如何在LDAP中更改用户名,电子邮件或电话号码信息?

时间:2011-12-16 15:12:00

标签: php arrays ldap openldap ldap-query

我有这个脚本,通过它我可以更改我的LDAP密码,但我也想更改我的用户名或全名或电子邮件或电话号码。我怎样才能做到这一点?当我回复记录时,我只收到类似我的姓名和电子邮件的信息,但是我需要做些什么才能使ldap_modify更改我的全名或电话号码或电子邮件或用户ID?

<?php
$server = "ldap://ldap";
$dn = "ou=People,DC=ssdfg,DC=sadad,DC=com";
$message = array();

function changePassword($server,$dn,$user,$oldPassword,$newPassword,$newPasswordCnf){
  global $message;

  error_reporting(0);

  $con=ldap_connect($server);
  ldap_set_option($con, LDAP_OPT_PROTOCOL_VERSION, 3);

  $findWhat = array ("cn","mail");
  $findWhere = $dn;
  $findFilter = "(uid=$user)";

  #bind anon and find user by uid
  $sr = ldap_search($con,$dn,$findFilter,$findWhat);
  $records = ldap_get_entries($con, $sr);
   echo "<pre>";print_r($records);
  /* error if found more than one user */
  if ($records["count"] != "1") {
    $message[] = "Error E100 - Wrong user.";
    return false; 
  }else {
    $message[] = "Found user <b>".$records[0]["cn"][0]."</b>";
  }

  /* try to bind as that user */
  if (ldap_bind($con, $records[0]["dn"], $oldPassword) === false) {
    $message[] = "Error E104 - Current password is wrong.";
    return false;
  }
  else { }

  if ($newPassword != $newPasswordCnf ) {
    $message[] = "Error E101 - New passwords do not match! ";
    return false;
  }
  if (strlen($newPassword) < 8 ) {
    $message[] = "Error E102 - Your new password is too short! ";
    return false;
  }
  if (!preg_match("/[0-9]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one digit. ";
    return false;
  }
  if (!preg_match("/[a-zA-Z]/",$newPassword)) {
    $message[] = "Error E103 - Your password must contain at least one letter. ";
    return false;
  }


  /* change the password finally */
  $entry = array();
  $entry["userPassword"] = "{SHA}" . base64_encode( pack( "H*", sha1( $newPassword ) ) );
  if (ldap_modify($con,$records[0]["dn"],$entry) === false){
    $message[] = "E200 - Your password cannot be change, please contact the administrator.";
  }
  else { 
    $message[] = " Your password has been changed. "; 
    //mail($records[0]["mail"][0],"Password change notice : ".$user,"Your password has just been changed."); 
    } 
}  

?>

2 个答案:

答案 0 :(得分:1)

更改您的$ findwhat变量以使其中包含*,您将获得您正在执行搜索的帐户所具有的所有用户属性。请注意,匿名可能无法看到太多,它肯定无法更新。我的建议是在您的目录中创建一个帐户,该帐户具有您需要的所有权限,并根据该帐户执行所有操作(当然,除了身份验证之外)。

修改其他属性应该只是将它们包含在$ entry数组中。您需要使用正确的属性名称,但在将$ findwhat更改为*后将其打印出来时会看到它们。

Apache Directory Studio也是一个很好的免费工具,用于处理目录。有一点很酷的是,您可以查看搜索和修改日志,并查看它发送到目录的ldif操作。然后你可以在你的代码中复制它。

答案 1 :(得分:0)

除非使用ALL_ATTRIBUTES值,否则必须请求属性,通常这是星号,但并非总是如此。目录服务器必须允许客户端检索值,userPassword通常仅限于具有更多权限的用户。

要修改属性值,请使用可分辨名称,属性和新值构建修改请求。

有几点需要注意:

  • 当客户端向请求发送响应时,LDAP客户端应检查响应控件。未能检查响应控件将导致LDAP客户端可能缺少来自服务器的重要信息
  • 为什么这个客户端64编码密码?目录服务器永远不应接受预编码密码(服务器应配置为拒绝预编码密码),因为服务器无法对预编码密码执行密码质量和历史记录检查。由于这些和其他原因,传输预编码密码是一个糟糕的想法,所有客户都应该拒绝这种做法。 LDAP客户端必须使用安全连接(SSL,TLS或ipsec)并以明文形式传输密码或使用外部SASL绑定请求。为了更好的安全性,请使用需要现有密码的password modify extended request,并为用户生成密码。
  • 此客户端似乎无法响应来自服务器的未经请求的通知。目录服务器可以发送未经请求的扩展结果,即不响应客户端请求。客户端必须能够处理这些通知,这些通知通常是服务器因任何原因断开客户端的通知。

有关详细信息,请参阅"LDAP: Programming Practices"

相关问题
最新问题