pwm

PWM est une application libre-service de mot de passe open source pour les annuaires LDAP.

La page officielle du projet se trouve sur https://github.com/pwm-project/pwm/.

PWM est une application basée sur un servlet Java et est conditionnée sous la forme d'un fichier JAR unique exécutable Java, d'un fichier "WAR" de servlet traditionnel et d'une image Docker.

• PWM-General Google Group - veuillez d'abord demander de l'aide ici.
• Wiki de documentation PWM - Accueil de la documentation PWM
• Référence PWM - Documentation de référence intégrée à PWM.
• Téléchargements

• Gestionnaire de configuration basé sur le Web avec plus de 500 paramètres configurables
  • Toute la configuration contenue dans un seul fichier importable/exportable
  • Valeurs d'affichage configurables pour chaque chaîne de texte destinée à l'utilisateur
• Localisations incluses (toutes ne sont pas complètes ou à jour) :
  • Anglais - Anglais
  • catalan - català
  • Chinois (Chine) - 中文 (中国)
  • Chinois (Taïwan) - 中文 (台灣)
  • Tchèque - čeština
  • Danois - dansk
  • Néerlandais - Nederlands
  • Anglais (Canada) - Anglais (Canada)
  • Finnois - suomi
  • français - français
  • Français (Canada) - français (Canada)
  • Allemand - Deutsch
  • Grec - Ελληνικά
  • Hébreu - עברית
  • Hongrois - magyar
  • italien - italien
  • Japonais - 日本語
  • Coréen - 한국어
  • Norvégien - norsk
  • Norvégien bokmål - norsk bokmål
  • Norvégien Nynorsk - nynorsk
  • Polonais - polski
  • Portugais - português
  • Portugais (Brésil) - português (Brésil)
  • Russe - русский
  • Slovaque - slovenčina
  • Espagnol - espagnol
  • Suédois - svenska
  • Thaï - ไทย
  • Turc - Türkçe
• Prise en charge de l'annuaire LDAP :
  • Prise en charge de plusieurs fournisseurs LDAP :
    • LDAP générique (au mieux, le comportement des mots de passe LDAP et la gestion des erreurs ne sont pas standardisés dans LDAP)
    • Annuaire 389
      • Lecture des politiques de mot de passe utilisateur configurées
    • Annuaire électronique NetIQ
      • Lire les politiques de mot de passe et les ensembles de défis
      • Opérations NMAS et gestion des erreurs
      • Prise en charge des défis/réponses des utilisateurs NMAS
    • Microsoft Active Directory
      • Lecture des objets de définition de mot de passe (PSO) de stratégie de mot de passe à granularité fine (FGPP) (ne lit pas les stratégies de domaine)
    • OuvertLDAP
  • Prise en charge native des nouvelles tentatives/basculements LDAP de plusieurs serveurs LDAP redondants
• Large ensemble de politiques de mot de passe configurables localement
  • Règles de syntaxe standard
  • Règles d'expression régulière
  • Application du dictionnaire de mots de passe
  • Vérification du serveur REST à distance
  • Groupes de syntaxe de style AD
  • Historique des mots de passe partagé pour empêcher la réutilisation des mots de passe au sein de l'organisation
• Modules
  • Changer le mot de passe
    • application des règles de mot de passe au fur et à mesure de la frappe
    • affichage des commentaires sur la force du mot de passe
  • Activation du compte / Première attribution du mot de passe
  • Mot de passe oublié
    • Stocker les réponses sur un serveur local, une base de données SGBDR standard, un serveur LDAP ou des référentiels NMAS eDirectory
    • Options de vérification de l'utilisateur :
      • E-mail/SMS Jeton/PIN
      • TOTP
      • Service REST à distance
      • Service OAuth
      • Valeurs des attributs LDAP utilisateur
  • Enregistrement d'un nouvel utilisateur/création de compte
  • Inscription/Mise à jour des utilisateurs invités
  • Recherche de personnes (pages blanches)
    • Pages de détails configurables
    • Vue Organigramme
  • Réinitialisation du mot de passe du service d'assistance et suppression du verrouillage contre les intrus
  • Modules d'administration incluant un gestionnaire de verrouillage contre les intrusions
    • visionneuse de journaux en ligne
    • visionneuse de statistiques quotidiennes et débogage des informations utilisateur
    • statistiques
    • dossiers d'audit
• Plusieurs options de déploiement
  • Fichier Java WAR (apportez votre propre serveur d'applications, testé avec Apache Tomcat)
  • Fichier JAR unique Java (apportez votre propre machine virtuelle Java)
  • Conteneur Docker
• Interface thématique avec plusieurs exemples de thèmes CSS
  • Thèmes CSS spécifiques aux appareils mobiles
  • Prise en charge de la configuration pour des ressources Web supplémentaires (css, js, images, etc.)
  • Forcer l’affichage de l’organisation
• Prise en charge du Captcha avec Google reCaptcha
• Plusieurs options SSO
  • Authentification de base
  • Injection de nom d'utilisateur dans l'en-tête HTTP
  • Service central d'authentification (CAS)
  • Client OAuth
• API du serveur REST pour la plupart des fonctionnalités
  • Mot de passe défini
  • Mot de passe oublié
  • Lecture de la politique de mot de passe
  • Mises à jour des attributs utilisateur
  • Vérification de la politique de mot de passe
• API REST sortante pour des intégrations personnalisées lors des activités des utilisateurs telles que la modification du mot de passe, l'enregistrement d'un nouvel utilisateur, etc.

Exigences minimales pour l'application PWM.

[^1] Aucune implémentation Java spécifique n'est requise, les versions PWM utilisent Adoptium.

[^2] Tomcat n'est pas une exigence explicite, mais c'est le conteneur le plus couramment utilisé avec PWM, et celui qui est utilisé pour les versions Docker et Onejar.

PWM est distribué dans les artefacts suivants, vous pouvez utiliser celui qui vous convient le mieux.

Pour tous les types de déploiement, chaque instance PWM aura besoin d'un répertoire applicationPath défini sur votre serveur local pour les fichiers de configuration, de journal et d'exécution de PWM. Une fois PWM configuré, l’interface utilisateur Web initiale demandera à l’administrateur LDAP et d’autres paramètres de configuration.

L'artefact 'onejar' publié avec PWM possède une instance Tomcat intégrée, vous n'avez donc pas besoin d'installer Tomcat pour utiliser cette version. Il est idéal pour tester et évaluer le PWM. Vous serez responsable de le faire fonctionner en tant que service (si vous le souhaitez).

Exigences:

• Java 11 JDK ou supérieur

Aide:

• java -version pour vous assurer que vous disposez de Java 11 ou supérieur
• java -jar pwm-onejar-2.0.0.jar pour l'aide en ligne de commande

Exemple d'exécution de l'exécutable onejar (avec /pwm-applicationPath étant l'emplacement de votre répertoire applicationPath ) :

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

Par défaut, l'exécutable restera attaché à la console et écoutera les connexions HTTPS sur le port 8443.

Mesures:

1. Faites fonctionner Apache Tomcat au point que vous puissiez accéder à la page de destination de Tomcat avec votre navigateur. Consultez la documentation/les sites d'aide de Tomcat pour obtenir de l'aide sur l'installation et la configuration de Tomcat.
2. Définissez la variable d'environnement PWM_APPLICATIONPATH dans votre instance Tomcat sur un emplacement local de votre répertoire applicationPath . Consultez Tomcat et/ou la documentation/les sites d'aide de votre système d'exploitation pour obtenir de l'aide sur la configuration des variables d'environnement, car la méthode pour ce faire dépend du système d'exploitation et du type de déploiement.
3. Placez le fichier pwm.war dans le répertoire 'webapps' de Tomcat (renommez-le de pwm-xxxwar avec le nom de la version)
4. Accédez avec l'url /pwm et configurez

L'image Docker PWM inclut Java et Tomcat. Il écoute en utilisant https sur le port 8443 et son volume est exposé sous la forme /config . Vous devrez mapper le volume /config à un certain type de volume Docker persistant pour que PWM conserve la configuration.

Exigences:

• Serveur exécutant Docker

Mesures:

1. Chargez votre image Docker avec l'image correspondant au pwm/pwm-webapp par défaut :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Créez une image Docker nommée mypwm , mappez-la au port 8443 du serveur et définissez le volume de configuration pour utiliser le dossier /home/user/pwm-config du système de fichiers local du serveur (ce sera le chemin d'application PWM pour le conteneur) :

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Démarrez le conteneur mypwm :

 docker start mypwm

Avant de configurer PWM, vous devez utiliser un navigateur/éditeur LDAP pour garantir les fonctionnalités attendues de votre environnement LDAP. La plupart des difficultés rencontrées lors de la configuration de PWM sont dues à des problèmes de configuration LDAP ou à une méconnaissance de LDAP. Il existe de nombreux navigateurs LDAP disponibles, le plus courant étant Apache Directrory Studio. Utilisez le navigateur pour naviguer dans votre environnement LDAP, vous familiariser avec la structure des répertoires et vérifier le comportement attendu.

En particulier, Active Directory LDAP peut poser problème car il est souvent mal configuré et se comporte de manière inhabituelle par rapport aux autres annuaires LDAP. Plus précisément, AD LDAP utilise des références pour rediriger le client LDAP (PWM dans ce cas) vers les serveurs de son choix. PWM doit donc pouvoir contacter toutes les instances de serveur de contrôleur de domaine dans l'environnement AD en utilisant le nom DNS configuré par AD. AD LDAP doit également être configuré pour utiliser des certificats SSL pour que les modifications de mot de passe fonctionnent. Cependant, si l’environnement AD est bien configuré, PWM fonctionnera correctement.

PWM comprend un éditeur de configuration basé sur le Web. Lorsque PWM démarre sans configuration, un guide de configuration Web demandera à l'administrateur des informations de configuration de base. Toutes les informations de configuration sont stockées dans le fichier PwmConfiguration.xml , qui sera créé dans le répertoire du chemin de l'application. Le chemin de l'application est également utilisé pour d'autres fichiers, notamment une base de données locale ( LocalDB ) (utilisée principalement comme cache ou pour les environnements de test), des fichiers journaux et des fichiers temporaires. Si plusieurs serveurs PWM sont utilisés en parallèle, chaque serveur doit avoir des fichiers PwmConfiguration.xml identiques.

PWM utilise un mot de passe de configuration pour protéger toute modification de la configuration. L'authentification auprès de PWM nécessite une connexion basée sur LDAP à un compte administratif configuré. En début d'installation ou en cas de problèmes avec l'annuaire LDAP, il peut être nécessaire d'accéder à la configuration lorsque la fonctionnalité LDAP n'est pas disponible. À cette fin, PWM dispose d'un "mode de configuration" qui permet de modifier la configuration avec le mot de passe de configuration, mais désactive toutes les autres fonctionnalités de l'utilisateur final. Le mode de configuration peut être activé/désactivé en modifiant le fichier PwmConfiguration.xml et en modifiant la propriété configIsEditable en haut du fichier. Il peut également être modifié dans l'interface utilisateur Web.

PWM peut éventuellement être configuré avec un SGBDR (également appelé serveur de base de données SQL). Lorsqu'elles sont configurées pour utiliser une base de données, les métadonnées utilisateur PWM telles que les réponses aux défis/réponses, les jetons TOTP, les enregistrements d'utilisation et d'autres données seront stockées dans la base de données. Lorsqu'elles ne sont pas configurées pour utiliser une base de données, les métadonnées utilisateur PWM seront stockées dans l'annuaire LDAP. Ni l’un ni l’autre n’est meilleur ou pire, celui que vous utilisez dépend de votre environnement.

Tout serveur SQL doté d'un pilote JDBC pris en charge par Java devrait fonctionner, PWM créera son propre schéma lors de la première connexion.

Construire les pré-requis :

• Java (vérifiez les exigences ci-dessus pour la version)
• Git
• La build utilise maven, mais vous n'avez pas besoin de l'installer ; le wrapper maven dans l'arborescence des sources téléchargera une version locale.

Étapes de construction :

1. Définissez la variable d'environnement JAVA_HOME sur JDK home.
2. Cloner le projet git
3. Accédez au répertoire pwm
4. Exécutez la version maven

Exemple Linux :

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Exemple Windows :

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

Sous Windows, nous vous recommandons d'utiliser des chemins sans espaces pour les répertoires PWM et JDK.

Artefacts créés :