質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

6084閲覧

Ldapアカウント作成で有効のままアカウント作成する

yoshis22

総合スコア107

LDAP

LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2015/10/28 01:14

編集2015/10/28 03:10

LDAPのアカウント作成をPHPで作成しようとしています。
ただ、UserAccountControllを512の有効にしようとすると
以下のエラーが出ます。

Warning (2): ldap_add(): Add: Server is unwilling to perform [erro_path.php, line xxx]

ソースコードは以下の通りです。

php

1$ldapConn = ldap_connect('x.x.x.x'); 2 3$info['name'] = "test_test"; 4$info['cn'] = "testo taro"; 5$info['sn'] = "testo"; 6$info['givenName'] = "taro"; 7$info['displayName'] = "testo taro"; 8$info['sAMAccountName'] = $get_account_name; 9$info['company'] = $get_firstname; 10$info['title'] = $get_firstname; 11$info['userPrincipalName'] = "test_taro@test-trial.co.jp"; 12$info['msDS-PhoneticLastName'] = "test"; 13$info['msDS-PhoneticFirstName'] = "taro"; 14$info['mail'] = "test_taro@test-trial.co.jp"; 15$info['objectclass'] = "user"; 16 17// このUserAccountControlがなければ登録できる 18$info['UserAccountControl'] = "512"; 19 20ldap_add($ldapConn, "cn=testo taro,OU=Users,OU=test-trial,DC=tests-upper,DC=com", $info); 21 22 23

環境は以下です。
WindowsServer2012

UserAccountControlが原因だと思うのですが
どうすれば解決できるのか不明です。

目的はPHPでLDAPアカウントを有効の状態で追加したいと思っています。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

連絡ありがとうございます。
エラーの原因がわかりました。

結果は512での登録ができませんでした
UserAccountControlの値を544にセットすることで
登録することができました

512はパスワード変更しなくても利用できる状態
544は一度ログインしてパスワードを変更する必要がある状態(初期パスワード割振り済)

投稿2015/10/28 07:57

yoshis22

総合スコア107

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ベストアンサー

検証できていないので外しているかもしれませんが、以下を2点(1つずつ)試してもらえますか?

  • (1)「UserAccountControl」の表記変更

「userAccountControl」(先頭は小文字)とするとどうなりますか?

  • (2)「objectclass」の追加

「user」だけでなく、「top」「person」「organizationalPerson」も指定するとどうなりますか?
定義としては配列となるので以下のように。

php

1$info['objectclass'][0] = "user"; 2$info['objectclass'][1] = "top"; 3$info['objectclass'][2] = "person"; 4$info['objectclass'][3] = "organizationalPerson"; 5

投稿2015/10/28 02:04

takyafumin

総合スコア2335

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoshis22

2015/10/28 02:51

回答いただきましてありがとうございます。 (1)については大文字にしても 小文字にしてもエラーメッセージは変更ありませんでした。 (2)についてはエラーは発生しませんでした(アカウントが有効になったという意味ではありませんが) ありがとうございます。 『UserAccountControl』をつけて検証したのと外して検証したのと 『userAccountControl』をつけて検証したのと外して検証しました UserAccoutControl,userAccountControlを外した時のみエラーは発生しませんでした。 やはり、原因はUserAccountControlだと思います WindowsServer2012は『UserAccessControl』以外の方法があるのでしょうか それらしいワードで検索しても解決策が出てきません
takyafumin

2015/10/28 03:21

> (2)についてはエラーは発生しませんでした(アカウントが有効になったという意味ではありませんが) こちらの結果として、アカウントはAD上に作成できましたか? 作成できていれば、そのユーザの「UserAccountControl」値が何になっているか確認してもらいたいです。 overさまのコメントにもあるように、もしユーザが作成されていて有効にならない、という状態であれば「UserAccountControl」の設定は行えていて、他の要因によってユーザが有効になっていないということが考えられます。
yoshis22

2015/10/28 07:56

連絡ありがとうございます。 エラーの原因がわかりました。 結果は512での登録ができませんでした UserAccountControlの値を544にセットすることで 登録することができました 512はパスワード変更しなくても利用できる状態 544は一度ログインしてパスワードを変更する必要がある状態(初期パスワード割振り済)
takyafumin

2015/10/28 08:03

検証結果まで記載いただきありがとうございました。 解決してよかったです。 なるほど。こちらも勉強させていただきました。
guest

0

エラー内容はDNを間違えているようです。
下記のDNは存在しているのでしょうか?
OU=Users,OU=test-trial,DC=tests-upper,DC=com

投稿2015/10/28 01:25

over

総合スコア4309

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoshis22

2015/10/28 01:51

早速の連絡ありがとうございます。 今回書いたDNはダミーです。 ただ、実際に接続しに行っているDNは正しいです なぜならば、以下の文章を取り除くと アカウントは作成されるからです。 $info['UserAccountControl'] = "512"; アカウントを有効する方法があれば どのような方法でもいいのですが どうも他の手段もありません。 なんとかわかると嬉しいです。
over

2015/10/28 02:55

すいません。質問の意味を理解し切れていませんでした。 環境はMS AD ドメイン環境でしょうか? そうであればの話になりますが... グループポリシー パスワードポリシーの設定にもよりますが、パスワード付与していないから有効を受け付けないとかありませんか? 以下のオブジェクトを指定していないからとかないでしょうか? unicodePwd:: base64でエンコードする必要があるため平文での指定は無理のようです。 以下のページが参考になるのではないでしょうか。 http://gihyo.jp/admin/serial/01/ad2010/0004
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問