Страница смены пароля ( ldaps )

[franky.why]

Соответственно, при логине пользователя с флагом "change password on next logon" предлагать сменить пароль. Можно реализовать как web страницу.
тут есть пример https://www.cs.bham.ac.uk/~smp/resources/ad-passwds/
https://github.com/npenkov/ldap-passwd-webui

[aka]

Реализуй. Если для этого потребуется меньше сотни мегабайт библиотек - расскажи, очень любопытно.

[akaplenko]

Как вариант - при установленном флаге открытие браузера со страницей, адрес которой указан в конфиге.

[franky.why]

Реализуй. Если для этого потребуется меньше сотни мегабайт библиотек - расскажи, очень любопытно.

Вкладывать эти библиотеки в сам клиент не обязательно, нужен только рендер html странички при срабатывании условия, а остальную работу повесить на http службу сервера

[aka]

...а остальную работу повесить на http службу сервера

Какого сервера?

[franky.why]

на тот же иис можно повесить выполнение php скрипта и возвращать результат, в дальше втварью обрабатывать этот результат

[aka]

Безопасники одобрили смену пароля через скрипт на php под иис?

[akaplenko]

Веб страница для смена пароля у больших так или иначе существует. В том числе и на php. Не только при тонктх клиентах, есть еще удаленные пользователи, не имеющие доступа в локальную сеть и т.д.

[franky.why]

Сейчас, помимо банков, мало кто нанимает нормальных технических безопасников - максимум это бизнес-безопасность с длп и прочими фишками. Главное чтобы пароль не пересылался в открытом виде от втвари до ииса, а дальше между иисом и дц будет происходить в отдельной серверной сети в дмз.

[aka]

Я в втвари могу нарисовать интерфейс смены пароля - четыре поля ввода: юзернейм, старый пароль, два раза новый пароль. Какие-то поля могут быть заполнены, если втварь их знает. Это будет работать на любом терминале и не потребует грузить полторы сотни мегабайт Хрома.

Затем я могу сформировать http запрос, и передать его зашифрованным, подключившись к https.

Могу распарсить простой ответ.

Дальше что? Сколько страниц инструкции будет для поднятия IIS?

[franky.why]

Вариант с веб мордой наверное топорный. А если использовать ldaps? Я правильно понимаю, что библиотеки нужные уже есть в wtware? Тогда остается отдать доверенный ca-сертификат, например из каталога Everyone, а логин и пароль к ldaps с правой смены пароля зашифровать ключем, и вшить его в дистрибутив.

[aka]

А если использовать ldaps? Я правильно понимаю, что библиотеки нужные уже есть в wtware?

Сомневаюсь. Самба, котоаря есть в втвари для раскрытия дисков через shared_disk=, обрезана так, что даже доменконтроллера наверное не увидит, не то что LDAP. А больше никто в втвари сетью Microsoft и доменами не занимается.

[franky.why]

А если использовать ldaps? Я правильно понимаю, что библиотеки нужные уже есть в wtware?

Сомневаюсь. Самба, котоаря есть в втвари для раскрытия дисков через shared_disk=, обрезана так, что даже доменконтроллера наверное не увидит, не то что LDAP. А больше никто в втвари сетью Microsoft и доменами не занимается.

Можно использовать openldap, тянуть его как дополнительный пакет. Два бинарника ldapsearch и ldappasswd весят около 100кб каждый. Первым проверять аттрибут статуса учетной записи, а второй менять пароль. Вопрос еще остается в поддержке ssl, тк пароли должны менятся только по ldaps (ldap + tls), но тут уже не подскажу

[TechnoDom]

Кстати эта страница помогла бы решить проблему описанную тут - viewtopic.php?f=1&t=20289