pwm

PWM ist eine Open-Source-Passwort-Selbstbedienungsanwendung für LDAP-Verzeichnisse.

Die offizielle Projektseite finden Sie unter https://github.com/pwm-project/pwm/.

PWM ist eine Java-Servlet-basierte Anwendung und wird als ausführbare Java-Einzel-JAR-Datei, herkömmliche Servlet-„WAR“-Datei und Docker-Image gepackt.

• PWM-Allgemeine Google-Gruppe – bitte bitten Sie hier zuerst um Hilfe.
• PWM-Dokumentations-Wiki – Startseite für die PWM-Dokumentation
• PWM-Referenz – In PWM integrierte Referenzdokumentation.
• Downloads

• Webbasierter Konfigurationsmanager mit über 500 konfigurierbaren Einstellungen
  • Die gesamte Konfiguration ist in einer einzigen importierbaren/exportierbaren Datei enthalten
  • Konfigurierbare Anzeigewerte für jede benutzerseitige Textzeichenfolge
• Enthaltene Lokalisierungen (nicht alle sind vollständig oder aktuell):
  • Englisch - Englisch
  • Katalanisch - català
  • Chinesisch (China) - 中文 (中国)
  • Chinesisch (Taiwan) - 中文 (台灣)
  • Tschechisch - čeština
  • Dänisch - dansk
  • Niederländisch - Niederlande
  • Englisch (Kanada) – Englisch (Kanada)
  • Finnisch - Suomi
  • Französisch - français
  • Französisch (Kanada) – français (Kanada)
  • Deutsch - Deutsch
  • Griechisch - Ελληνικά
  • Hebräisch - עברית
  • Ungarisch - Magyar
  • Italienisch - Italiano
  • Japanisch - 日本語
  • Koreanisch - 한국어
  • Norwegisch - norsk
  • Norwegisches Bokmål - norsk bokmål
  • Norwegisch Nynorsk - Nynorsk
  • Polnisch - Polski
  • Portugiesisch - português
  • Portugiesisch (Brasilien) - português (Brasilien)
  • Russisch - русский
  • Slowakisch - slovenčina
  • Spanisch - español
  • Schwedisch - svenska
  • Thailändisch - ไทย
  • Türkisch - Türkçe
• LDAP-Verzeichnisunterstützung:
  • Unterstützung mehrerer LDAP-Anbieter:
    • Generisches LDAP (Best-Effort, LDAP-Passwortverhalten und Fehlerbehandlung sind in LDAP nicht standardisiert)
    • Verzeichnis 389
      • Auslesen der konfigurierten Benutzerpasswortrichtlinien
    • NetIQ eDirectory
      • Lesen Sie die Passwortrichtlinien und Challenge-Sets
      • NMAS-Operationen und Fehlerbehandlung
      • Unterstützung für NMAS-Benutzerherausforderungen/-antworten
    • Microsoft Active Directory
      • Lesen von Fine-Grained Password Policy (FGPP) Password Setting Objects (PSO) (liest keine Domänenrichtlinien)
    • OpenLDAP
  • Native LDAP-Wiederholungs-/Failover-Unterstützung mehrerer redundanter LDAP-Server
• Großer Satz lokal konfigurierbarer Passwortrichtlinien
  • Standard-Syntaxregeln
  • Regex-Regeln
  • Durchsetzung des Passwortwörterbuchs
  • Überprüfung des Remote-REST-Servers
  • Syntaxgruppen im AD-Stil
  • Gemeinsamer Passwortverlauf, um zu verhindern, dass Passwörter organisatorisch wiederverwendet werden
• Module
  • Kennwort ändern
    • Durchsetzung der Passwortregeln während der Eingabe
    • Feedback-Anzeige zur Passwortstärke
  • Kontoaktivierung / Erstmalige Passwortvergabe
  • Passwort vergessen
    • Speichern Sie Antworten im lokalen Server, in der Standard-RDBMS-Datenbank, im LDAP-Server oder in eDirectory-NMAS-Repositorys
    • Optionen zur Benutzerüberprüfung:
      • E-Mail/SMS-Token/PIN
      • TOTP
      • Remote-REST-Dienst
      • OAuth-Dienst
      • Benutzer-LDAP-Attributwerte
  • Neue Benutzerregistrierung / Kontoerstellung
  • Registrierung/Aktualisierung von Gastbenutzern
  • PeopleSearch (weiße Seiten)
    • Konfigurierbare Detailseiten
    • Organigrammansicht
  • Zurücksetzen des Helpdesk-Passworts und Aufheben der Eindringlingssperre
  • Verwaltungsmodule inklusive Einbruchssperre-Manager
    • Online-Protokollbetrachter
    • Täglicher Statistik-Viewer und Debugging von Benutzerinformationen
    • Statistiken
    • Audit-Aufzeichnungen
• Mehrere Bereitstellungsoptionen
  • Java WAR-Datei (bringen Sie Ihren eigenen Anwendungsserver mit, getestet mit Apache Tomcat)
  • Java-Einzel-JAR-Datei (bringen Sie Ihre eigene Java-VM mit)
  • Docker-Container
• Theme-fähige Schnittstelle mit mehreren Beispiel-CSS-Themes
  • Für Mobilgeräte spezifische CSS-Themen
  • Konfigurationsunterstützung für zusätzliche Web-Assets (CSS, JS, Bilder usw.)
  • Anzeige der Organisation erzwingen
• Captcha-Unterstützung mit Google reCaptcha
• Mehrere SSO-Optionen
  • Grundlegende Authentifizierung
  • HTTP-Header-Benutzernamen-Injection
  • Zentraler Authentifizierungsdienst (CAS)
  • OAuth-Client
• REST-Server-APIs für die meisten Funktionen
  • Passwort festgelegt
  • Passwort vergessen
  • Lesen der Passwortrichtlinie
  • Aktualisierungen von Benutzerattributen
  • Überprüfung der Passwortrichtlinie
• Ausgehende REST-API für benutzerdefinierte Integrationen während Benutzeraktivitäten wie Passwortänderung, Registrierung neuer Benutzer usw.

Mindestanforderungen für die PWM-Anwendung.

[^1] Es ist keine bestimmte Java-Implementierung erforderlich, PWM-Builds verwenden Adoptium.

[^2] Tomcat ist keine explizite Anforderung, aber es ist der am häufigsten mit PWM verwendete Container und derjenige, der für die Docker- und Onejar-Builds verwendet wird.

PWM ist in die folgenden Artefakte unterteilt. Sie können das am besten geeignete verwenden.

Für alle Bereitstellungstypen benötigt jede PWM-Instanz ein auf Ihrem lokalen Server definiertes applicationPath- Verzeichnis für die Konfigurations-, Protokoll- und Laufzeitdateien von PWM. Sobald PWM konfiguriert ist, fordert die erste Web-Benutzeroberfläche den Administrator zur Eingabe von LDAP und anderen Konfigurationseinstellungen auf.

Das mit PWM veröffentlichte „onejar“-Artefakt verfügt über eine eingebettete Tomcat-Instanz, sodass Sie Tomcat nicht installieren müssen, um diese Version zu verwenden. Es ist ideal zum Testen und Bewerten von PWM. Sie sind dafür verantwortlich, dass es als Dienst ausgeführt wird (falls gewünscht).

Anforderungen:

• Java 11 JDK oder besser

Helfen:

• java -version , um sicherzustellen, dass Java 11 oder höher verfügbar ist
• java -jar pwm-onejar-2.0.0.jar für Befehlszeilenhilfe

Beispiel für die Ausführung der ausführbaren Onejar-Datei (wobei /pwm-applicationPath der Speicherort Ihres applicationPath -Verzeichnisses ist):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

Standardmäßig bleibt die ausführbare Datei mit der Konsole verbunden und wartet auf HTTPS-Verbindungen auf Port 8443.

Schritte:

1. Bringen Sie Apache Tomcat so weit zum Laufen, dass Sie mit Ihrem Browser auf die Tomcat-Landingpage zugreifen können. Weitere Informationen zur Installation und Konfiguration von Tomcat finden Sie in der Tomcat-Dokumentation/auf den Hilfeseiten.
2. Legen Sie die Umgebungsvariable PWM_APPLICATIONPATH in Ihrer Tomcat-Instanz auf einen lokalen Speicherort Ihres applicationPath- Verzeichnisses fest. Weitere Informationen zum Konfigurieren von Umgebungsvariablen finden Sie in Tomcat und/oder auf den Dokumentations-/Hilfeseiten Ihres Betriebssystems, da die Methode hierfür vom Betriebssystem und dem Bereitstellungstyp abhängt.
3. Platzieren Sie die Datei pwm.war im Tomcat-Verzeichnis „webapps“ (umbenennen Sie sie von pwm-xxxwar mit Versionsbenennung um).
4. Zugriff mit /pwm-URL und Konfiguration

Das PWM-Docker-Image umfasst Java und Tomcat. Es lauscht über https an Port 8443 und verfügt über ein Volume, das als /config verfügbar ist. Sie müssen das /config Volume einem persistenten Docker-Volume zuordnen, damit PWM die Konfiguration beibehält.

Anforderungen:

• Server, auf dem Docker ausgeführt wird

Schritte:

1. Laden Sie Ihr Docker-Image mit dem Image-Namen der Standard -pwm/pwm-webapp :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Erstellen Sie ein Docker-Image mit dem Namen mypwm , ordnen Sie es dem 8443-Port des Servers zu und stellen Sie das Konfigurationsvolume so ein, dass es den Ordner /home/user/pwm-config des lokalen Dateisystems des Servers verwendet (dies ist der PWM-Anwendungspfad für den Container):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Starten Sie den mypwm -Container:

 docker start mypwm

Bevor Sie PWM konfigurieren, sollten Sie einen LDAP-Browser/-Editor verwenden, um die erwartete Funktionalität Ihrer LDAP-Umgebung sicherzustellen. Die meisten Schwierigkeiten bei der Konfiguration von PWM sind auf LDAP-Einrichtungsprobleme oder Unkenntnis von LDAP zurückzuführen. Es stehen viele LDAP-Browser zur Verfügung, ein gängiger ist Apache Directory Studio. Navigieren Sie mithilfe des Browsers in Ihrer LDAP-Umgebung, machen Sie sich mit der Verzeichnisstruktur vertraut und überprüfen Sie das erwartete Verhalten.

Insbesondere Active Directory LDAP kann problematisch sein, da es häufig falsch konfiguriert ist und sich im Vergleich zu anderen LDAP-Verzeichnissen ungewöhnlich verhält. Insbesondere verwendet AD LDAP Verweise, um den LDAP-Client (in diesem Fall PWM) an Server seiner Wahl umzuleiten. Daher muss PWM in der Lage sein, alle Domänencontroller-Serverinstanzen in der AD-Umgebung über den AD-konfigurierten DNS-Namen zu kontaktieren. AD LDAP muss außerdem für die Verwendung von SSL-Zertifikaten konfiguriert sein, damit Kennwortänderungen funktionieren. Wenn die AD-Umgebung jedoch gut konfiguriert ist, funktioniert PWM problemlos damit.

PWM umfasst einen webbasierten Konfigurationseditor. Wenn PWM ohne Konfiguration startet, fordert ein webbasierter Konfigurationsleitfaden den Administrator zur Eingabe grundlegender Konfigurationsinformationen auf. Alle Konfigurationsinformationen werden in der Datei PwmConfiguration.xml gespeichert, die im Anwendungspfadverzeichnis erstellt wird. Der Anwendungspfad wird auch für andere Dateien verwendet, einschließlich einer lokalen Datenbank ( LocalDB ) (hauptsächlich als Cache oder für Testumgebungen verwendet), Protokolldateien und temporären Dateien. Wenn mehrere PWM-Server parallel verwendet werden, muss jeder Server über identische PwmConfiguration.xml- Dateien verfügen.

PWM verwendet ein Konfigurationspasswort, um alle Änderungen an der Konfiguration zu schützen. Für die Authentifizierung bei PWM ist eine LDAP-gestützte Anmeldung bei einem konfigurierten Administratorkonto erforderlich. Bei einer frühen Einrichtung oder bei Problemen mit dem LDAP-Verzeichnis kann es erforderlich sein, auf die Konfiguration zuzugreifen, wenn LDAP funktionell nicht verfügbar ist. Zu diesem Zweck verfügt PWM über einen „Konfigurationsmodus“, der das Bearbeiten der Konfiguration mit dem Konfigurationspasswort ermöglicht, aber alle anderen Endbenutzerfunktionen deaktiviert. Der Konfigurationsmodus kann durch Bearbeiten der Datei PwmConfiguration.xml und Ändern der Eigenschaft configIsEditable oben in der Datei aktiviert/deaktiviert werden. Er kann auch in der Web-Benutzeroberfläche geändert werden.

PWM kann optional mit einem RDBMS (auch bekannt als SQL-Datenbankserver) konfiguriert werden. Bei der Konfiguration für die Verwendung einer Datenbank werden PWM-Benutzermetadaten wie Challenge/Response-Antworten, TOTP-Tokens, Nutzungsdatensätze und andere Daten in der Datenbank gespeichert. Wenn die Verwendung einer Datenbank nicht konfiguriert ist, werden die Metadaten des PWM-Benutzers im LDAP-Verzeichnis gespeichert. Weder ist besser noch schlechter, welches Sie verwenden, hängt von Ihrer Umgebung ab.

Jeder SQL-Server, der über einen von Java unterstützten JDBC-Treiber verfügt, sollte funktionieren. PWM erstellt bei der ersten Verbindung ein eigenes Schema.

Bauvoraussetzungen:

• Java (überprüfen Sie die Anforderungen oben für die Version)
• Git
• Der Build verwendet Maven, Sie müssen es jedoch nicht installieren. Der Maven-Wrapper im Quellbaum lädt eine lokale Version herunter.

Schritte erstellen:

1. Setzen Sie die Umgebungsvariable JAVA_HOME auf das JDK-Home.
2. Klonen Sie das Git-Projekt
3. Wechseln Sie in das pwm-Verzeichnis
4. Führen Sie den Maven-Build aus

Linux-Beispiel:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Windows-Beispiel:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

Unter Windows empfehlen wir die Verwendung von Pfaden ohne Leerzeichen sowohl für das PWM- als auch für das JDK-Verzeichnis.

Erstellte Artefakte: