pwm

PWM هو تطبيق خدمة ذاتية مفتوح المصدر لكلمة المرور لأدلة LDAP.

صفحة المشروع الرسمية موجودة على https://github.com/pwm-project/pwm/.

PWM هو تطبيق قائم على Java Servlet، ويتم حزمه كملف JAR فردي قابل للتنفيذ Java وملف Servlet "WAR" تقليدي وصورة عامل إرساء.

• PWM- General Google Group - يرجى طلب المساعدة هنا أولاً.
• ويكي وثائق PWM - الصفحة الرئيسية لتوثيق PWM
• مرجع PWM - الوثائق المرجعية المضمنة في PWM.
• التنزيلات

• مدير تكوين قائم على الويب مع أكثر من 500 إعداد قابل للتكوين
  • كل التكوينات الموجودة في ملف واحد قابل للاستيراد/التصدير
  • قيم عرض قابلة للتكوين لكل سلسلة نصية تواجه المستخدم
• الترجمات المضمنة (ليست كلها كاملة أو حالية):
  • الإنجليزية - الإنجليزية
  • الكاتالونية - كاتالا
  • الصينية (الصين) - 中文 (中国)
  • الصينية (تايوان) - 中文 (台灣)
  • التشيكية - تشيستينا
  • الدنماركية - دانسك
  • الهولندية - هولندا
  • الإنجليزية (كندا) - الإنجليزية (كندا)
  • الفنلندية - سومي
  • الفرنسية - الفرنسية
  • الفرنسية (كندا) - français (كندا)
  • الألمانية - الألمانية
  • اليونانية - Ενικά
  • العبرية - عبري
  • المجرية - المجرية
  • إيطالي - إيطالي
  • اليابانية - 日本語
  • الكورية - 한국어
  • النرويجية - نورسك
  • البوكمال النرويجية - نورسك بوكمال
  • نينورسك النرويجي - نينورسك
  • البولندية - بولسكي
  • البرتغالية - البرتغالية
  • البرتغالية (البرازيل) - البرتغالية (البرازيل)
  • الروسية - Русский
  • السلوفاكية - السلوفينية
  • الأسبانية - الأسبانية
  • السويدية - سفينسكا
  • التايلاندية - ไทย
  • التركية - التركية
• دعم دليل LDAP:
  • دعم بائعي LDAP المتعدد:
    • LDAP العام (أفضل جهد، سلوك كلمة مرور LDAP ومعالجة الأخطاء غير موحد في LDAP)
    • الدليل 389
      • قراءة سياسات كلمة مرور المستخدم التي تم تكوينها
    • دليل NetIQ الإلكتروني
      • اقرأ سياسات كلمة المرور ومجموعات التحدي
      • عمليات NMAS ومعالجة الأخطاء
      • دعم تحدي/استجابات مستخدم NMAS
    • مايكروسوفت الدليل النشط
      • قراءة كائنات إعداد كلمة المرور لسياسة كلمة المرور الدقيقة (FGPP) (PSO) (لا تقرأ سياسات المجال)
    • OpenLDAP
  • دعم إعادة محاولة/تجاوز فشل LDAP الأصلي لخوادم LDAP المتكررة المتعددة
• مجموعة كبيرة من سياسات كلمة المرور القابلة للتكوين محليًا
  • قواعد بناء الجملة القياسية
  • قواعد ريكس
  • فرض قاموس كلمة المرور
  • فحص خادم REST عن بعد
  • مجموعات بناء الجملة على النمط AD
  • سجل كلمات المرور المشترك لمنع إعادة استخدام كلمات المرور بشكل تنظيمي
• وحدات
  • تغيير كلمة المرور
    • فرض قاعدة كلمة المرور أثناء الكتابة
    • عرض ملاحظات قوة كلمة المرور
  • تفعيل الحساب / تعيين كلمة المرور لأول مرة
  • نسيت كلمة المرور
    • تخزين الاستجابات في الخادم المحلي أو قاعدة بيانات RDBMS القياسية أو خادم LDAP أو مستودعات eDirectory NMAS
    • خيارات التحقق من المستخدم:
      • البريد الإلكتروني/رمز الرسائل القصيرة/رقم التعريف الشخصي
      • TOTP
      • خدمة الراحة عن بعد
      • خدمة OAuth
      • قيم سمات LDAP للمستخدم
  • تسجيل مستخدم جديد / إنشاء حساب
  • تسجيل/تحديث المستخدم الضيف
  • البحث عن الأشخاص (الصفحات البيضاء)
    • صفحات تفاصيل قابلة للتكوين
    • طريقة عرض المخطط التنظيمي
  • إعادة تعيين كلمة مرور مكتب المساعدة وإزالة قفل الدخيل
  • وحدات الإدارة بما في ذلك مدير تأمين الدخيل
    • عارض السجل عبر الإنترنت
    • عارض الإحصائيات اليومية وتصحيح أخطاء معلومات المستخدم
    • إحصائيات
    • سجلات التدقيق
• خيارات نشر متعددة
  • ملف Java WAR (أحضر خادم التطبيقات الخاص بك، وتم اختباره باستخدام Apache Tomcat)
  • ملف Java JAR فردي (أحضر Java VM الخاص بك)
  • حاوية عامل ميناء
• واجهة قابلة للتخصيص مع العديد من أمثلة سمات CSS
  • موضوعات CSS محددة للأجهزة المحمولة
  • دعم التكوين لأصول الويب الإضافية (css، js، الصور، إلخ)
  • عرض القوة التنظيمية
• دعم Captcha باستخدام Google reCaptcha
• خيارات الدخول الموحّد (SSO) المتعددة
  • المصادقة الأساسية
  • حقن اسم مستخدم رأس HTTP
  • خدمة المصادقة المركزية (CAS)
  • عميل OAuth
• واجهات برمجة تطبيقات خادم REST لمعظم الوظائف
  • تم تعيين كلمة المرور
  • نسيت كلمة المرور
  • قراءة سياسة كلمة المرور
  • تحديثات سمة المستخدم
  • التحقق من سياسة كلمة المرور
• Outbound REST API لعمليات التكامل المخصصة أثناء أنشطة المستخدم مثل تغيير كلمة المرور وتسجيل مستخدم جديد وما إلى ذلك.

الحد الأدنى من المتطلبات لتطبيق PWM.

[^1] لا توجد متطلبات لتطبيق Java محدد، تستخدم إصدارات PWM Adoptium.

[^2] لا يعد Tomcat متطلبًا صريحًا، ولكنه الحاوية الأكثر شيوعًا المستخدمة مع PWM، والحاوية المستخدمة لبناء عامل الإرساء وonejar.

يتم توزيع PWM في العناصر التالية، ويمكنك استخدام أيهما أكثر ملاءمة.

بالنسبة لجميع أنواع النشر، سيحتاج كل مثيل PWM إلى دليل applicationPath المحدد على الخادم المحلي الخاص بك لتكوين PWM، وسجله، وملفات وقت التشغيل. بمجرد تكوين PWM، ستطالب واجهة مستخدم الويب الأولية المسؤول بـ LDAP وإعدادات التكوين الأخرى.

تحتوي قطعة أثرية 'onejar' التي تم إصدارها مع PWM على مثيل Tomcat مضمن، لذلك لا تحتاج إلى تثبيت Tomcat لاستخدام هذا الإصدار. إنها مثالية لاختبار وتقييم PWM. ستكون مسؤولاً عن تشغيله كخدمة (إذا رغبت في ذلك).

متطلبات:

• جافا 11 JDK أو أفضل

يساعد:

• java -version للتأكد من توفر Java 11 أو أفضل منه
• java -jar pwm-onejar-2.0.0.jar للمساعدة في سطر الأوامر

مثال لتشغيل برنامج onejar القابل للتنفيذ (مع كون /pwm-applicationPath هو موقع دليل applicationPath الخاص بك):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

افتراضيًا، سيظل الملف القابل للتنفيذ مرتبطًا بوحدة التحكم ويستمع إلى اتصالات HTTPS على المنفذ 8443.

خطوات:

1. اجعل Apache Tomcat يعمل إلى الحد الذي يمكنك من خلاله الوصول إلى الصفحة المقصودة لـ Tomcat باستخدام متصفحك. راجع مواقع المساعدة/التوثيق الخاصة بـ Tomcat للحصول على المساعدة في تثبيت وتكوين Tomcat.
2. قم بتعيين متغير البيئة PWM_APPLICATIONPATH في مثيل Tomcat الخاص بك إلى موقع محلي لدليل applicationPath الخاص بك. راجع Tomcat و/أو وثائق نظام التشغيل/مواقع المساعدة الخاصة بك للحصول على المساعدة في تكوين متغيرات البيئة حيث تعتمد طريقة القيام بذلك على نظام التشغيل ونوع النشر.
3. ضع ملف pwm.war في دليل Tomcat 'webapps' (أعد تسميته من pwm-xxxwar مع تسمية الإصدار)
4. الوصول باستخدام /pwm url وتكوينه

تتضمن صورة عامل الإرساء PWM Java وTomcat. يستمع باستخدام https على المنفذ 8443، ويحتوي على وحدة تخزين مكشوفة كـ /config . ستحتاج إلى تعيين وحدة التخزين /config إلى نوع ما من وحدات تخزين الإرساء المستمرة حتى يتمكن PWM من الاحتفاظ بالتكوين.

متطلبات:

• خادم يقوم بتشغيل عامل الإرساء

خطوات:

1. قم بتحميل صورة عامل الإرساء الخاصة بك بالصورة الافتراضية pwm/pwm-webapp :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. أنشئ صورة عامل إرساء باسم mypwm ، وقم بتعيينها إلى منفذ الخادم 8443، وقم بتعيين وحدة تخزين التكوين لاستخدام مجلد نظام الملفات المحلي /home/user/pwm-config الخاص بالخادم (سيكون هذا هو مسار تطبيق PWM للحاوية):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. ابدأ حاوية mypwm :

 docker start mypwm

قبل تكوين PWM، يجب عليك استخدام متصفح/محرر LDAP لضمان الأداء الوظيفي المتوقع لبيئة LDAP الخاصة بك. تعود معظم الصعوبات التي تمت مواجهتها في تكوين PWM إلى مشكلات في إعداد LDAP أو عدم الإلمام بـ LDAP. هناك العديد من متصفحات LDAP المتاحة، والمتصفح الشائع هو Apache Directrory Studio. استخدم المتصفح للتنقل في بيئة LDAP الخاصة بك، والتعرف على بنية الدليل، والتحقق من السلوك المتوقع.

على وجه الخصوص، قد يكون Active Directory LDAP مشكلة لأنه غالبًا ما يتم تكوينه بشكل خاطئ ويعمل بطرق غير معتادة مقارنة بأدلة LDAP الأخرى. على وجه التحديد، يستخدم AD LDAP إحالات لإعادة توجيه عميل LDAP (PWM في هذه الحالة) إلى الخوادم التي يختارها، وبالتالي يجب أن يكون PWM قادرًا على الاتصال بجميع مثيلات خادم وحدة تحكم المجال في بيئة AD باستخدام اسم DNS الذي تم تكوينه بواسطة AD. يجب أيضًا تكوين AD LDAP لاستخدام شهادات SSL حتى تعمل تعديلات كلمة المرور. ومع ذلك، إذا تم تكوين بيئة AD بشكل جيد، فستعمل PWM بشكل جيد معها.

يتضمن PWM محرر تكوين قائم على الويب. عندما يبدأ PWM بدون تكوين، سيطالب دليل التكوين المستند إلى الويب المسؤول بمعلومات التكوين الأساسية. يتم تخزين كافة معلومات التكوين في ملف PwmConfiguration.xml ، الذي سيتم إنشاؤه في دليل مسار التطبيق. يتم استخدام مسار التطبيق أيضًا لملفات أخرى، بما في ذلك قاعدة البيانات المحلية ( LocalDB ) (تُستخدم بشكل أساسي كذاكرة تخزين مؤقت أو لبيئات الاختبار)، وملفات السجل، والملفات المؤقتة. إذا تم استخدام عدة خوادم PWM بالتوازي، فيجب أن يحتوي كل خادم على ملفات PwmConfiguration.xml متطابقة.

يستخدم PWM كلمة مرور التكوين لحماية أي تعديلات على التكوين. تتطلب المصادقة على PWM تسجيل دخول مدعومًا بـ LDAP إلى حساب إداري تم تكوينه. في الإعداد المبكر أو في حالات حدوث مشكلات في دليل LDAP، قد يكون من الضروري الوصول إلى التكوين عندما لا يكون LDAP متاحًا وظيفيًا. ولهذا الغرض، يحتوي PWM على "وضع التكوين" الذي يسمح بتحرير التكوين باستخدام كلمة مرور التكوين، ولكنه يعطل كافة وظائف المستخدم النهائي الأخرى. يمكن تمكين/تعطيل وضع التكوين عن طريق تحرير ملف PwmConfiguration.xml وتغيير خاصية configIsEditable بالقرب من الجزء العلوي من الملف، ويمكن أيضًا تغييره في واجهة مستخدم الويب.

يمكن تكوين PWM اختياريًا باستخدام RDBMS (المعروف أيضًا باسم خادم قاعدة بيانات SQL). عند تكوينها لاستخدام قاعدة بيانات، سيتم تخزين البيانات الوصفية لمستخدم PWM مثل إجابات التحدي/الاستجابة ورموز TOTP وسجلات الاستخدام والبيانات الأخرى في قاعدة البيانات. عندما لا يتم تكوينها لاستخدام قاعدة بيانات، سيتم تخزين البيانات التعريفية لمستخدم PWM في دليل LDAP. ليس أي منهما أفضل أو أسوأ، أيهما تستخدمه يعتمد على بيئتك.

يجب أن يعمل أي خادم SQL يحتوي على برنامج تشغيل JDBC مدعوم من Java، وسيقوم PWM بإنشاء مخططه الخاص عند الاتصال الأول.

بناء المتطلبات المسبقة:

• جافا (تحقق من المتطلبات أعلاه للحصول على الإصدار)
• بوابة
• يستخدم البناء maven، لكنك لا تحتاج إلى تثبيته؛ سيقوم المجمع المخضرم الموجود في الشجرة المصدر بتنزيل إصدار محلي.

خطوات البناء:

1. قم بتعيين متغير البيئة Java_HOME على JDK home.
2. استنساخ مشروع جيت
3. قم بالتغيير إلى دليل pwm
4. قم بتشغيل البناء المخضرم

مثال لينكس:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

مثال ويندوز:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

في نظام التشغيل Windows، نوصي باستخدام مسارات بدون مسافات لكل من دليل PWM وJDK.

التحف التي تم إنشاؤها: