以前、ある製品でActive Directoryを外部DBとしてユーザーのパスワードを変更するには、LDAPSが必須になっていましたが、実は、LDAPでActiveDirectoryのユーザのパスワード変更 LDAPSで接続が必須ではないことを知りました。
いつもインプットで使用しているマイクロソフトのサイトです。
情報元はこちら。
ActiveDirectoryのユーザのパスワードを更新するためのポートについて
質問の抜粋です。
LDAPでActiveDirectoryのユーザのパスワード変更を実施するには、LDAPSで接続が必須でしょうか?
以下の記事などを確認、実際にLDAPS(636)で接続するとADのユーザパスワード変更可能、
LDAP(389)で接続すると変更できませんでした。
https://blog.cles.jp/item/10893ただ、以下事情でLDAPで接続してパスワード変更したいと考えております。
・証明書にAWSのACMを使用。ロードバランサ経由でLDAP接続
・LDAPSの終端はロードバランサで、ロードバランサからADへはLDAPで接続。LDAPで接続してADのユーザパスワード変更が可能な設定などありますでしょうか?
なにか良い方法がありましたらご教授ください。
よろしくお願いします。
続いて回答内容の抜粋です。
LDAPSは必要ではありません。
LDAPでもLDAP_OPT_ENCRYPT 1を設定すればできます。
ActiveDirectoryのユーザのパスワードを更新するための権限について
こちらは接続時のパラメータみたいです。
[MS-WKST]: LDAP Bind | Microsoft Docs
このタスクは、入力として次を受け入れます。
DomainControllerBindTarget:バインドするドメインコントローラーの名前
AccountNameForBind:バインドでの認証に使用されるアカウント名
PasswordForBind: バインドの認証に使用されるパスワード
暗号化:返された接続でLDAP_OPT_ENCRYPTをLDAP_OPT_ONに設定するかどうかを指定します
DisallowReferrals:返された接続でLDAP_OPT_REFERRALSをLDAP_OPT_OFFに設定するかどうかを指定します