pwm

PWM es una aplicación de autoservicio de contraseñas de código abierto para directorios LDAP.

La página oficial del proyecto está en https://github.com/pwm-project/pwm/.

PWM es una aplicación basada en Servlet Java y está empaquetada como un archivo JAR único ejecutable de Java, un archivo "WAR" de Servlet tradicional y una imagen acoplable.

• PWM-Grupo General de Google: primero solicite ayuda aquí.
• Wiki de documentación de PWM: inicio de la documentación de PWM
• Referencia de PWM: documentación de referencia integrada en PWM.
• Descargas

• Administrador de configuración basado en web con más de 500 ajustes configurables
  • Toda la configuración contenida en un único archivo importable/exportable
  • Valores de visualización configurables para cada cadena de texto de cara al usuario
• Localizaciones incluidas (no todas están completas o actualizadas):
  • Inglés - Inglés
  • Catalán - català
  • Chino (China) - 中文 (中国)
  • Chino (Taiwán) - 中文 (台灣)
  • Checo - čeština
  • Danés - dansk
  • Holandés - Países Bajos
  • Inglés (Canadá) - Inglés (Canadá)
  • Finlandés - suomi
  • Francés - français
  • Francés (Canadá) - français (Canadá)
  • Alemán - Alemán
  • Griego - Ελληνικά
  • Hebreo - עברית
  • Húngaro - magiar
  • italiano - italiano
  • Japonés - 日本語
  • Coreano - 한국어
  • noruego - norsk
  • Bokmål noruego - bokmål norsk
  • Nynorsk noruego - nynorsk
  • Polaco - polski
  • Portugués - portugues
  • Portugués (Brasil) - português (Brasil)
  • Ruso - русский
  • eslovaco - slovenčina
  • español - español
  • sueco - svenska
  • Tailandés - ไทย
  • Turco - Türkçe
• Soporte de directorio LDAP:
  • Soporte para múltiples proveedores de LDAP:
    • LDAP genérico (el mejor esfuerzo, el comportamiento de la contraseña LDAP y el manejo de errores no están estandarizados en LDAP)
    • Directorio 389
      • Lectura de políticas de contraseñas de usuarios configuradas
    • Directorio electrónico NetIQ
      • Leer políticas de contraseñas y conjuntos de desafíos
      • Operaciones NMAS y manejo de errores
      • Soporte para desafíos/respuestas de usuarios NMAS
    • Directorio activo de Microsoft
      • Lectura de objetos de configuración de contraseña (PSO) de política de contraseña detallada (FGPP) (no lee políticas de dominio)
    • AbiertoLDAP
  • Compatibilidad nativa con reintento/conmutación por error de LDAP de múltiples servidores LDAP redundantes
• Amplio conjunto de políticas de contraseñas configurables localmente
  • Reglas de sintaxis estándar
  • reglas de expresiones regulares
  • Aplicación del diccionario de contraseñas
  • Comprobación remota del servidor REST
  • Grupos de sintaxis de estilo AD
  • Historial de contraseñas compartido para evitar que las contraseñas se reutilicen organizacionalmente
• Módulos
  • Cambiar la contraseña
    • Aplicación de reglas de contraseñas mientras escribes
    • visualización de información sobre la seguridad de la contraseña
  • Activación de cuenta / Asignación de contraseña por primera vez
  • Contraseña olvidada
    • Almacenar respuestas en un servidor local, una base de datos RDBMS estándar, un servidor LDAP o repositorios eDirectory NMAS
    • Opciones de verificación de usuario:
      • Correo electrónico/Token de SMS/PIN
      • TOTP
      • Servicio REST remoto
      • Servicio OAuth
      • Valores de atributos LDAP de usuario
  • Registro de nuevo usuario/creación de cuenta
  • Registro/Actualización de Usuario Invitado
  • PeopleSearch (páginas blancas)
    • Páginas de detalles configurables
    • Vista de organigrama
  • Restablecimiento de contraseña del servicio de asistencia técnica y eliminación del bloqueo contra intrusos
  • Módulos de administración que incluyen un administrador de bloqueo contra intrusos
    • visor de registros en línea
    • Visor de estadísticas diarias y depuración de información del usuario.
    • estadística
    • registros de auditoría
• Múltiples opciones de implementación
  • Archivo Java WAR (traiga su propio servidor de aplicaciones, probado con Apache Tomcat)
  • Archivo JAR único de Java (traiga su propia máquina virtual Java)
  • contenedor acoplable
• Interfaz temática con varios temas CSS de ejemplo
  • Temas CSS específicos para dispositivos móviles
  • Soporte de configuración para recursos web adicionales (css, js, imágenes, etc.)
  • Forzar la visualización de la organización.
• Soporte de Captcha usando Google reCaptcha
• Múltiples opciones de SSO
  • Autenticación básica
  • Inyección de nombre de usuario del encabezado HTTP
  • Servicio de autenticación central (CAS)
  • Cliente OAuth
• API de servidor REST para la mayoría de las funciones
  • Establecer contraseña
  • Contraseña olvidada
  • Lectura de política de contraseñas
  • Actualizaciones de atributos de usuario
  • Verificación de la política de contraseñas
• API REST saliente para integraciones personalizadas durante las actividades del usuario, como cambio de contraseña, registro de nuevo usuario, etc.

Requisitos mínimos para la aplicación PWM.

[^1] No hay ningún requisito para una implementación de Java específica, las compilaciones de PWM utilizan Adoptium.

[^2] Tomcat no es un requisito explícito, pero es el contenedor más común utilizado con PWM y el que se utiliza para las compilaciones de Docker y Onejar.

PWM se distribuye en los siguientes artefactos, puede utilizar el que le resulte más conveniente.

Para todos los tipos de implementación, cada instancia de PWM necesitará un directorio applicationPath definido en su servidor local para los archivos de configuración, registro y tiempo de ejecución de PWM. Una vez que se configura PWM, la interfaz de usuario web inicial solicitará al administrador LDAP y otras configuraciones de configuración.

El artefacto 'onejar' lanzado con PWM tiene una instancia de Tomcat incorporada, por lo que no es necesario instalar Tomcat para usar esta versión. Es ideal para probar y evaluar PWM. Usted será responsable de ejecutarlo como un servicio (si lo desea).

Requisitos:

• Java 11 JDK o mejor

Ayuda:

• java -version para garantizar que tenga java 11 o superior disponible
• java -jar pwm-onejar-2.0.0.jar para obtener ayuda con la línea de comandos

Ejemplo para ejecutar el ejecutable onejar (siendo /pwm-applicationPath la ubicación de su directorio applicationPath ):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

De forma predeterminada, el ejecutable permanecerá conectado a la consola y escuchará las conexiones HTTPS en el puerto 8443.

Pasos:

1. Haga que Apache Tomcat funcione hasta el punto de que pueda acceder a la página de inicio de Tomcat con su navegador. Consulte la documentación/sitios de ayuda de Tomcat para obtener ayuda con la instalación y configuración de Tomcat.
2. Establezca la variable de entorno PWM_APPLICATIONPATH en su instancia de Tomcat en una ubicación local de su directorio applicationPath . Consulte los sitios de ayuda/documentación de Tomcat y/o su sistema operativo para obtener ayuda con la configuración de las variables de entorno, ya que el método para hacerlo depende del sistema operativo y del tipo de implementación.
3. Coloque el archivo pwm.war en el directorio 'webapps' de Tomcat (cambie el nombre de pwm-xxxwar con el nombre de la versión)
4. Acceder con /pwm url y configurar

La imagen de la ventana acoplable PWM incluye Java y Tomcat. Escucha usando https en el puerto 8443 y tiene un volumen expuesto como /config . Deberá asignar el volumen /config a algún tipo de volumen acoplable persistente para que PWM conserve la configuración.

Requisitos:

• Servidor ejecutando Docker

Pasos:

1. Cargue la imagen de su ventana acoplable con la imagen no predeterminada de pwm/pwm-webapp :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Cree una imagen de la ventana acoplable llamada mypwm , asigne el puerto 8443 del servidor y configure el volumen de configuración para usar la carpeta /home/user/pwm-config del sistema de archivos local del servidor (esta será la ruta de la aplicación PWM para el contenedor):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Inicie el contenedor mypwm :

 docker start mypwm

Antes de configurar PWM, debe utilizar un navegador/editor LDAP para garantizar la funcionalidad esperada de su entorno LDAP. La mayoría de las dificultades encontradas al configurar PWM se deben a problemas de configuración de LDAP o a la falta de familiaridad con LDAP. Hay muchos navegadores LDAP disponibles, uno común es Apache Directorry Studio. Utilice el navegador para navegar por su entorno LDAP, familiarizarse con la estructura del directorio y verificar el comportamiento esperado.

En particular, LDAP de Active Directory puede ser problemático porque a menudo está mal configurado y se comporta de manera inusual en comparación con otros directorios LDAP. Específicamente, AD LDAP utiliza referencias para redirigir el cliente LDAP (PWM en este caso) a los servidores de su elección, por lo que PWM debe poder comunicarse con todas las instancias del servidor del controlador de dominio en el entorno AD utilizando el nombre DNS configurado por AD. AD LDAP también debe configurarse para utilizar certificados SSL para que funcionen las modificaciones de contraseña. Sin embargo, si el entorno AD está bien configurado, PWM funcionará bien con él.

PWM incluye un editor de configuración basado en web. Cuando PWM se inicia sin configuración, una guía de configuración basada en web solicitará al administrador información de configuración básica. Toda la información de configuración se almacena en el archivo PwmConfiguration.xml , que se creará en el directorio de ruta de la aplicación. La ruta de la aplicación también se usa para otros archivos, incluida una base de datos local ( LocalDB ) (usada principalmente como caché o para entornos de prueba), archivos de registro y archivos temporales. Si se utilizan varios servidores PWM en paralelo, cada servidor debe tener archivos PwmConfiguration.xml idénticos.

PWM utiliza una contraseña de configuración para proteger cualquier modificación de la configuración. La autenticación en PWM requiere un inicio de sesión respaldado por LDAP en una cuenta administrativa configurada. En la configuración inicial o en casos de problemas con el directorio LDAP, puede ser necesario acceder a la configuración cuando LDAP no esté disponible funcionalmente. Para este propósito, PWM tiene un "modo de configuración" que permite editar la configuración con la contraseña de configuración, pero desactiva todas las demás funciones del usuario final. El modo de configuración se puede habilitar/deshabilitar editando el archivo PwmConfiguration.xml y cambiando la propiedad configIsEditable cerca de la parte superior del archivo, y también se puede cambiar en la interfaz de usuario web.

PWM se puede configurar opcionalmente con un RDBMS (también conocido como servidor de base de datos SQL). Cuando se configura para usar una base de datos, los metadatos del usuario de PWM, como respuestas de desafío/respuesta, tokens TOTP, registros de uso y otros datos, se almacenarán en la base de datos. Cuando no está configurado para usar una base de datos, los metadatos del usuario PWM se almacenarán en el directorio LDAP. Ninguno es mejor ni peor, cuál uses depende de tu entorno.

Cualquier servidor SQL que tenga un controlador JDBC compatible con Java debería funcionar, PWM creará su propio esquema en la primera conexión.

Construir requisitos previos:

• Java (consulte los requisitos anteriores para conocer la versión)
• git
• La compilación utiliza maven, pero no es necesario instalarlo; el contenedor maven en el árbol fuente descargará una versión local.

Pasos de construcción:

1. Establezca la variable de entorno JAVA_HOME en el inicio de JDK.
2. Clonar el proyecto git
3. Cambiar al directorio pwm
4. Ejecute la compilación maven

Ejemplo de Linux:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Ejemplo de Windows:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

En Windows recomendamos utilizar rutas sin espacios tanto para el directorio PWM como para el JDK.

Artefactos creados: