背景:公司原有的修改密码是一个前后端不分离的项目,而且非常古老,于是就想着在新项目中使用ldap出一个修改密码的接口。
经历:基本花了两天去踩各种坑,遇到的主要报错有:
1、LDAP Result Code 2 "Protocol Error"这个报错是使用库里封装的结构体ldap.PasswordModifyRequest,进行修改密码报的错误。
2、LDAP Result Code 53 "Unwilling To Perform"这个报错是使用修改结构体ldap.NewModifyRequest,进行修改密码报的错误。
如果有时间看代码库的问题,可以解决大部分问题。
这个协议查询和修改的端口都不一样,查询端口是389,修改端口是636。
实践得出不配置证书,可以给用户添加属性或修改添加的属性,但修改密码就是报53,不予执行。
最后发现我配置证书加载到RootCAs上了,而正确的是配置在ClientCAs上。
我从运维那里得到的证书是cer后缀的,需要转换成crt后缀,转换命令如下:
openssl x509 -inform DER -in 证书.cer -out 证书.crt
具体代码如下:
// 读取证书文件,使用命令将cer证书转成crt证书(openssl x509 -inform DER -in 202211.cer -out 202211.crt)
caCert, err := ioutil.ReadFile("conf/zhengshu.crt")
if err != nil {
logs.Info("读取证书文件失败", err.Error())
return
}
// 创建根证书池
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM(caCert)
// 创建TLS配置
tlsConfig := &tls.Config{
// RootCAs: rootCertPool,
ClientCAs: caCertPool,
// ClientAuth: tls.RequestClientCert,
InsecureSkipVerify: true, // 跳过服务器下发的证书验证
}
// 连接到LDAP服务器
l, err := ldap.DialTLS("tcp", "192.168.x.xx:636", tlsConfig)
if err != nil {
logs.Info("LDAP连接失败", err.Error())
return
}
defer l.Close()
// 设置写操作用户
_, err = l.SimpleBind(&ldap.SimpleBindRequest{
Username: "sysadmin",
Password: "密码",
})
if err != nil {
logs.Info("用户绑定失败", err.Error())
return
}
utf16 := unicode.UTF16(unicode.LittleEndian, unicode.IgnoreBOM)
pwdEncoded, err := utf16.NewEncoder().String("\"" + password + "\"")
if err != nil {
logs.Info(dn, password, "密码unicode编码失败", err.Error())
return
}
passwordModify := ldap.NewModifyRequest(dn, nil)
passwordModify.Replace("unicodePwd", []string{pwdEncoded})
passwordModify.Replace("userAccountControl", []string{"512"})
err = l.Modify(passwordModify)
if err != nil {
logs.Info(dn, password, "密码修改失败!", err.Error())
return
}
logs.Info("密码修改成功!")
最后希望使用ldap的同鞋少遇见BUG,顺利搞定修改密码功能。
后记:经验告诉我们,校验登录还是修改密码,都需要先用管理员账号获取普通账号的DN,然后用户通过DN去操作。
网友评论