Определение блокировки учетной записи пользователя Active Directory с помощью LDAP в Python

Question

Дополнительно

Вопрос

Определение блокировки учетной записи пользователя Active Directory с помощью LDAP в Python

Я проверяю логины пользователей с помощью модуля python'ldap. Когда вход не удается, я получаю логин ldap.INVALID_CREDENTIALS, но это может быть либо из-за неправильного пароля, либо из-за того, что учетная запись заблокирована. Учетная запись блокируется после третьей попытки.

Я хотел бы определить, что учетная запись заблокирована, и сообщить об этом разочарованному пользователю, вместо того, чтобы выдать сообщение "недействительный вход".

В поисках решения я нашел:

Флаг userAccountControl LOCKED не используется AD;
Вместо него следует использовать атрибут lockoutTime

Запрос LDAP, который я должен использовать для поиска заблокированных пользователей, следующий:

(&(objectClass=user)(lockoutTime>=1))

Или для конкретного пользователя:

(&(objectClass=user)(sAMAccountName=jabberwocky)(lockoutTime>=1))

Но это не работает, запрос каждый раз возвращает отсутствие результатов.

Terry Gardner

Редактировал вопрос 7-го августа 2012 в 7:17

Похожие сообщества 30

Python beginners

14 771 пользователей

Вопросы про Python для чайников. Cпам и троллинг неприемлем. Частозадаваемые вопросы: https://github.com/ru-python-beginners/faq/blob/master/README.md Правила группы: https://t.me/ru_python_beginners/2752736

Открыть telegram

Python

13 688 пользователей

Уютный чат для профессионалов, занимающихся поиском питоньих мудростей. Как не получить бан: https://t.me/ru_python/1961404

Открыть telegram

🐍 Python Stepik Chat

11 700 пользователей

Этот уютный чат создан для помощи в решение задач на прекрасном курсе "Поколение Python: курс для начинающих" и не только. Правила: https://t.me/pythonstepikchat/619142 Чат для оффтопа - t.me/+fqNb78zlQY81NGUy Наш канал - @kimport_this

Открыть telegram

aiogram

9 889 пользователей

Репозиторий: https://github.com/aiogram/aiogram Сайт: https://aiogram.dev Полезная информация: https://t.me/aiogram_ru/1421485?thread=1421477

Открыть telegram

Python — вакансии и аналитика

6 927 пользователей

Публикуем вакансии и запросы на поиск работы по направлению Python, Flask и т.д. Здесь всё: full-time, part-time, remote и разовые подработки. См. также: @golang_jobs, @qa_jobs, @devops_jobs, @javascript_jobs, @nodejs_jobs, @uiux_jobs, @products_jobs

Открыть telegram

Вакансии для Python-разработчиков / Python Jobs

6 486 пользователей

Как разместить вакансию? — https://t.me/ru_pythonjobs/21926 Размещение вакансий бесплатно. Рекламы нет.

Открыть telegram

Добавить вопрос

Категории

Все

Технологий

Культура / Отдых

Жизнь / Искусство

Наука

Профессии

Бизнес

Пользователи

Все

Новые

Популярные

1

Александр Македонский

Зарегистрирован 6 дней назад

2

Andrei Kalinin

Зарегистрирован 3 недели назад

3

Koroleva Ego

Зарегистрирован 1 месяц назад

4

Star Lenon

Зарегистрирован 1 месяц назад

5

Данил Жевнеров

Зарегистрирован 2 месяца назад

Хотите что-то узнать? Задавайте Ваш вопрос на нашем сайте

ru.kzen.dev

Harvey Kwok · Answer 1 · 2012-08-07T05:28:18+00:00

Значение ноль в lockoutTime означает, что он не заблокирован. Поэтому вам следует попробовать следующее.

(&(objectClass=user)(!lockoutTime=0))

На самом деле, приведенный выше запрос все еще не является на 100% правильным. Если вы прочитаете мелкий шрифт из MSDN, Microsoft предлагает вам добавить атрибут Lockout-Time к атрибуту Lockout-Duration и затем сравнить его с текущим временем. Это потому, что существует такая вещь, как продолжительность блокировки. Как только длительность блокировки пройдет, пользователь будет разблокирован автоматически. Ноль в Lockout-Duration означает, что учетная запись заблокирована навсегда, пока администратор не разблокирует ее.

См. эту статью MSDN

Значение этого атрибута сбрасывается только тогда, когда учетная запись входит в систему успешно. Это означает, что данное значение может быть ненулевым, но при этом учетная запись не заблокирована. Чтобы точно определить, является ли учетная запись заблокирована, вы должны прибавить к этому времени Lockout-Duration и сравнить полученный результат с текущим временем, учитывая местные часовые пояса и летнего времени.

nzpcmad · Answer 2 · 2013-06-04T21:07:10+00:00

lockoutTime - это атрибут <not set>, поэтому самый простой способ - использовать:

(&(objectClass=user)(lockoutDuration=*)))

для непустых записей.

Обновление:

Однако это значение также устанавливается, когда срок действия пароля истекает, пароль необходимо изменить и т.д.

Поэтому его необходимо отфильтровать:

UserPrincipal userPrincipal = new UserPrincipal(context);
bool isLocked = userPrincipal.IsAccountLockedOut();

чтобы получить случаи, когда пользователь был заблокирован из-за нарушения политики паролей, например, неправильного ввода пароля 5 раз.

user917089 · Answer 3 · 2012-08-24T20:01:21+00:00

Кроме того, я обнаружил, что lockoutTime не гарантируется для всех пользователей в AD (по крайней мере, в нашей конфигурации), но будет создан по достижении количества неудачных попыток блокировки. Поэтому при проверке заблокированных учетных записей также потребуется проверка на None или эквивалент.