Сброс пароля php ldap при соблюдении политик паролей

Мне удалось сбросить пароль пользователя, используя adldap http://adldap.sourceforge.net/

Есть ли способ определить пароль, который пользователь пытается сбросить, совпадает ли он с последними 5 паролями, которые у них есть в истории паролей?

У нас есть политика, согласно которой пользователь не может использовать один и тот же пароль, для последних 5 паролей активный каталог сохраняет историю.

Я провел несколько дней, исследуя другие места, и мне не повезло.

Функция сброса пароля сбрасывается успешно, но мне нужно, чтобы она соблюдала политику истории паролей.


php ldap codeigniter adldap
person Brad    schedule 04.01.2012    source источник
comment
Хороший вопрос - страшное использование php ldap, имхо. Я использовал клиенты приложений ldap только для чтения или стандартную аутентификацию на основе билетов перенаправления, требуя от пользователя пройти другие стандартные способы изменения своего пароля. Вы можете легко реализовать политику сложности - без понятия об истории!   -  person Matt H    schedule 05.01.2012
comment
Он запрашивает ответ на две части информации, прежде чем приступить к функции сброса пароля, но поскольку он является привязкой к учетной записи администратора, он игнорирует политику. Я предполагаю, что у других была такая же проблема, и они внедрили автоматизированное безопасное решение.   -  person Brad    schedule 05.01.2012
comment
Я немного погуглил, прежде чем комментировать, и видел похожие проблемы, но не решения. Я также искал какой-то рекламный веб-сервис, чтобы захватить историю, но безуспешно.   -  person Matt H    schedule 05.01.2012

Ответы (1)


arrow_upward
0
arrow_downward

Сервер каталогов управляет политикой паролей. Приложению просто нужно доверять серверу каталогов, чтобы обеспечить историю паролей и проверки качества, а также установить соответствующие коды результатов в ответах. Приложения никогда не должны предполагать подробности о реализации сервера (LDAP или что-то еще), потому что такая практика создает хрупкий код, который не является надежным.

Кроме того, пароли должны передаваться в виде открытого текста по безопасному соединению, чтобы сервер каталогов мог гарантировать историю паролей и проверку качества. Взаимодействие LDAP в критически важной или нетривиальной среде всегда должно осуществляться через защищенное соединение.

person Terry Gardner    schedule 05.01.2012
comment
Спасибо, он возвращает ошибку 53 Сервер не хочет работать, когда я ввожу пароль из 7 символов, политика длины устанавливает пароль длиной не менее 8 символов, но он по-прежнему игнорирует политику истории паролей. - person Brad; 10.01.2012