Comments 6
Я сделал немного проще — перенёс всю логику по изменению паролей в домене на интранет-портал компании, т.е. пользователю запрещено групповыми политиками менять пароль где-либо.
А зайдя на портал (SSL, of course) юзер может сменить пароль — а бэкенд уже подключится по LDAPS и сменит пароль в домене.
Ну и в процессе, естественно, можно этот пароль еще куда-то применить (те же хэши и т.п.)
А зайдя на портал (SSL, of course) юзер может сменить пароль — а бэкенд уже подключится по LDAPS и сменит пароль в домене.
Ну и в процессе, естественно, можно этот пароль еще куда-то применить (те же хэши и т.п.)
0
Ваш подход, работоспособный, но тянет за собой нарушение привычных процессов работы у пользователя (надо обучать работе в Веб-панели). Особенно если есть ряд сервисов с прозрачной авторизацией (NTLM и Kerberos наше все). Если вы поменяете пароль в Веб-панели, то привет от отвалившегося маркера безопасности вам обеспечен (а перевхоить в сеанс пользователя не круто).
Подход выше рассчитан именно на максимально прозрачное изменение пароля, с сохранением и привычных методов и без прерывания ряда процессов.
Подход выше рассчитан именно на максимально прозрачное изменение пароля, с сохранением и привычных методов и без прерывания ряда процессов.
0
Я в своих linux сервисах использую напрямую авторизацию в AD с помощью kerberos.
Но вот за подсказку как сделать свой фильтр сложности пароля огромное спасибо! Давно ищу. Ибо windows не позволяет сделать это кроме как с помощью написания своей dll.
Но вот за подсказку как сделать свой фильтр сложности пароля огромное спасибо! Давно ищу. Ибо windows не позволяет сделать это кроме как с помощью написания своей dll.
0
Sign up to leave a comment.
Microsoft ActiveDirectory — обновление паролей пользователей во внешних хранилищах