 AD 中更改或创建用户密码

研究了这个问题后，很明显

分配或更改密码只能与服务器建立加密连接
仅编码utf-16-le需要发送密码

一般来说第二个没有问题，但是第一个有以下问题：

$ python ldap-test-starttls.py 
Traceback (most recent call last):
  File "ldap-test-starttls.py", line 9, in <module>
    l.simple_bind_s( "cn=admin,ou=users,dc=test,dc=ru", "password" )
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 206, in simple_bind_s
    msgid = self.simple_bind(who,cred,serverctrls,clientctrls)
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 200, in simple_bind
    return    self._ldap_call(self._l.simple_bind,who,cred,EncodeControlTuples(serverctrls),EncodeControlTuples(clientctrls))
  File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 96, in _ldap_call
    result = func(*args,**kwargs)
 ldap.SERVER_DOWN: {'info': 'A TLS packet with unexpected length was received.', 'desc': "Can't contact LDAP server"}

脚本代码

import ldap
host = 'ldaps://ldap:636'
l = ldap.initialize(host)
l.set_option( ldap.OPT_X_TLS_DEMAND, True )
l.set_option( ldap.OPT_DEBUG_LEVEL, 255 )
username = 'someUser'
new_pass = 'ne$wP4assw0rd3!'
new_password = ('"%s"' % new_pass).encode("utf-16-le")
l.simple_bind_s( "cn=admin,ou=users,dc=test,dc=ru", "password" )
mod_attrs = [(ldap.MOD_REPLACE, 'unicodePwd', new_password)],[( ldap.MOD_REPLACE, 'unicodePwd', new_password)]
l.modify_s('CN=%s,dc=users,dc=test,dc=ru' % username, mod_attrs)
l.unbind_s()
print "Successfully changed password."

可能有人已经解决了类似的问题。是的，脚本在 CentOS 上运行，无法使用py32win。

【问题讨论】：

标签： python ssl active-directory python-ldap

【解决方案1】：

经过深入研究，我想出了一个解决方案：

ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT, ldap.OPT_X_TLS_NEVER)
l = ldap.initialize("ldaps://ldap:636")
l.set_option(ldap.OPT_REFERRALS, 0)
l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
l.set_option(ldap.OPT_X_TLS,ldap.OPT_X_TLS_DEMAND)
l.set_option( ldap.OPT_X_TLS_DEMAND, True )
l.set_option( ldap.OPT_DEBUG_LEVEL, 255 )
l.simple_bind_s("admin@tester.com","password")

【讨论】：

这个答案的第一行是为我做的。我不知道其余的对其他人来说有多么必要。这似乎是 disalble TLS 所必需的，这样您才能真正使用 SSL。（如果那是你想要的）
您好，我尝试过您的回答，但没有成功。如果你能提供帮助，我已经发布了我的问题stackoverflow.com/questions/38603236/…

【解决方案2】：

我也认为OPT_X_TLS_NEVER 会禁用 TLS，所以请不要使用它。

set_option(ldap.OPT_X_TLS_NEWCTX, ldap.OPT_ON): LDAP_OPT_X_TLS_NEWCTX 必须在调用 ldap_set_option() 来设置 TLS 属性之后调用，如果在设置属性之前调用它（就像当前代码一样），那么 TLS 属性是未复制到新的 TLS 上下文中。

所以我的解决方案是

l = ldap.initialize("ldaps://ldap:636")
l.set_option(ldap.OPT_REFERRALS, 0)
l.set_option(ldap.OPT_PROTOCOL_VERSION, 3)
l.set_option(ldap.OPT_X_TLS,ldap.OPT_X_TLS_DEMAND)
l.set_option(ldap.OPT_X_TLS_DEMAND, True)
l.set_option(ldap.OPT_DEBUG_LEVEL, 255)
# This must be the last tls setting to create TLS context.
l.set_option(ldap.OPT_X_TLS_NEWCTX, ldap.OPT_ON)
l.simple_bind_s("admin@tester.com","password")

@见Explain TLS/SSL gotchas

@见TLS does not work for ldap, incorrect TLS & Debug attribute setting in rlm_ldap

【讨论】：