python-ldap修改AD域用户密码(CA+SSL)
2017-05-26 12:59
441 查看
代码连接:https://github.com/raykuan/msldap
使用python的ldap模块连接AD服务器,有两种方式:
非加密:con = ldap.initialize('ldap://myhost.com:389)
加密(SSL):con = ldap.initialize('ldaps://myhost.com:636)
使用非加密的ldap时,只能对AD域账号信息查询。如果要对AD域用户信息进行修改和新增操作,必须使用(SSL)加密方式连接AD,需满足如下几个条件:
① AD上需要安装证书服务
② 连接AD的主机上使用http://myhost.com/certsrv/打开浏览器申请证书
③ 如果连接AD的主机是Linux,需要安装openssl包,制作CA证书
# 使用openssl命令把申请到的AD主机上的CA证书格式转换为.pem
openssl x509 -in master.cer -inform der -outform pem -out master.pem
# 使用openssl命令指定CA证书连接到AD主机
openssl s_client -connect myhost:636 -CAfile /path/to/master.pem
# 查看CN subject信息,python中ldap初始化的时间需要保证和CN的域名一致
openssl x509 -noout -text -in imsva_cert.pem | grep Subject
Subject: C=en, ST=xx, O=yy, OU=zz, CN=test.com
con = ldap.initialize('ldaps://myhost.com')
可以在/etc/hosts文件下增加域名解析记录
④ 在Python的ldap初始化连接AD前,设置CA证书文件加载
注意:此处dn是有管理员权限的AD用户,通过绑定此用户才能使用ldaps对域用户的信息进行增删改,查询的时间一般使用非SSL连接,普通用户即可。
使用python的ldap模块连接AD服务器,有两种方式:
非加密:con = ldap.initialize('ldap://myhost.com:389)
加密(SSL):con = ldap.initialize('ldaps://myhost.com:636)
使用非加密的ldap时,只能对AD域账号信息查询。如果要对AD域用户信息进行修改和新增操作,必须使用(SSL)加密方式连接AD,需满足如下几个条件:
① AD上需要安装证书服务
② 连接AD的主机上使用http://myhost.com/certsrv/打开浏览器申请证书
③ 如果连接AD的主机是Linux,需要安装openssl包,制作CA证书
# 使用openssl命令把申请到的AD主机上的CA证书格式转换为.pem
openssl x509 -in master.cer -inform der -outform pem -out master.pem
# 使用openssl命令指定CA证书连接到AD主机
openssl s_client -connect myhost:636 -CAfile /path/to/master.pem
# 查看CN subject信息,python中ldap初始化的时间需要保证和CN的域名一致
openssl x509 -noout -text -in imsva_cert.pem | grep Subject
Subject: C=en, ST=xx, O=yy, OU=zz, CN=test.com
con = ldap.initialize('ldaps://myhost.com')
可以在/etc/hosts文件下增加域名解析记录
④ 在Python的ldap初始化连接AD前,设置CA证书文件加载
import ldap # point to the cert cert_file='/path/to/master.pem' ldap.set_option(ldap.OPT_X_TLS_CACERTFILE, cert_file) con = ldap.initialize('ldaps://myhost.com') dn = 'CN=me,DC=myhost,DC=com' pw = 'password' con.simple_bind_s(dn, pw)
注意:此处dn是有管理员权限的AD用户,通过绑定此用户才能使用ldaps对域用户的信息进行增删改,查询的时间一般使用非SSL连接,普通用户即可。
相关文章推荐
- Java添加、修改MS AD用户密码&配置AD、CA、SSL,绑定keystore
- 用JAVA通过LDAP修改AD用户密码注意事项
- Python 操作LDAP实现用户统一认证密码修改功能
- 用JAVA通过LDAP修改AD用户密码注意事项
- ldap接触(2)之修改AD域用户密码
- 用Excel函数简化批量导入AD用户及修改密码
- 巧用Excel函数,简化批量导入AD用户及密码修改
- AD 中设定用户不能修改密码方法
- WEb 修改AD域用户密码最简单直接的方法
- Web自助修改AD域用户密码
- web方式自助修改AD域用户密码
- 修改AD的用户的密码出错,哎
- 如何设置AD用户的"用户下次登陆时须更改密码"属性 (LDAP Provider)
- 用Excel函数简化批量导入AD用户及修改密码 推荐
- SharePoint2013 以其他用户登录和修改AD域用户密码 功能
- 批量修改某一OU中AD用户密码
- 深度剖析修改AD用户密码的数据同步机制 推荐
- LDAP 设置AD用户密码
- 在SharePoint中修改AD用户密码的WebPart
- 修改AD用户密码