Microsoft ActiveDirectory — обновление паролей пользователей во внешних хранилищах

[blind_oracle]

Я сделал немного проще — перенёс всю логику по изменению паролей в домене на интранет-портал компании, т.е. пользователю запрещено групповыми политиками менять пароль где-либо.

А зайдя на портал (SSL, of course) юзер может сменить пароль — а бэкенд уже подключится по LDAPS и сменит пароль в домене.
Ну и в процессе, естественно, можно этот пароль еще куда-то применить (те же хэши и т.п.)

[MagicGTS]

Ваш подход, работоспособный, но тянет за собой нарушение привычных процессов работы у пользователя (надо обучать работе в Веб-панели). Особенно если есть ряд сервисов с прозрачной авторизацией (NTLM и Kerberos наше все). Если вы поменяете пароль в Веб-панели, то привет от отвалившегося маркера безопасности вам обеспечен (а перевхоить в сеанс пользователя не круто).
Подход выше рассчитан именно на максимально прозрачное изменение пароля, с сохранением и привычных методов и без прерывания ряда процессов.

[Abyss777]

Я в своих linux сервисах использую напрямую авторизацию в AD с помощью kerberos.
Но вот за подсказку как сделать свой фильтр сложности пароля огромное спасибо! Давно ищу. Ибо windows не позволяет сделать это кроме как с помощью написания своей dll.

[MagicGTS]

Я где могу, тоже так делаю, но вот есть ряд почтовых клиентов, которые CRAM-MD5 держат, а Kerberos нет. Некоторые древние принтеры к примеру или Login (читай в открытою) или тот-же CRAM.

[FilimoniC]

Спасибо за статью. Очень пригодится для фильтрации «стандартно-безопасных» паролей вроде Aa123456
Вот кстати информация о том, как сделать свою DLL для проверки\установки пароля Link

[MagicGTS]

Pre секцию я запустить не смог, в плане проблема была в том, что генерится постоянный отказ в установке пароля. Глубоко я копать не стал, задача у меня была на тот момент иной, но нужен правильный код возврата, который, неожиданно, для успешной установки пароля должен быть не 0!