Question Quel est le format / algorithme de hachage par défaut d'Active Directory?


Je me demande quel format je dois mettre des hachages pour écrire mot de passe de l'utilisateur via LDAP. Apache Directory Studio me donne plusieurs options, mais je ne pense pas que ce soit le cas. Quelqu'un peut-il documenter le bon codage et les algorithmes utilisés par défaut pour AD 2003r2?


6
2018-06-06 21:47


origine




Réponses:


Vous ne pouvez pas écrire de hachages de mots de passe dans Active Directory via LDAP. Vous pouvez mettre à jour l'attribut "unicodePwd" via LDAP sur SSL. (Si vous n'utilisez pas SSL, vous obtiendrez un message d'erreur "Le serveur refuse de traiter la demande." Erreur 0x80072035).

Il n'y a cependant pas de mécanisme "pris en charge" pour écrire des hachages bruts dans le répertoire.


10
2018-06-06 21:58





Cet article de la base de connaissances indique que vous pouvez écrire le mot de passe sous forme de chaîne d'octets unicode (du mot de passe en texte brut) pour un utilisateur. unicodePwd attribut. C'est décrit pour Windows 2000, mais pour autant que je sache, cela n'a pas changé.

Cet article de blog inclut un script Perl qui implémente le processus et sur lequel vous pouvez vous reporter pour plus de détails. Voici un autre exemple en Java.

Je pense que le mot de passe de l'utilisateur attribut est un alias pour unicodePwd, mais je ne sais pas si c'est vrai.

Remarque: Vous devez utiliser une connexion SSL à LDAP pour mettre à jour le mot de passe d'un utilisateur. AD n'autorisera pas les mises à jour de mot de passe sur un canal non crypté.


3
2018-06-06 22:05



Bien que correct, gérer avec Powershell est beaucoup plus facile que les scripts Perl ou Java. - HostBits