2. 程式人生 > >LDAP基礎:8:ldap使用者密碼確認和修改

LDAP基礎:8:ldap使用者密碼確認和修改

阿新 發佈:2018-11-17

ldap使用者密碼的修改可以使用ldappasswd命令,也可以使用萬能的ldapmodify結合ldif檔案來實現,但所修改的都是普通的使用者,cn=admin的管理員使用者的修改一般可以通過slappasswd來進行,由於本系列使用了openldap的docker映象,此項功能已被封裝,通過設定環境變數即可輕易實現。

修改密碼的常用方式

  • ldappasswd命令
  • ldapmodify命令結合ldif檔案
  • slappasswd命令

管理員密碼的設定

管理員密碼的設定可以通過slappasswd,由於本系列文章的示例使用了osixia的openldap映象,cn=admin的密碼設定,只需要對環境變數LDAP_ADMIN_PASSWORD進行設定即可。

Option介紹

ldapmodify常用Option

ldapmodify常用的Option的資訊和用途整理如下:

Option 說明
-H ldapuri,格式為ldap://機器名或者IP:埠號,不能與-h和-p同時使用
-h LDAP伺服器IP或者可解析的hostname,與-p可結合使用,不能與-H同時使用
-p LDAP伺服器埠號,與-h可結合使用,不能與-H同時使用
-x 使用簡單認證方式
-D 所繫結的伺服器的DN
-w 繫結DN的密碼,與-W二者選一
-W 不輸入密碼,會互動式的提示使用者輸入密碼,與-w二者選一
-c 出錯後忽略當前錯誤繼續執行,預設情況下遇到錯誤即終止
-n 模擬操作但並不實際執行,用於驗證,常與-v一同使用進行問題定位
-v 顯示詳細資訊
-d 顯示debug資訊,可設定級別
-e 設定客戶端證書
-E 設定客戶端私鑰

ldappasswd常用Option

ldappasswd常用的Option的資訊和用途整理如下:

Option 說明
-H ldapuri,格式為ldap://機器名或者IP:埠號,不能與-h和-p同時使用
-h LDAP伺服器IP或者可解析的hostname,與-p可結合使用,不能與-H同時使用
-p LDAP伺服器埠號,與-h可結合使用,不能與-H同時使用
-x 使用簡單認證方式
-D 所繫結的伺服器的DN
-w 繫結DN的密碼,與-W二者選一
-W 不輸入密碼,會互動式的提示使用者輸入密碼,與-w二者選一
-n 模擬操作但並不實際執行,用於驗證,常與-v一同使用進行問題定位
-v 顯示詳細資訊
-d 顯示debug資訊,可設定級別
-S 互動式進行密碼的提示和輸入以及Re-enter,與-s二者選一
-s 將指定內容設為密碼,與-S二者選一

事前準備

  • 使用ldif方式建立barbara使用者的資訊
liumiaocn:openldap liumiao$ cat barbara.ldif 
dn: cn=Barbara Jensen,dc=example,dc=org
changetype: add
objectClass: inetOrgPerson
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
title: the world's most famous mythical manager
mail: [email protected]
uid: bjensen
liumiaocn:openldap liumiao$
  • 使用者新增
liumiaocn:openldap liumiao$ ldapadd -H ldap://192.168.31.242:389 -D "cn=admin,dc=example,dc=org" -w admin -f barbara.ldif
adding new entry "cn=Barbara Jensen,dc=example,dc=org"

liumiaocn:openldap liumiao$
  • 結果確認
liumiaocn:openldap liumiao$ ldapsearch -x -h 192.168.31.242 -p 389 -b "dc=example,dc=org" -D "cn=admin,dc=example,dc=org" -w admin "uid=bjensen"
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=org> with scope subtree
# filter: uid=bjensen
# requesting: ALL
#

# Barbara Jensen, example.org
dn: cn=Barbara Jensen,dc=example,dc=org
objectClass: inetOrgPerson
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
title: the world's most famous mythical manager
mail: [email protected]
uid: bjensen

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
liumiaocn:openldap liumiao$

修改密碼

方式1: ldappasswd不指定密碼

不指定密碼的情況下,ldappasswd會給你生成一個密碼。ldap的使用者密碼是通過userPassword來儲存的,但是在使用ldif的時候沒有這個欄位,所以可以使用前文中提到的方式使用ldapmodify來進行新增,也可使用如下方式:

liumiaocn:openldap liumiao$ ldappasswd -x -h 192.168.31.242 -p 389 -D "cn=admin,dc=example,dc=org" -w admin  "cn=Barbara Jensen,dc=example,dc=org"
New password: VSzhfbwA
liumiaocn:openldap liumiao$

可以看到自動建立了一個密碼串VSzhfbwA給指定的Barbara使用者,然後來重新對此使用者進行確認,可以看到加密後的userPassword資訊已經出現在LDIF中了。

liumiaocn:openldap liumiao$ ldapsearch -x -h 192.168.31.242 -p 389 -b "dc=example,dc=org" -D "cn=admin,dc=example,dc=org" -w admin "uid=bjensen"
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=org> with scope subtree
# filter: uid=bjensen
# requesting: ALL
#

# Barbara Jensen, example.org
dn: cn=Barbara Jensen,dc=example,dc=org
objectClass: inetOrgPerson
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
title: the world's most famous mythical manager
mail: [email protected]
uid: bjensen
userPassword:: e1NTSEF9ZDYwU1NNMjJxb05vOTZ6OHg4b1JVMmxuRmpKNmR2SjE=

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
liumiaocn:openldap liumiao$

結果驗證

驗證方法1: 使用java的JNDI

對修改的密碼進行驗證,可以使用前文中的Java的JNDI做的簡單的程式碼進行驗證:

liumiaocn:~ liumiao$ java LdapDemo 192.168.31.242 "cn=Barbara Jensen,dc=example,dc=org" "VSzhfbwA"
IPAdress: 192.168.31.242
Username: cn=Barbara Jensen,dc=example,dc=org
Password: VSzhfbwA
env setting
login verification begins...
login successfully.
liumiaocn:~ liumiao$

詳細參看:

驗證方法2: 使用ldapsearch等命令

考慮到許可權,只查詢自己的資訊,看看是否能夠正確返回,主要是用於驗證-w的內容

liumiaocn:~ liumiao$ ldapsearch -x -h 192.168.31.242 -p 389 -b "cn=Barbara Jensen,dc=example,dc=org" -D "cn=Barbara Jensen,dc=example,dc=org" -w VSzhfbwA "uid=bjensen"
# extended LDIF
#
# LDAPv3
# base <cn=Barbara Jensen,dc=example,dc=org> with scope subtree
# filter: uid=bjensen
# requesting: ALL
#

# Barbara Jensen, example.org
dn: cn=Barbara Jensen,dc=example,dc=org
objectClass: inetOrgPerson
cn: Barbara Jensen
cn: Babs Jensen
sn: Jensen
title: the world's most famous mythical manager
mail: [email protected]
uid: bjensen
userPassword:: e1NTSEF9ZDYwU1NNMjJxb05vOTZ6OHg4b1JVMmxuRmpKNmR2SjE=

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
liumiaocn:~ liumiao$

因為錯誤的時候必然會提示:

liumiaocn:~ liumiao$ ldapsearch -x -h 192.168.31.242 -p 389 -b "cn=Barbara Jensen,dc=example,dc=org" -D "cn=Barbara Jensen,dc=example,dc=org" -w VSzhfbwA1 "uid=bjensen"
ldap_bind: Invalid credentials (49)
liumiaocn:~ liumiao$

所以以此類推,很多命令和Option都可以進行利用,比如-n,各種擴充套件方式可自行展開。

ldappasswd使用-s指定修改密碼

前文不指定密碼的方式實際是使用admin對其他使用者的密碼進行重設,使用者自己知道密碼的情況下,進行更新則可以使用這種方式,比如:

liumiaocn:openldap liumiao$ ldappasswd -x -h 192.168.31.242 -p 389 -D "cn=Barbara Jensen,dc=example,dc=org" -w VSzhfbwA -s liumiao123
liumiaocn:openldap liumiao$ echo $?
0
liumiaocn:openldap liumiao$

這樣Barbara就將自己的密碼改成了liumiao123,結果確認發現,密碼能夠正常使用

liumiaocn:~ liumiao$ java LdapDemo 192.168.31.242 "cn=Barbara Jensen,dc=example,dc=org" "liumiao123"
IPAdress: 192.168.31.242
Username: cn=Barbara Jensen,dc=example,dc=org
Password: liumiao123
env setting
login verification begins...
login successfully.
liumiaocn:~ liumiao$

結合這兩種方式,常見的密碼重設問題基本都可以解決,比如在不知道密碼的情況下,可以使用方式1先通過admin進行重新生成密碼,再使用方式2重新設定指定密碼,當然ldappasswd還有很多其他有用Option,使用方式可自行探索。

方式3: 使用ldapmodify來進行密碼修改

ldapmodify作為一個萬能命令,除了查詢無法實現之外,增刪改方面有廣泛的應用,對於密碼修改自然也非常方便,其實使用前文介紹的方法就可以,這裡再次示例如下:

  • 準備修改密碼的ldif檔案,在檔案中設定密碼為babspw
liumiaocn:openldap liumiao$ cat modifybarbara.ldif 
dn: cn=Barbara Jensen,dc=example,dc=org
changetype: modify
replace: userPassword
userPassword: babspw
liumiaocn:openldap liumiao$
  • 使用ldapmodify修改密碼
liumiaocn:openldap liumiao$ ldapmodify -a -H ldap://192.168.31.242:389 -D "cn=admin,dc=example,dc=org" -w admin -f modifybarbara.ldif 
modifying entry "cn=Barbara Jensen,dc=example,dc=org"

liumiaocn:openldap liumiao$
  • 結果確認
liumiaocn:~ liumiao$ java LdapDemo 192.168.31.242 "cn=Barbara Jensen,dc=example,dc=org" "babspw"
IPAdress: 192.168.31.242
Username: cn=Barbara Jensen,dc=example,dc=org
Password: babspw
env setting
login verification begins...
login successfully.
liumiaocn:~ liumiao$

相關推薦

LDAP基礎8ldap使用者密碼確認修改

ldap使用者密碼的修改可以使用ldappasswd命令,也可以使用萬能的ldapmodify結合ldif檔案來實現,但所修改的都是普通的使用者,cn=admin的管理員使用者的修改一般可以通過slappasswd來進行,由於本系列使用了openldap的docker映象,此項功能已被封

彙編基礎練習題8在資料區定義一個位元組型變數a1,a1中有一個元素,讀取a1中的值並利用2題中的輸出子程式輸出顯示。

彙編基礎練習題8: 在資料區定義一個位元組型變數a1,a1中有一個元素,讀取a1中的值並利用2題中的輸出子程式輸出顯示。 編譯工具:Masm for Windows 整合實驗環境2012.5 (附帶一個工具下載地址https://download.csdn.net/download/

vivado xdc約束基礎知識8Vivado時序收斂的方法

Vivado時序收斂的方法一個好的FPGA設計一定是包含兩個層面:良好的程式碼風格和合理的約束。時序約束作為FPGA設計中不可或缺的一部分,已發揮著越來越重要的作用。毋庸置疑,時序約束的最終目的是實現時序收斂。時序收斂作為 FPGA設計的重要驗證手段之一,是保證FPGA正常工

TensorFlow入門教程8訓練資料之Iris資料集

Irises,聞名於世的不只是梵高那副價值超過5000萬美元的鳶尾花,同時還有Iris資料集。 Iris資料集由英國統計學家/生物學家Ronald Fisher在1936年所收集,共包含150條資料,

WeblogicJava呼叫Weblogic API建立使用者修改密碼

介紹 如果要使用Weblogic內嵌的LDAP來做驗證,普通使用者無法直接修改自己的密碼,需要管理員登入weblogic console才能進行修改。weblogic提供api使用java程式碼來修改。 程式碼 import java.io.IOException; im

華為交換機賬號密碼設定修改

1.在命令模式下:輸入:systerm-view 進入系統檢視模式2.在系統檢視模式命令列下:輸入: aaa 進入AAA認證模式3.新增遠端登陸使用者,並設定使用者密碼及密碼加密方式進入AAA模式命令列下:輸入 :local-user test password cipher welcome新增新使用者為:t

LDAP基礎2使用Java驗證OpenLdap使用者登入

這篇文章整理一下如何使用Java進行OpenLdap使用者登陸驗證。 事前準備 有自己的Ldap伺服器或者使用OpenLdap搭建一個簡單的伺服器,可以參看: https://blog.csdn.net/liumiaocn/article/details/837195

LDAP基礎1使用docker快速搭建OpenLdap伺服器

LDAP是Lightweight Directory Access Protocol的縮寫,提供LDAP服務的軟體有很多商業上獲得成功的,其中以MS的AD和Redhat的NDS(Netscape directory server)使用最為廣泛,而開源領域則是OpenLdap了,這篇文章

LDAP基礎3通過389埠對openldap進行操作

在前面的文章中介紹瞭如何使用docker快速搭建ldap服務並進行確認,以及在java中如何使用jndi對ldap進行訪問,但是按照官方github上的示例,由於沒有將埠暴露出來,所以在宿主機對容器內執行的openldap服務進行訪問只能通過容器IP,而且前提是宿主機和容器是能夠互通的。

LDAP基礎4基礎知識以及LDIF格式說明

前面的文章介紹瞭如何用docker的方式快速搭建OpenLdap服務,這篇文章整理一些最為基礎的知識以方便後續對於ldap的操作有一個簡單地認識。 什麼是LDAP LDAP是 Lightweight Directory Access Protocol的縮寫,直譯過來是“輕量目錄訪

LDAP基礎6使用ldapsearch進行資料查詢

在前面的文章中,我們已經多次使用ldapsearch進行資訊的查詢,但都是一條命令查詢出所有內容,這篇文章對於ldapsearch的常用方式進行進一步的解釋和說明。 操作方式 執行場所 對LDAP進行操作,場所不限,LDAP伺服器上進行操作,也可以在可以連線LDAP服務的客戶

LDAP基礎5使用ldapadd進行資料增加

在前面的文章中學習到了如何搭建openldap服務,以及如何從客戶端進行訪問,同時最基礎的ldap的概念和樹形結構的常見構成方式也多少有些涉及,在這個基礎之上,就可以開始使用LDAP了。這篇文章來介紹一下如何建立相關的資訊。 建立內容 這裡我們將會聚焦於下圖灰色部分的建立,這也是

LDAP基礎7使用ldapmodifyldapdelete進行修改或刪除

這篇文章主要介紹一下如何使用ldapmodify和ldapdelete進行資訊的修改或者刪除,並在前面新增的資料的基礎上進行一些簡單的例子的操作。 操作方式 執行場所 對LDAP進行操作,場所不限,LDAP伺服器上進行操作,也可以在可以連線LDAP服務的客戶端進行 使用命

LDAP基礎9客戶端工具使用Apache Directory Studio進行操作

前面的文章介紹了LDAP伺服器的搭建以及通過ldap相關的命令進行操作的方法,對於不習慣*nix或命令列操作的使用者,也無需糾結,有很多不錯的客戶端工具可以實現這個功能,這篇文章介紹一下Apache Directory Studio。 Apache Directory Studio

LDAP基礎10服務端工具使用phpLDAPadmin進行操作

在上篇文章中介紹瞭如何使用Apache Directory Studio的客戶端來操作LDAP,但是這種方式需要安裝客戶端工具。在這篇文章裡將介紹伺服器端的工具phpLDAPadmin,這樣使用者通過瀏覽器即可獲得對於OpenLdap操作的能力。 事前準備 docker-comp

Java基礎面試題使用最快的效率將2變成8

Java基礎面試題:使用最快的效率將2變成8 原理:將被轉換的數字進行位移運算 package blog.csdn.net.karen.javasedemo; /** * 位移運算演示 * <p> * Created by Karen Chia

無線通訊基礎知識17訊號完整性處理的8個基本原則

1、電容上電壓變化時必然形成電流。對於高頻訊號分量,即使很小的分佈電容都可能有很低的阻抗,從而使得訊號完整性問題變得很嚴重。 2、電感與圍繞電流周圍的磁力線匝數本質上是一致的。只要電流或者磁力線匝數發生改變,在導線的兩端就會產生電壓。這一電壓導致了地彈(Ground Bounce)、反射和串

Gradle基礎8:使用plugin進行jar檔案打包

這篇文章主要目的是用來介紹plugin,為了對本身非常枯燥的內容進行說明,這裡特意跟前面的文章一樣,準備了一個更加枯燥的例子(如何使用gradle的java plugin來打出一個jar檔案),在枯燥的的gradle的學習的旅程中新增一絲不那麼煩躁的情緒。 gradle的plugin

JAVA高階基礎8)---Set的典型實現(一)HashSet

HHashSet 注:更多詳細方法請自行在 API 上查詢 HashSet 是由hash表(hashMap)支援,不保證元素的迭代順恆久不變,允許存在null值,元素不允許重複,同時,不是執行緒安全的 HashSet是基於HashMap實現的。   &n

Python基礎8python中的特性進階篇(迭代,列表生成式,生成器,迭代器)

python中還包括一些高階特性,以下簡單介紹。 迭代 定義:用for迴圈來遍歷物件的過程,叫做迭代。 作用物件:可迭代物件 如何判斷是否為可迭代物件:isinstance(xxx,Iterable),Iterable型別來源於collections模組。 應用場景: 1