✖

与OpenLDAP服务器的密码同步

重要：安装密码同步代理以同步本地密码更改和重置。

使用管理员凭证登录到 ADSelfService Plus 管理控制台。
导航到配置 → 自助服务 → 密码同步/单点登录。
选择 OpenLDAP。
注意：您还可以从左侧窗格的搜索栏或右侧窗格的字母导航选项中找到OpenLDAP。
输入应用程序名称和描述。
在分配策略字段中，选择需要启用密码同步的策略。
注意：ADSelfService Plus允许您为AD域创建基于OU和组的策略。要创建策略，请转到 配置 → 自助服务 → 策略配置 → 添加新策略。
选择启用密码同步。
输入OpenLDAP服务器的系统名称或IP地址。
以专有名称格式输入OpenLDAP服务器的域名。例如，dc=example,dc=com。
以专有名称格式输入OpenLDAP服务器的用户名。例如，cn=directory manager,dc=example,dc=com。
输入OpenLDAP服务器的密码。

注意：用户名和密码必须属于安装了OpenLDAP的服务器的管理员帐户。

关于LDAP密码修改扩展操作

LDAP密码修改扩展操作 - （RFC-3062）由IETF在LDAP v.3中引入。此操作允许修改用户密码，不依赖于密码属性和使用的密码存储机制。ADSelfService使用此操作在Active Directory和OpenLDAP之间同步密码。

一旦启用LDAP密码修改扩展操作，密码以明文形式传送到OpenLDAP服务器，由服务器负责更改过程。如果未启用此选项，密码将使用MD5和SHA1进行哈希，哈希后的密码用于通过LDAP修改操作更新userPassword属性。

在ADSelfService Plus中启用此操作可为密码修改和同步过程提供以下好处，这些好处在早期版本的LDAP中不可用：

即使在OpenLDAP目录中用户不由专有名称（DN）表示或在目录中没有条目的情况下，也可以修改用户密码。即使OpenLDAP目录服务器使用的密码未存储为目录中用户条目的属性，也允许修改密码。
与多个密码属性（包括通过与外部认证服务如Samba的集成引入的自定义属性）同步修改后的密码。

重要：在启用LDAP密码修改扩展操作 - （RFC-3062）操作时，必须在OpenLDAP服务器中配置适当的隐私措施，如SSL。如果不这么做，可能会导致密码未经授权的暴露，因为密码以明文形式发送到OpenLDAP服务器。

您的请求已提交给ADSelfService Plus技术支持团队。我们的技术支持人员将尽快为您提供帮助。