Définition et modification des mots de passe utilisateur à l’aide du fournisseur LDAP

Pour définir le mot de passe d’un utilisateur, utilisez la méthode IADsUser. SetPassword .

Le fournisseur LDAP pour Active Directory utilise l’un des trois processus pour définir le mot de passe (les annuaires LDAP tiers tels que iPlanet n’utilisent pas ce processus d’authentification par mot de passe). La méthode peut varier en fonction de la configuration du réseau. Les méthodes Set Password se produisent dans l’ordre suivant :

  • Tout d’abord, le fournisseur LDAP tente d’utiliser le protocole LDAP sur une connexion SSL 128 bits. Pour que le protocole SSL LDAP fonctionne correctement, le serveur LDAP doit disposer du certificat d’authentification serveur approprié et les clients qui exécutent le code ADSI doivent approuver l’autorité qui a émis ces certificats. Le serveur et le client doivent prendre en charge le chiffrement 128 bits.
  • Deuxièmement, si la connexion SSL échoue, le fournisseur LDAP tente d’utiliser Kerberos. sur Windows 2000, Kerberos peut ne pas prendre en charge l’authentification inter-forêts. Les améliorations ultérieures de Kerberos prennent en charge l’authentification inter-forêts.
  • Troisièmement, si Kerberos échoue, le fournisseur LDAP tente un appel d’API NetUserSetInfo . Dans les versions précédentes, ADSI a appelé NetUserSetInfo dans le contexte de sécurité dans lequel le thread était en cours d’exécution, et non dans le contexte de sécurité spécifié dans l’appel à IADsOpenDSObject. OpenDSObject ou ADsOpenObject. Dans les versions ultérieures, cela a été modifié afin que le fournisseur LDAP ADSI emprunte l’identité de l’utilisateur spécifié dans l’appel OpenDSObject lorsqu’il appelle NetUserSetInfo.

Pour modifier le mot de passe d’un utilisateur, utilisez la méthode IADsUser. ChangePassword . Comme SetPassword, cette méthode peut utiliser plusieurs processus pour modifier le mot de passe. Les méthodes de modification de mot de passe se produisent dans l’ordre suivant :

  • Tout d’abord, le fournisseur LDAP tente d’utiliser le protocole LDAP sur une connexion SSL 128 bits.
  • Deuxièmement, si la connexion 128-SSL échoue, le fournisseur LDAP tente un appel d’API NetUserChangePassword . Comme SetPassword, dans les versions antérieures, le fournisseur LDAP ADSI emprunte l’identité des informations d’identification de l’utilisateur transmises à l’aide de la méthode IADsOpenDSObject. OpenDSObject ou de la fonction ADsOpenObject .