Réinitialiser les mots de passe d'un active directory par LDAP

Question

Bonjour,

L'administrateur r&#233;seau de mon bahu m'a demand&#233; de faire un programme en PHP afin qu'il puisse r&#233;initialiser tous les mots de passe de son active directory pendant les vacances scolaires.
Donc, avec PHP, j'arrive &#224; r&#233;cup&#233;rer toutes les donn&#233;es relatives aux Users, mais je n'arrive pas &#224; acc&#233;der aux mots de passe.

Si quelqu'un avait un bout de code afin de me donner une piste pour chercher, je lui en serait tr&#232;s reconnaissant car je n'arrive pas &#224; trouver la mani&#232;re d'acc&#233;der aux mots de passe.

250386

malalam · Answer

Hello,

faut que tu te connectes au ldap avec les droits d'admin.
Tu dois pouvoir acc&#233;der aux mots de passe, g&#233;n&#233;ralement c'est userPassword.
Mais tu ne les verras jamais...
Par contre, tu peux lancer une commande LDAP qui va effectuer un reset.
Exemple pris chez Sun :
 ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: ChAnGeMe

&#224; toi d'utiliser les fonctions ldap de php pour lancer la commande r&#233;initialisant un mot de passe pour un utilisateur donn&#233; (en fonction de son uid quoi).

250386 · Answer

Salut malalam,

merci de m'avoir r&#233;pondu si vite.
J'ai oublier de pr&#233;ciser dans mon post que le serveur &#233;tait sous Win 2K, et ta commande :"ldapmodify -h host -p port -D "cn=Directory Manager" -w password" ressemble plus a une ligne de commande d'un shell linux. 
Je me demandais si proc_open() pouvait executer cette commande pour un serveur Windows.

En attendant je vais aller faire quelques recherches sur ldapmodify.

Merci

250386

malalam · Answer

En fait, LDAP fonctionne avec des requ&#234;tes; et avec ces requ&#234;tes, tu peux effectuer des recherches, ou des modifications (il est loin le temps o&#249; j'&#233;tais champion ldap dans une grosse bo&#238;te...mes souvenirs s'estompent lol d&#233;sol&#233;). Or, les fonctions php pour LDAP te permettent d'&#233;xecuter ces fonctions.
Dans les deux bo&#238;tes pour lesquelles j'ai &#233;t&#233; champion ldap, les deux fonctionnaient avec active directory. Les requ&#234;tes LDAP sont ind&#233;pendantes des plateformes, de ce que j'en sais.
Apr&#232;s bon, comme je te l'ai dit, c'est un peu loin...donc je ne peux pas t'aider tr&#232;s pr&#233;cis&#233;ment. Je sais juste qu'un de ces LDAP &#233;tait g&#233;r&#233; sous php (l'autre sous Perl). Donc, c'est faisable...! (de faire un reset du userPassword, je veux dire, puisqu'on avait acc&#232;s &#224; ces commandes via une interface g&#233;r&#233;e en Perl ou en PHP). Malheureusement, je n'ai jamais acc&#233;d&#233; au code proprement dit.
Quant &#224; la requ&#234;te, aux  lignes de commande pr&#233;cises que l'on utilisait parfois sur nos postes (pour aller polus vite et &#233;viter une connexion au ldap), sous DOS, pour requ&#234;ter le LDAP, je t'avoue que je ne m'en souviens pas pr&#233;cis&#233;ment.

250386 · Answer

Bon ben je vais essayer de trouver des sources alors.

Merci de ton aide!!

cs_ankou22 · Answer

il y a une longue discution (8 pages) sur ce sujet ici:

http://forums.devshed.com/ldap-programming-76/modifying-active-directory-passwords-through-php-and-iis-74683.html

De plus, il te faut utiliser SSL.

si tu y arrive ... partage svp

ANKOU22

Réinitialiser les mots de passe d'un active directory par LDAP

5 réponses

Votre réponse

Discussions similaires