この記事では、Ldifde ツールを使用してユーザーのパスワードを設定する方法について説明します。
元の KB 番号: 263991
詳細
Active Directory で使用されるパスワード属性は "unicodePwd" です。 この属性は、制限された条件下で書き込むことができますが、読み取ることはできません。 この属性は変更のみ可能で、オブジェクトの作成時に追加したり、検索で読み取ったりすることはできません。
この属性を変更するには、クライアントに 128 ビットの Secure Sockets Layer/Transport Layer Security (SSL/TLS) または SASL で暗号化されたサーバーへの接続が必要です。 高暗号化パックは、クライアントとサーバーの両方にインストールする必要があります。
Note
SASL 暗号化を使用する場合は、LDIFDE の "/h" 引数を使用できます。
base-64 エンコーダーを使用する場合は、Unicode がサポートされていることを確認するか、正しくないパスワードを作成する必要があります。
unicodePwd 属性を変更するには、2 つの方法があります。 1 つ目は、一般的なユーザーパスワード変更操作に似ています。 この場合、変更要求には削除操作と追加操作の両方が含まれている必要があります。 削除操作には、引用符で囲まれた現在のパスワードを含め、RFC 1521 で説明されているように Base64 でエンコードする必要があります。 追加操作には、引用符で囲まれた新しいパスワードを含め、Base64 でエンコードする必要があります。
属性を変更する 2 つ目の方法は、ユーザーのパスワードをリセットする管理者に似ています。 これを行うには、クライアントは、他のユーザーのパスワードを変更するための十分な権限を持つユーザーを管理者としてバインドしている必要があります。 変更要求には、引用符で囲まれた新しいパスワードで単一の置換操作を含め、Base64 でエンコードする必要があります。 クライアントに十分な権限がある場合、このパスワードは、古いパスワードが何であったかに関係なく、新しいパスワードになります。
次のサンプル Ldif ファイル (chPwd.ldif) は、パスワードを newPassword に変更します。
dn: CN=TestUser,DC=testdomain,DC=com
changetype: modify
replace: unicodePwd
unicodePwd::IgBuAGUAdwBQAGEAcwBzAHcAbwByAGQAIgA=
-
chPwd.ldif ファイルをインポートするには、次のコマンドを使用します。
- SSL/TLS:
ldifde -i -f chPwd.ldif -t 636 -s \<dcname> -b \<username> \<domain> \<password> - SASL:
ldifde -i -f chPwd.ldif -h -s \<dcname> -b \<username> \<domain> \<password>
パスワードが適用されたパスワード ポリシーの条件を満たしていない場合、次のエラーがスローされます。
1 行目以降のエントリにエラーを追加する: サーバー側のエラーの実行を望まない場合は、「システムに接続されているデバイスが機能していません。
詳細については、以下のドキュメントをご覧ください。
次の IETF Web サイトの RFC 1521:
RFC 1521
Microsoft からは、テクニカル サポートを検索するのに役立つサード パーティの連絡先情報が提供されています。 この連絡先情報は、予告なしに変更される可能性があります。 Microsoft は、このサード パーティの連絡先情報が正確であることを保証しません。