<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-15">
<style type="text/css" style="display:none"><!--P{margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>Thanks, Michal, Roman,<br>
I tried your solution Michal but seems that it does not work. Correct me if I am wrong but my understanding is that strength 'weak' works if there is no value present but I believe AD connector does not know anything about existing AD password and therefore
 is updating it every time when midPoint password is changed.<br>
Roman your solution is very interesting and I try to implement it.<br>
<br>
Best Regards,<br>
Aivo Kuhlberg<br>
</p>
<div style="color: rgb(33, 33, 33);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" color="#000000" face="Calibri, sans-serif"><b>Saatja:</b> midPoint <midpoint-bounces@lists.evolveum.com> nimelRoman Pudil - AMI Praha a.s. <roman.pudil@ami.cz><br>
<b>Saadetud:</b> 31. august 2016 12:22<br>
<b>Adressaat:</b> midPoint General Discussion<br>
<b>Teema:</b> Re: [midPoint] AD password question</font>
<div> </div>
</div>
<div>
<div dir="ltr">Hi Aivo,
<div>I have this solution - try:</div>
<div><br>
</div>
<div>- Remove "outbound" element from credentials</div>
<div>- create "after-add" action</div>
<div><br>
</div>
<div>
<div><br>
</div>
</div>
<div><b>After-Add action calls dsmod on cmdline of AD server:</b></div>
<div><br>
</div>
<div>
<div>    <scripts></div>
<div>       <script></div>
<div>           <host>resource</host></div>
<div>           <language>Shell</language></div>
<div>           <argument></div>
<div>               <script></div>
<div>                   <code></div>
<div>                       currDN = '';</div>
<div>                       currADDispName = basic.stringify(basic.getExtensionPropertyValues(user, '<a href="http://ami.cz/xml/ns/userExtension">http://ami.cz/xml/ns/userExtension</a>', 'currentADDisplayName'));</div>
<div>                       currADOrgUnit = basic.stringify(basic.getExtensionPropertyValues(user, '<a href="http://ami.cz/xml/ns/userExtension">http://ami.cz/xml/ns/userExtension</a>', 'currentADOrgUnit'));</div>
<div>                       if (currADDispName != '' &amp;&amp; currADOrgUnit != '') {</div>
<div>                            currDN = 'CN=' + currADDispName + ',' + currADOrgUnit + ',' + basic.getResourceIcfConfigurationPropertyValue(resource, 'Container');</div>
<div>                            <a href="http://log.info">log.info</a>('AD: Create NEW user {}', currDN);</div>
<div>                    </div>
<div>                       }</div>
<div>                       return currDN;</div>
<div>                   </code></div>
<div>               </script></div>
<div>               <name>userDN</name></div>
<div>           </argument></div>
<div>           <argument></div>
<div>               <script></div>
<div>                   <code></div>
<div>                       <a href="http://log.info">log.info</a>('Init Pwd of user {} = {}',user.getName(),basic.decrypt(basic.getPropertyValue(user, 'credentials/password/value')));</div>
<div>                       return basic.decrypt(basic.getPropertyValue(user, 'credentials/password/value'));</div>
<div>                   </code></div>
<div>               </script></div>
<div>               <name>initPwd</name></div>
<div>           </argument></div>
<div>           <code></div>
<div><b>               IF "%userDN%" NEQ "" dsmod user "%userDN%" -disabled yes -pwd "%initPwd%" -mustchpwd yes</b></div>
<div>               exit</div>
<div>           </code></div>
<div>           <operation>add</operation></div>
<div>           <order>after</order></div>
<div>       </script></div>
<div>   </scripts></div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Regards</div>
<div>Roman Pudil</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr">st 31. 8. 2016 v 10:53 odesílatel Aivo Kuhlberg <<a href="mailto:aivo.kuhlberg@rmit.ee" target="_blank">aivo.kuhlberg@rmit.ee</a>> napsal:<br>
</div>
</div>
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex; border-left:1px #ccc solid; padding-left:1ex">
<div dir="ltr" style="font-size:12pt; color:#000000; background-color:#ffffff; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>Hi,<br>
I am using midPoint 3.4 with .NET AD connector and here are my current schemaHandling password settings for AD connector:<br>
</p>
<p><br>
</p>
<p><span style="font-family:Consolas,monospace; color:rgb(114,50,173)"><span style="color:rgb(114,50,173)">         <credentials></span><br style="color:rgb(114,50,173)">
<span style="color:rgb(114,50,173)">            <password></span><br style="color:rgb(114,50,173)">
<span style="color:rgb(114,50,173)">               <outbound/></span><br style="color:rgb(114,50,173)">
<span style="color:rgb(114,50,173)">            </password></span><br style="color:rgb(114,50,173)">
<span style="color:rgb(114,50,173)">         </credentials></span><br style="color:rgb(114,50,173)">
</span></p>
<p><br>
</p>
<p>These settings means that AD user password changes every time when it is changed in midPoint.<br>
I do not want to manage AD users passwords at the moment with midPoint but I still want to set AD user password in situation when midPoint creates a new AD account. In all other sync situations AD password should not be changed. How should I implement that?<br>
<br>
Thanks,<br>
Aivo Kuhlberg<br>
</p>
<br>
<hr>
<font color="Gray" size="2" face="Arial">Käesolev e-kiri võib sisaldada asutusesiseseks kasutamiseks tunnistatud teavet.<br>
This e-mail may contain information which is classified for official use.</font> </div>
_______________________________________________<br>
midPoint mailing list<br>
<a href="mailto:midPoint@lists.evolveum.com" target="_blank">midPoint@lists.evolveum.com</a><br>
<a href="http://lists.evolveum.com/mailman/listinfo/midpoint" rel="noreferrer" target="_blank">http://lists.evolveum.com/mailman/listinfo/midpoint</a><br>
</blockquote>
</div>
</div>
<div dir="ltr">-- <br>
</div>
<div>
<div dir="ltr">
<div>
<p><span>Roman Pudil</span><br>
solution architect<br>
gsm: [+420] 775 663 666<br>
e-mail: <a>roman.pudil@ami.cz</a></p>
<table>
<tbody>
<tr>
<td>
<p>AMI Praha a.s.<br>
Pláničkova 11<br>
162 00 Praha 6<br>
tel./fax: [+420] 274 783 239<br>
web: <a>www.ami.cz</a> </p>
</td>
</tr>
</tbody>
</table>
</div>
</div>
</div>
</div>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="2">Käesolev e-kiri võib sisaldada asutusesiseseks kasutamiseks tunnistatud teavet.<br>
This e-mail may contain information which is classified for official use.</font>
</body>
</html>