我正在使用 adldap 插件连接到 Windows Server AD,但据我所知,我的问题是 php ldap_bind。
当用户键入不正确的密码时,从 ldap_error(由 adldap 使用)返回的错误是“无效凭据”。到目前为止一切顺利。
当用户密码过期或在 AD 中用户设置为在下次登录时更改密码(新用户、密码重置等)时,就会出现问题。在这种情况下,无论用户输入什么密码进行身份验证,ldap_error 都会返回“无效凭证”。这意味着我无法判断用户是否真的知道过期密码。
有人知道如何解决这个问题吗?
最佳答案
因为我遇到了同样的问题,所以我搜索了 found a solution .
define(LDAP_OPT_DIAGNOSTIC_MESSAGE, 0x0032)
$handle = ldap_connect('ldap://active.directory.server/');
$bind = ldap_bind($handle, 'user', 'expiredpass');
if (ldap_get_option($handle, LDAP_OPT_DIAGNOSTIC_MESSAGE, $extended_error)) {
echo "Error Binding to LDAP: $extended_error";
} else {
echo "Error Binding to LDAP: No additional information is available.";
}
这会返回如下内容:
Error Binding to LDAP: 80090308: LdapErr: DSID-0C0903D0, comment: AcceptSecurityContext error, data 773, v2580
重要的部分是“数据”之后的代码,代表 LDAP sub codes for error code 49 .
您可以使用此函数解析子代码:
function parseExentedLdapErrorCode($message) {
$code = null;
if (preg_match("/(?<=data\s).*?(?=\,)/", $message, $code)) {
return $code[0];
}
return null;
}
关于php ldap-bind 密码过期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31378207/