LDAP集成配置需要启用ssl才能修改密码

需要。

使用非加密的ldap时，只能对AD域账号信息查询。如果要对AD域用户信息进行修改和新增 *** 作，必须使用（SSL）加密方式连接AD，需满足如下几个条件：① AD上需要安装证书服务。② 连接AD的主机上使用http://myhost.com/certsrv/打开浏览器申请证书。③ 如果连接AD的主机是Linux，需要安装openssl包，制作CA证书

微软官方给出的ldap修改密码方案：密码存储在 Active Directory 用户中的对象的 unicodePwd属性。可以在有限的情况下，写入此属性，但无法读取。该特性只能修改 ；不能将添加的对象的创建日期或通过搜索查询。 若要修改此属性 ，则客户端必须 128 位安全套接字层 (SSL) 连接到服务器 。为此连接成为可能，服务器必须拥有一个 128 位的 RSA 连接的服务器证书，客户端必须信任生成服务器证书的证书颁发机构 (CA) 和客户端和服务器必须能够使用 128 位加密。

可以的。ldap用户密码的修改可以使用ldappasswd命令，也可以使用万能的ldapmodify结合ldif文件来实现，但所修改的都是普通的用户，cn=admin的管理员用户的修改一般可以通过slappasswd来进行，由于本系列使用了openldap的docker镜像，此项功能已被封装，通过设定环境变量即可轻易实现。

修改密码的常用方式

ldappasswd命令

ldapmodify命令结合ldif文件

slappasswd命令

管理员密码的设定

管理员密码的设定可以通过slappasswd，由于本系列文章的示例使用了osixia的openldap镜像，cn=admin的密码设定，只需要对环境变量LDAP_ADMIN_PASSWORD进行设定即可。

---