Eu estou querendo saber qual formato eu preciso colocar hashes para escrever para userPassword via LDAP. O Apache Directory Studio me oferece várias opções, mas não acho que nenhuma delas seja. Alguém pode documentar a codificação e os algoritmos adequados usados por padrão para o AD 2003r2?
Você não pode escrever hashes de senha no Active Directory via LDAP. Você pode atualizar o atributo "unicodePwd" via LDAP sobre SSL. (Se você não estiver usando o SSL, receberá de volta o erro "O servidor não está disposto a processar a solicitação". 0x80072035).
Não existe um mecanismo "suportado" para escrever hashes não processados no diretório.
Este artigo da base de conhecimento indica que você pode gravar a senha como uma cadeia de octetos unicode (da senha de texto sem formatação) para o atributo unicodePwd do usuário. Ele é descrito para o Windows 2000, mas, até onde eu sei, isso não mudou.
Este post no blog inclui um script Perl que implementa o processo, e para o qual você pode procurar mais detalhes. Aqui está outro exemplo em Java.
Eu acho que o atributo userPassword é um apelido para unicodePwd , mas eu não sei se isso é verdade.
Observação: você deve usar uma conexão SSL com o LDAP para atualizar a senha de um usuário; O AD não permitirá atualizações de senha em um canal não criptografado.