¿Es posible informar al usuario sobre algo más que una simple "violación de restricciones" cuando intenta cambiar su contraseña?
¿Algo como "la contraseña debe tener 7 o más caracteres", en lugar de dejarlos adivinando?
abiertodj
Respuesta1
¿Cuál es su servidor LDAP?
Err 19, LDAP_CONSTRAINT_VIOLATION: indica que el valor del atributo especificado en una operación de modificación, adición o modificación de DN viola las restricciones impuestas al atributo. La restricción puede ser de tamaño o contenido (solo cadena, no binario).
La mayoría de los servidores LDAP ya proporcionan suficiente información sobre la pieza faltante en la contraseña o el atributo. ¿Podría consultar el servidor de directorio 389 o RHDS? Una muestra de 389-ds es
[17/Aug/2012:22:24:59 +0000] conn=85 op=14 RESULT err=19 tag=103 nentries=0 etime=0
[17/Aug/2012:22:24:59 +0000] conn=85 op=14 MOD dn="uid=redhat,ou=Users,dc=example,dc=com", within password minimum age
Respuesta2
Debe cambiar el código para utilizar la solicitud de modificación de contraseña extendida de LDAP, que proporciona códigos de error detallados en su respuesta.
Respuesta3
Antigua pregunta, pero hoy tuvimos exactamente este problema con una aplicación web de contraseña de autoservicio externa. Resulta que la aplicación web SSP estaba aplicando SSHA a la contraseña antes de llegar a 389-DS, por lo que 389-DS estaba recibiendo un hash.
La aplicación web SSP debe dejar la contraseña clara y permitir que 389-DS la cifre al escribir.(La aplicación web SSP utiliza TLS 1.2 con AES-256 para comunicarse con LDAP de todos modos, por lo que la contraseña clara es tan segura como la mayoría de los sitios web HTTPS en tránsito).
Respuesta4
No se recomienda proporcionar un mensaje más descriptivo. Un texto más descriptivo en una respuesta LDAP simplemente ayudaría al atacante.