ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

LDAPでActiveDirectoryのユーザのパスワード変更 LDAPSで接続が必須ではない

以前、ある製品でActive Directoryを外部DBとしてユーザーのパスワードを変更するには、LDAPSが必須になっていましたが、実は、LDAPでActiveDirectoryのユーザのパスワード変更 LDAPSで接続が必須ではないことを知りました。

 

いつもインプットで使用しているマイクロソフトのサイトです。

 

情報元はこちら。

ActiveDirectoryのユーザのパスワードを更新するためのポートについて

 

質問の抜粋です。

 

LDAPでActiveDirectoryのユーザのパスワード変更を実施するには、LDAPSで接続が必須でしょうか?

以下の記事などを確認、実際にLDAPS(636)で接続するとADのユーザパスワード変更可能、
LDAP(389)で接続すると変更できませんでした。
https://blog.cles.jp/item/10893

ただ、以下事情でLDAPで接続してパスワード変更したいと考えております。

・証明書にAWSACMを使用。ロードバランサ経由でLDAP接続
・LDAPSの終端はロードバランサで、ロードバランサからADへはLDAPで接続。

LDAPで接続してADのユーザパスワード変更が可能な設定などありますでしょうか?
なにか良い方法がありましたらご教授ください。
よろしくお願いします。

 

 

続いて回答内容の抜粋です。

 

LDAPSは必要ではありません。
LDAPでもLDAP_OPT_ENCRYPT 1を設定すればできます。

ActiveDirectoryのユーザのパスワードを更新するための権限について

 

こちらは接続時のパラメータみたいです。

[MS-WKST]: LDAP Bind | Microsoft Docs

 

このタスクは、入力として次を受け入れます。

DomainControllerBindTarget:バインドするドメインコントローラーの名前

AccountNameForBind:バインドでの認証に使用されるアカウント名

PasswordForBind: バインドの認証に使用されるパスワード

暗号化:返された接続でLDAP_OPT_ENCRYPTをLDAP_OPT_ONに設定するかどうかを指定します

DisallowReferrals:返された接続でLDAP_OPT_REFERRALSをLDAP_OPT_OFFに設定するかどうかを指定します

 

Anker PowerCore Fusion 5000 (モバイルバッテリー 搭載 USB充電器 5000mAh) 【PSE技術基準適合/コンセント 一体型/PowerIQ搭載/折りたたみ式プラグ】 iPhone iPad Android各種対応 (ブラック)