Qual é o formato / algoritmo hash padrão do Active Directory?

6

Eu estou querendo saber qual formato eu preciso colocar hashes para escrever para userPassword via LDAP. O Apache Directory Studio me oferece várias opções, mas não acho que nenhuma delas seja. Alguém pode documentar a codificação e os algoritmos adequados usados por padrão para o AD 2003r2?

    
por jldugger 06.06.2011 / 23:47

2 respostas

10

Você não pode escrever hashes de senha no Active Directory via LDAP. Você pode atualizar o atributo "unicodePwd" via LDAP sobre SSL. (Se você não estiver usando o SSL, receberá de volta o erro "O servidor não está disposto a processar a solicitação". 0x80072035).

Não existe um mecanismo "suportado" para escrever hashes não processados no diretório.

    
por 06.06.2011 / 23:58
3

Este artigo da base de conhecimento indica que você pode gravar a senha como uma cadeia de octetos unicode (da senha de texto sem formatação) para o atributo unicodePwd do usuário. Ele é descrito para o Windows 2000, mas, até onde eu sei, isso não mudou.

Este post no blog inclui um script Perl que implementa o processo, e para o qual você pode procurar mais detalhes. Aqui está outro exemplo em Java.

Eu acho que o atributo userPassword é um apelido para unicodePwd , mas eu não sei se isso é verdade.

Observação: você deve usar uma conexão SSL com o LDAP para atualizar a senha de um usuário; O AD não permitirá atualizações de senha em um canal não criptografado.

    
por 07.06.2011 / 00:05