pwm

PWM は、LDAP ディレクトリ用のオープンソースのパスワード セルフサービス アプリケーションです。

公式プロジェクト ページは https://github.com/pwm-project/pwm/ にあります。

PWM は Java サーブレット ベースのアプリケーションであり、Java 実行可能な単一の JAR ファイル、従来のサーブレット「WAR」ファイル、および Docker イメージとしてパッケージ化されています。

• PWM - 一般的な Google グループ - まずここで支援を求めてください。
• PWM ドキュメント Wiki - PWM ドキュメントのホーム
• PWM リファレンス - PWM に組み込まれたリファレンス ドキュメント。
• ダウンロード

• 500 を超える構成可能な設定を備えた Web ベースの構成マネージャー
  • すべての設定は単一のインポート/エクスポート可能なファイルに含まれています
  • ユーザーに表示されるすべてのテキスト文字列の表示値を構成可能
• 含まれるローカリゼーション (すべてが完全または最新であるわけではありません):
  • 英語 - 英語
  • カタルーニャ語 - català
  • 中国語 (中国) - 中文 (中国)
  • 中国語 (台湾) - 中文 (台灣)
  • チェコ語 - チェシュティナ
  • デンマーク語 - ダンスク
  • オランダ語 - オランダ
  • 英語 (カナダ) - 英語 (カナダ)
  • フィンランド語 - スオミ
  • フランス語 - フランセ
  • フランス語 (カナダ) - français (カナダ)
  • ドイツ語 - ドイツ語
  • ギリシャ語 - Ελληνικά
  • ヘブライ語 - עברית
  • ハンガリー語 - マジャール語
  • イタリア語 - イタリア語
  • 日本語 - 日本語
  • 韓国語 - 한국어
  • ノルウェー語 - ノルスク
  • ノルウェー語ブークモール - ノルスク・ブークモール
  • ノルウェー語 ニーノシュク - ニーノシュク
  • ポーランド語 - ポルスキ
  • ポルトガル語 - português
  • ポルトガル語 (ブラジル) - ポルトガル語 (ブラジル)
  • ロシア語 - русский
  • スロバキア語 - スロベンチナ
  • スペイン語 - スペイン語
  • スウェーデン語 - スヴェンスカ
  • タイ語 - ไทย
  • トルコ語 - テュルクチェ語
• LDAP ディレクトリのサポート:
  • 複数の LDAP ベンダーのサポート:
    • 汎用 LDAP (ベストエフォート型、LDAP パスワードの動作とエラー処理は LDAP では標準化されていません)
    • ディレクトリ 389
      • 設定されたユーザーパスワードポリシーの読み取り
    • NetIQ eディレクトリ
      • パスワードポリシーとチャレンジセットを読む
      • NMAS の操作とエラー処理
      • NMAS ユーザーのチャレンジ/レスポンスのサポート
    • Microsoft Active Directory
      • Fine-Grained Password Policy (FGPP) パスワード設定オブジェクト (PSO) の読み取り (ドメイン ポリシーは読み取りません)
    • OpenLDAP
  • 複数の冗長LDAPサーバーのネイティブLDAP再試行/フェイルオーバーのサポート
• ローカルで構成可能なパスワード ポリシーの大規模なセット
  • 標準的な構文規則
  • 正規表現ルール
  • パスワード辞書の強制
  • リモート REST サーバーのチェック
  • AD スタイルの構文グループ
  • パスワード履歴を共有して、組織内でのパスワードの再利用を防止します。
• モジュール
  • パスワードを変更する
    • 入力時のパスワードルールの適用
    • パスワード強度フィードバック表示
  • アカウントのアクティベーション / 初回パスワードの割り当て
  • パスワードを忘れた場合
    • 応答をローカル サーバー、標準 RDBMS データベース、LDAP サーバー、または eDirectory NMAS リポジトリに保存します
    • ユーザー検証オプション:
      • 電子メール/SMS トークン/PIN
      • TOTP
      • リモートRESTサービス
      • OAuthサービス
      • ユーザーのLDAP属性値
  • 新規ユーザー登録・アカウント作成
  • ゲストユーザー登録・更新
  • PeopleSearch (ホワイト ページ)
    • 構成可能な詳細ページ
    • 組織図ビュー
  • ヘルプデスクのパスワードのリセットと侵入者ロックアウトのクリア
  • 侵入者ロックアウト マネージャーを含む管理モジュール
    • オンラインログビューア
    • 毎日の統計ビューアとユーザー情報のデバッグ
    • 統計
    • 監査記録
• 複数の導入オプション
  • Java WAR ファイル (独自のアプリケーション サーバーを使用し、Apache Tomcat でテスト済み)
  • Java 単一 JAR ファイル (独自の Java VM を使用)
  • Dockerコンテナ
• いくつかのサンプル CSS テーマを備えたテーマ対応インターフェイス
  • モバイルデバイス固有の CSS テーマ
  • 追加の Web アセット (CSS、JS、画像など) の構成サポート
  • 組織の強制表示
• Google reCaptcha を使用したキャプチャのサポート
• 複数の SSO オプション
  • 基本認証
  • HTTPヘッダーのユーザー名インジェクション
  • 中央認証サービス (CAS)
  • OAuthクライアント
• ほとんどの機能のための REST サーバー API
  • パスワード設定
  • パスワードを忘れた場合
  • パスワードポリシーの読み取り
  • ユーザー属性の更新
  • パスワードポリシーの検証
• パスワード変更、新規ユーザー登録などのユーザーアクティビティ中のカスタム統合のためのアウトバウンドREST API。

PWM アプリケーションの最小要件。

[^1] 特定の Java 実装に対する要件はありません。PWM ビルドでは Adoptium が使用されます。

[^2] Tomcat は明示的な要件ではありませんが、PWM で使用される最も一般的なコンテナであり、docker および onejar ビルドに使用されるコンテナです。

PWM は次のアーティファクトで配布されており、使いやすいものを使用できます。

すべての展開タイプにおいて、各 PWM インスタンスには、PWM の構成、ログ、およびランタイム ファイル用にローカル サーバー上で定義されたapplicationPathディレクトリが必要です。 PWM が構成されると、最初の Web UI で管理者に LDAP およびその他の構成設定を求めるプロンプトが表示されます。

PWM とともにリリースされた「onejar」アーティファクトには Tomcat インスタンスが埋め込まれているため、このバージョンを使用するために Tomcat をインストールする必要はありません。 PWM のテストと評価に最適です。 (必要に応じて) サービスとして実行するのはあなたの責任です。

要件：

• Java 11 JDK 以降

ヘルプ：

• java -version Java 11 以降が利用可能であることを確認します。
• コマンドラインヘルプのjava -jar pwm-onejar-2.0.0.jar

onejar 実行可能ファイルを実行する例 (/pwm-applicationPath はapplicationPathディレクトリの場所):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

デフォルトでは、実行可能ファイルはコンソールに接続されたままとなり、ポート 8443 で HTTPS 接続を待機します。

手順:

1. ブラウザで Tomcat ランディング ページにアクセスできるまで Apache Tomcat を動作させます。 Tomcat のインストールと構成については、Tomcat のドキュメント/ヘルプ サイトを参照してください。
2. Tomcat インスタンスのPWM_APPLICATIONPATH環境変数をapplicationPathディレクトリのローカルの場所に設定します。環境変数の設定方法は OS と展開の種類によって異なるため、環境変数の設定については、Tomcat やオペレーティング システムのドキュメント/ヘルプ サイトを参照してください。
3. pwm.war ファイルを Tomcat の「webapps」ディレクトリに配置します (バージョン名を付けて pwm-xxxwar から名前を変更します)。
4. /pwm URLでアクセスして設定

PWM Docker イメージには Java と Tomcat が含まれています。ポート 8443 で https を使用してリッスンし、 /configとして公開されるボリュームを持ちます。 PWM が構成を保持するには、 /configボリュームをある種の永続的な Docker ボリュームにマップする必要があります。

要件：

• Dockerを実行しているサーバー

手順:

1. デフォルトのpwm/pwm-webappのイメージ名を使用して Docker イメージをロードします。

 docker load --input=pwm-docker-image-v2.0.0.tar

1. mypwmという名前の Docker イメージを作成し、サーバーの 8443 ポートにマップし、サーバーのローカル ファイル システム/home/user/pwm-configフォルダーを使用するように構成ボリュームを設定します (これはコンテナーの PWM アプリケーション パスになります)。

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. mypwmコンテナを開始します。

 docker start mypwm

PWM を設定する前に、LDAP ブラウザ/エディタを使用して、LDAP 環境の期待される機能を確認する必要があります。 PWM の設定で発生する問題のほとんどは、LDAP セットアップの問題または LDAP に対する不慣れが原因です。使用可能な LDAP ブラウザは多数ありますが、一般的なのは Apache Directory Studio です。ブラウザを使用して LDAP 環境に移動し、ディレクトリ構造を理解し、予期される動作を確認します。

特に、Active Directory LDAP は、他の LDAP ディレクトリと比べて構成が間違っていたり、異常に動作したりすることが多いため、問題が発生する可能性があります。具体的には、AD LDAP は参照を使用して、LDAP クライアント (この場合は PWM) を選択したサーバーにリダイレクトします。そのため、PWM は、AD で構成された DNS 名を使用して AD 環境内のすべてのドメイン コントローラー サーバー インスタンスに接続できる必要があります。パスワード変更を機能させるには、SSL 証明書を使用するように AD LDAP を構成する必要もあります。ただし、AD 環境が適切に構成されていれば、PWM は問題なく動作します。

PWM には、Web ベースの構成エディターが含まれています。 PWM が設定なしで開始されると、Web ベースの設定ガイドが管理者に基本的な設定情報の入力を求めます。すべての構成情報は、アプリケーション パス ディレクトリに作成されるPwmConfiguration.xmlファイルに保存されます。アプリケーション パスは、ローカル データベース ( LocalDB ) (主にキャッシュまたはテスト環境として使用される)、ログ ファイル、一時ファイルなどの他のファイルにも使用されます。複数の PWM サーバーを並行して使用する場合は、各サーバーに同一のPwmConfiguration.xmlファイルが必要です。

PWM は構成パスワードを使用して、構成への変更を保護します。 PWM への認証には、構成された管理アカウントへの LDAP ベースのログインが必要です。セットアップの初期段階または LDAP ディレクトリに問題が発生した場合、LDAP が機能的に使用できないときに構成にアクセスする必要がある場合があります。この目的のために、PWM には、構成パスワードを使用して構成を編集できるようにする「構成モード」がありますが、他のすべてのエンドユーザー機能は無効になります。構成モードは、 PwmConfiguration.xmlファイルを編集し、ファイルの先頭近くにあるconfigIsEditableプロパティを変更することで有効/無効にすることができます。また、Web UI で変更することもできます。

PWM は、オプションで RDBMS (SQL データベース サーバーとも呼ばれる) を使用して構成できます。データベースを使用するように構成されている場合、チャレンジ/レスポンスの回答、TOTP トークン、使用状況レコード、その他のデータなどの PWM ユーザー メタデータがデータベースに保存されます。データベースを使用するように構成されていない場合、PWM ユーザーのメタデータは LDAP ディレクトリに保存されます。どちらが良いとか悪いというわけではなく、どちらを使用するかは環境によって異なります。

Java がサポートされている JDBC ドライバーを備えた SQL サーバーはすべて動作するはずです。PWM は最初の接続で独自のスキーマを作成します。

ビルドの前提条件:

• Java (バージョンについては上記の要件を確認してください)
• Git
• ビルドでは Maven を使用しますが、インストールする必要はありません。ソース ツリー内の Maven ラッパーはローカル バージョンをダウンロードします。

ビルド手順:

1. JAVA_HOME環境変数を JDK ホームに設定します。
2. git プロジェクトのクローンを作成する
3. pwmディレクトリに移動
4. Maven ビルドを実行する

Linux の例:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Windows の例:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

Windows では、PWM ディレクトリと JDK ディレクトリの両方にスペースを含まないパスを使用することをお勧めします。

作成されたアーティファクト: