pwm

PWM adalah aplikasi layanan mandiri kata sandi sumber terbuka untuk direktori LDAP.

Halaman proyek resmi ada di https://github.com/pwm-project/pwm/.

PWM adalah aplikasi berbasis Java Servlet, dan dikemas sebagai file JAR tunggal Java yang dapat dieksekusi, file "WAR" Servlet tradisional, dan gambar buruh pelabuhan.

• PWM-Umum Google Group - silahkan minta bantuan disini dulu.
• Wiki Dokumentasi PWM - Beranda untuk dokumentasi PWM
• Referensi PWM - Dokumentasi referensi yang ada di dalam PWM.
• Unduhan

• Manajer konfigurasi berbasis web dengan lebih dari 500 pengaturan yang dapat dikonfigurasi
  • Semua konfigurasi terkandung dalam satu file yang dapat diimpor/diekspor
  • Nilai tampilan yang dapat dikonfigurasi untuk setiap string teks yang dilihat pengguna
• Pelokalan yang disertakan (tidak semuanya lengkap atau terkini):
  • Bahasa Inggris - Bahasa Inggris
  • Katalan - katala
  • Cina (Tiongkok) - 中文 (中国)
  • Cina (Taiwan) - 中文 (台灣)
  • Ceko - čeština
  • Denmark - lembap
  • Belanda - Belanda
  • Bahasa Inggris (Kanada) - Bahasa Inggris (Kanada)
  • Finlandia - suomi
  • Perancis - français
  • Prancis (Kanada) - français (Kanada)
  • Jerman - Jerman
  • Yunani - Ελληνικά
  • Ibrani - עברית
  • Hongaria - magyar
  • Italia - Italia
  • Jepang - 日本語
  • Korea - 한국어
  • Norwegia - norsk
  • Bokmål Norwegia - norsk bokmål
  • Nynorsk Norwegia - nynorsk
  • Polandia - polski
  • Portugis - Portugis
  • Portugis (Brasil) - português (Brasil)
  • Rusia - русский
  • Slovakia - slovenčina
  • Spanyol - español
  • Swedia - svenska
  • Thailand - ไทย
  • Turki - Türkçe
• Dukungan Direktori LDAP:
  • Dukungan beberapa vendor LDAP:
    • LDAP Generik (upaya terbaik, perilaku kata sandi LDAP, dan penanganan kesalahan tidak distandarisasi dalam LDAP)
    • Direktori 389
      • Membaca kebijakan kata sandi pengguna yang dikonfigurasi
    • Direktori NetIQ
      • Baca Kebijakan Kata Sandi & Kumpulan Tantangan
      • Operasi NMAS dan Penanganan Kesalahan
      • Dukungan untuk tantangan/tanggapan pengguna NMAS
    • Direktori Aktif Microsoft
      • Pembacaan Fine-Grained Password Policy (FGPP) Password Setting Objects (PSO) (tidak membaca kebijakan domain)
    • BukaLDAP
  • Dukungan percobaan ulang/failover LDAP asli dari beberapa server LDAP redundan
• Kumpulan besar kebijakan kata sandi yang dapat dikonfigurasi secara lokal
  • Aturan sintaksis standar
  • Aturan ekspresi reguler
  • Penegakan kamus kata sandi
  • Pemeriksaan server REST jarak jauh
  • Grup sintaksis gaya AD
  • Riwayat kata sandi bersama untuk mencegah kata sandi digunakan kembali secara organisasi
• Modul
  • Ubah Kata Sandi
    • penegakan aturan kata sandi saat Anda mengetik
    • tampilan umpan balik kekuatan kata sandi
  • Aktivasi Akun / Penetapan kata sandi pertama kali
  • Lupa Kata Sandi
    • Simpan Respons di server lokal, database RDBMS standar, server LDAP, atau repositori eDirectory NMAS
    • Opsi verifikasi pengguna:
      • Token/PIN Email/SMS
      • TOTP
      • Layanan REST jarak jauh
      • layanan OAuth
      • Nilai atribut LDAP pengguna
  • Registrasi Pengguna Baru / Pembuatan Akun
  • Registrasi / Pembaruan Pengguna Tamu
  • PeopleSearch (halaman putih)
    • Halaman detail yang dapat dikonfigurasi
    • tampilan Bagan Organisasi
  • Penyetelan ulang kata sandi meja bantuan dan pembersihan penguncian penyusup
  • Modul administrasi termasuk manajer penguncian penyusup
    • penampil log online
    • penampil statistik harian dan debugging informasi pengguna
    • statistik
    • catatan audit
• Beberapa Opsi Penerapan
  • File Java WAR (bawa server aplikasi Anda sendiri, diuji dengan Apache Tomcat)
  • File JAR tunggal Java (bawalah Java VM Anda sendiri)
  • wadah buruh pelabuhan
• Antarmuka yang mendukung tema dengan beberapa contoh tema CSS
  • Tema CSS khusus perangkat seluler
  • Dukungan konfigurasi untuk aset web tambahan (css, js, gambar, dll)
  • Paksa tampilan organisasi
• Dukungan Captcha menggunakan Google reCaptcha
• Beberapa opsi SSO
  • Otentikasi Dasar
  • Injeksi nama pengguna header HTTP
  • Layanan Otentikasi Pusat (CAS)
  • klien OAuth
• REST Server API untuk sebagian besar fungsionalitas
  • Kumpulan kata sandi
  • Lupa kata sandi
  • Pembacaan kebijakan kata sandi
  • Pembaruan atribut pengguna
  • Verifikasi kebijakan kata sandi
• REST API keluar untuk integrasi khusus selama aktivitas pengguna seperti mengubah kata sandi, pendaftaran pengguna baru, dll.

Persyaratan minimum untuk aplikasi PWM.

[^1] Tidak ada persyaratan untuk implementasi Java tertentu, build PWM menggunakan Adoptium.

[^2] Tomcat bukan persyaratan eksplisit, tetapi ini adalah wadah yang paling umum digunakan dengan PWM, dan yang digunakan untuk pembuatan buruh pelabuhan dan onejar.

PWM didistribusikan dalam artefak berikut, Anda dapat menggunakan mana yang paling nyaman.

Untuk semua jenis penerapan, setiap instans PWM memerlukan direktori applicationPath yang ditentukan di server lokal Anda untuk file konfigurasi, log, dan runtime PWM. Setelah PWM dikonfigurasi, UI web awal akan meminta administrator untuk LDAP dan pengaturan konfigurasi lainnya.

Artefak 'onejar' yang dirilis dengan PWM memiliki instance Tomcat yang tertanam, jadi Anda tidak perlu menginstal Tomcat untuk menggunakan versi ini. Ini ideal untuk menguji dan mengevaluasi PWM. Anda akan bertanggung jawab untuk menjalankannya sebagai layanan (jika diinginkan).

Persyaratan:

• Java 11 JDK atau lebih baik

Membantu:

• java -version untuk memastikan Anda memiliki Java 11 atau lebih baik
• java -jar pwm-onejar-2.0.0.jar untuk bantuan baris perintah

Contoh untuk menjalankan onejar yang dapat dieksekusi (dengan /pwm-applicationPath menjadi lokasi direktori applicationPath Anda):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

Secara default, file yang dapat dieksekusi akan tetap terpasang ke konsol dan mendengarkan koneksi HTTPS pada port 8443.

Tangga:

1. Buat Apache Tomcat berfungsi hingga Anda dapat mengakses halaman arahan Tomcat dengan browser Anda. Lihat dokumentasi/situs bantuan Tomcat untuk bantuan dalam menginstal dan mengkonfigurasi Tomcat.
2. Setel variabel lingkungan PWM_APPLICATIONPATH di instance Tomcat Anda ke lokasi lokal direktori applicationPath Anda. Lihat Tomcat dan/atau dokumentasi sistem operasi/situs bantuan Anda untuk bantuan dalam mengonfigurasi variabel lingkungan karena metode untuk melakukan hal ini bergantung pada OS dan jenis penerapan.
3. Tempatkan file pwm.war di direktori Tomcat 'webapps' (ganti nama dari pwm-xxxwar dengan penamaan versi)
4. Akses dengan url /pwm dan konfigurasikan

Gambar buruh pelabuhan PWM mencakup Java dan Tomcat. Ia mendengarkan menggunakan https pada port 8443, dan memiliki volume yang diekspos sebagai /config . Anda perlu memetakan volume /config ke beberapa jenis volume buruh pelabuhan yang persisten agar PWM dapat mempertahankan konfigurasi.

Persyaratan:

• Server menjalankan buruh pelabuhan

Tangga:

1. Muat gambar buruh pelabuhan Anda dengan gambar nae dari pwm/pwm-webapp default :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Buat gambar buruh pelabuhan bernama mypwm , petakan ke port 8443 server, dan atur volume konfigurasi untuk menggunakan sistem file lokal folder /home/user/pwm-config server (ini akan menjadi jalur aplikasi PWM untuk kontainer):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Mulai wadah mypwm :

 docker start mypwm

Sebelum mengonfigurasi PWM, Anda harus menggunakan browser/editor LDAP untuk memastikan fungsionalitas yang diharapkan dari lingkungan LDAP Anda. Sebagian besar kesulitan yang dihadapi saat mengonfigurasi PWM disebabkan oleh masalah pengaturan LDAP atau ketidaktahuan dengan LDAP. Ada banyak browser LDAP yang tersedia, salah satu yang umum adalah Apache Directrory Studio. Gunakan browser untuk menavigasi lingkungan LDAP Anda, memahami struktur direktori, dan memverifikasi perilaku yang diharapkan.

Secara khusus, LDAP Direktori Aktif dapat menimbulkan masalah karena sering kali salah dikonfigurasi dan berperilaku tidak biasa dibandingkan dengan direktori LDAP lainnya. Secara khusus, LDAP AD menggunakan rujukan untuk mengarahkan klien LDAP (dalam hal ini PWM) ke server yang dipilihnya, sehingga PWM harus dapat menghubungi semua instance server pengontrol domain di lingkungan AD menggunakan nama DNS yang dikonfigurasi AD. AD LDAP juga harus dikonfigurasi untuk menggunakan sertifikat SSL agar modifikasi kata sandi dapat berfungsi. Namun, jika lingkungan AD dikonfigurasi dengan baik, PWM akan berfungsi dengan baik.

PWM menyertakan editor konfigurasi berbasis web. Ketika PWM dimulai tanpa konfigurasi, panduan konfigurasi berbasis web akan meminta administrator untuk memberikan informasi konfigurasi dasar. Semua informasi konfigurasi disimpan dalam file PwmConfiguration.xml , yang akan dibuat di direktori jalur aplikasi. Jalur aplikasi juga digunakan untuk file lain, termasuk database lokal ( LocalDB ) (terutama digunakan sebagai cache atau untuk lingkungan pengujian), file log, dan file sementara. Jika beberapa server PWM digunakan secara paralel, setiap server harus memiliki file PwmConfiguration.xml yang identik.

PWM menggunakan kata sandi konfigurasi untuk melindungi setiap modifikasi pada konfigurasi. Otentikasi ke PWM memerlukan login yang didukung LDAP ke akun administratif yang dikonfigurasi. Pada pengaturan awal atau jika terjadi masalah dengan direktori LDAP, konfigurasi mungkin perlu diakses ketika fungsi LDAP tidak tersedia. Untuk tujuan ini, PWM memiliki "mode konfigurasi" yang memungkinkan pengeditan konfigurasi dengan kata sandi konfigurasi, tetapi menonaktifkan semua fungsi pengguna akhir lainnya. Mode konfigurasi dapat diaktifkan/dinonaktifkan dengan mengedit file PwmConfiguration.xml dan mengubah properti configIsEditable di dekat bagian atas file, dan juga dapat diubah di UI web.

PWM secara opsional dapat dikonfigurasi dengan RDBMS (juga dikenal sebagai server database SQL). Saat dikonfigurasi untuk menggunakan database, metadata pengguna PWM seperti jawaban tantangan/respons, token TOTP, catatan penggunaan, dan data lainnya akan disimpan dalam database. Jika tidak dikonfigurasi untuk menggunakan database, metadata pengguna PWM akan disimpan ke direktori LDAP. Tidak ada yang lebih baik atau lebih buruk, yang mana yang Anda gunakan bergantung pada lingkungan Anda.

Server SQL apa pun yang memiliki driver JDBC yang didukung Java akan berfungsi, PWM akan membuat skemanya sendiri pada koneksi pertama.

Membangun prasyarat:

• Java (periksa persyaratan di atas untuk versinya)
• Git
• Buildnya menggunakan pakar, tetapi Anda tidak perlu menginstalnya; pembungkus pakar di pohon sumber akan mengunduh versi lokal.

Langkah-langkah membangun:

1. Setel variabel lingkungan JAVA_HOME ke rumah JDK.
2. Kloning proyek git
3. Ubah ke direktori pwm
4. Jalankan build pakar

Contoh Linux:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Contoh jendela:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

Di Windows kami merekomendasikan penggunaan jalur tanpa spasi untuk direktori PWM dan JDK.

Artefak yang dibuat: