pwm

PWM é um aplicativo de autoatendimento de senha de código aberto para diretórios LDAP.

A página oficial do projeto está em https://github.com/pwm-project/pwm/.

PWM é um aplicativo baseado em Java Servlet e é empacotado como um único arquivo JAR executável Java, arquivo "WAR" de Servlet tradicional e imagem docker.

• PWM-General Google Group - peça ajuda aqui primeiro.
• Wiki de documentação do PWM - Página inicial da documentação do PWM
• Referência PWM - Documentação de referência incorporada ao PWM.
• Transferências

• Gerenciador de configuração baseado na Web com mais de 500 configurações configuráveis
  • Todas as configurações contidas em um único arquivo importável/exportável
  • Valores de exibição configuráveis ​​para cada sequência de texto voltada ao usuário
• Localizações incluídas (nem todas estão completas ou atuais):
  • Inglês - Inglês
  • Catalão - català
  • Chinês (China) - 中文 (中国)
  • Chinês (Taiwan) - 中文 (台灣)
  • Tcheco - čeština
  • Dinamarquês - dansk
  • Holandês - Holanda
  • Inglês (Canadá) - Inglês (Canadá)
  • Finlandês - suomi
  • Francês - francês
  • Francês (Canadá) - français (Canadá)
  • Alemão - Alemão
  • Grego – Ελληνικά
  • Hebraico – עברית
  • Húngaro - magiar
  • Italiano - italiano
  • Japonês - 日本語
  • Coreano - 한국어
  • Norueguês - norueguês
  • Bokmål Norueguês
  • Norueguês Nynorsk - nynorsk
  • Polonês - polski
  • Português - português
  • Português (Brasil) - português (Brasil)
  • Russo - русский
  • Eslovaco - slovenčina
  • Espanhol - espanhol
  • Sueco - svenska
  • Tailandês - ไทย
  • Turco - Türkçe
• Suporte ao diretório LDAP:
  • Suporte a vários fornecedores de LDAP:
    • LDAP genérico (melhor esforço, comportamento de senha LDAP e tratamento de erros não são padronizados no LDAP)
    • Diretório 389
      • Leitura de políticas de senha de usuário configuradas
    • NetIQ eDirectory
      • Leia políticas de senha e conjuntos de desafios
      • Operações NMAS e tratamento de erros
      • Suporte para desafios/respostas do usuário NMAS
    • Diretório Ativo Microsoft
      • Leitura de objetos de configuração de senha (PSO) de política de senha refinada (FGPP) (não lê políticas de domínio)
    • OpenLDAP
  • Suporte nativo para nova tentativa/failover de LDAP de vários servidores LDAP redundantes
• Grande conjunto de políticas de senha configuráveis ​​localmente
  • Regras de sintaxe padrão
  • Regras Regex
  • Aplicação de dicionário de senha
  • Verificação remota do servidor REST
  • Grupos de sintaxe estilo AD
  • Histórico de senhas compartilhado para evitar que as senhas sejam reutilizadas organizacionalmente
• Módulos
  • Alterar a senha
    • aplicação de regra de senha conforme você digita
    • exibição de feedback de força da senha
  • Ativação de conta/atribuição de senha pela primeira vez
  • Senha esquecida
    • Armazene respostas em servidor local, banco de dados RDBMS padrão, servidor LDAP ou repositórios NMAS do eDirectory
    • Opções de verificação do usuário:
      • E-mail/token SMS/PIN
      • TOTP
      • Serviço REST remoto
      • Serviço OAuth
      • Valores de atributos LDAP do usuário
  • Registro de novo usuário/criação de conta
  • Registro/atualização de usuário convidado
  • PeopleSearch (páginas brancas)
    • Páginas de detalhes configuráveis
    • Visualização do organograma
  • Redefinição de senha do helpdesk e eliminação de bloqueio de intrusão
  • Módulos de administração incluindo gerenciador de bloqueio de intrusão
    • visualizador de registros on-line
    • visualizador de estatísticas diárias e depuração de informações do usuário
    • estatísticas
    • registros de auditoria
• Várias opções de implantação
  • Arquivo Java WAR (traga seu próprio servidor de aplicativos, testado com Apache Tomcat)
  • Arquivo JAR único Java (traga seu próprio Java VM)
  • Contêiner Docker
• Interface compatível com temas com vários exemplos de temas CSS
  • Temas CSS específicos para dispositivos móveis
  • Suporte de configuração para ativos web adicionais (css, js, imagens, etc.)
  • Forçar exibição de organização
• Suporte Captcha usando Google reCaptcha
• Várias opções de SSO
  • Autenticação Básica
  • Injeção de nome de usuário no cabeçalho HTTP
  • Serviço Central de Autenticação (CAS)
  • Cliente OAuth
• APIs de servidor REST para a maioria das funcionalidades
  • Conjunto de senha
  • Esqueci a senha
  • Leitura da política de senha
  • Atualizações de atributos do usuário
  • Verificação da política de senha
• API REST de saída para integrações personalizadas durante atividades do usuário, como alteração de senha, registro de novo usuário, etc.

Requisitos mínimos para aplicação PWM.

[^1] Não há requisitos para uma implementação Java específica, as compilações PWM usam Adoptium.

[^2] Tomcat não é um requisito explícito, mas é o contêiner mais comum usado com PWM e aquele usado para compilações docker e onejar.

O PWM é distribuído nos seguintes artefatos, você pode usar o que for mais conveniente.

Para todos os tipos de implantação, cada instância do PWM precisará de um diretório applicationPath definido em seu servidor local para os arquivos de configuração, log e tempo de execução do PWM. Depois que o PWM estiver configurado, a interface da web inicial solicitará ao administrador o LDAP e outras definições de configuração.

O artefato 'onejar' lançado com PWM possui uma instância do Tomcat incorporada, portanto, você não precisa instalar o Tomcat para usar esta versão. É ideal para testar e avaliar PWM. Você será responsável por fazê-lo funcionar como um serviço (se desejar).

Requisitos:

• Java 11 JDK ou melhor

Ajuda:

• java -version para garantir que você tenha o java 11 ou melhor disponível
• java -jar pwm-onejar-2.0.0.jar para ajuda da linha de comando

Exemplo de execução do executável onejar (com /pwm-applicationPath sendo o local do diretório applicationPath ):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

Por padrão, o executável permanecerá anexado ao console e escutará conexões HTTPS na porta 8443.

Passos:

1. Faça o Apache Tomcat funcionar até o ponto em que você possa acessar a página inicial do Tomcat com seu navegador. Consulte a documentação/sites de ajuda do Tomcat para obter assistência na instalação e configuração do Tomcat.
2. Configure a variável de ambiente PWM_APPLICATIONPATH em sua instância do Tomcat para um local local do diretório applicationPath . Consulte os sites de ajuda/documentação do tomcat e/ou do sistema operacional para obter assistência na configuração de variáveis ​​de ambiente, pois o método para fazer isso depende do sistema operacional e do tipo de implantação.
3. Coloque o arquivo pwm.war no diretório 'webapps' do Tomcat (renomeie de pwm-xxxwar com nomenclatura de versão)
4. Acesse com URL /pwm e configure

A imagem do Docker PWM inclui Java e Tomcat. Ele escuta usando https na porta 8443 e tem um volume exposto como /config . Você precisará mapear o volume /config para algum tipo de volume docker persistente para que o PWM retenha a configuração.

Requisitos:

• Servidor executando docker

Passos:

1. Carregue sua imagem docker com a imagem padrão pwm/pwm-webapp :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Crie uma imagem docker chamada mypwm , mapeie para a porta 8443 do servidor e defina o volume de configuração para usar a pasta /home/user/pwm-config do sistema de arquivos local do servidor (este será o caminho do aplicativo PWM para o contêiner):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Inicie o contêiner mypwm :

 docker start mypwm

Antes de configurar o PWM, você deve usar um navegador/editor LDAP para garantir a funcionalidade esperada do seu ambiente LDAP. A maioria das dificuldades encontradas na configuração do PWM se devem a problemas de configuração do LDAP ou à falta de familiaridade com o LDAP. Existem muitos navegadores LDAP disponíveis, um comum é o Apache Directrory Studio. Use o navegador para navegar no ambiente LDAP, familiarizar-se com a estrutura de diretórios e verificar o comportamento esperado.

Em particular, o LDAP do Active Directory pode ser problemático porque geralmente é configurado incorretamente e se comporta de maneira incomum em comparação com outros diretórios LDAP. Especificamente, o AD LDAP usa referências para redirecionar o cliente LDAP (neste caso, PWM) para servidores de sua escolha, portanto, o PWM deve ser capaz de entrar em contato com todas as instâncias de servidor do controlador de domínio no ambiente AD usando o nome DNS configurado pelo AD. O AD LDAP também deve ser configurado para usar certificados SSL para que as modificações de senha funcionem. No entanto, se o ambiente AD estiver bem configurado, o PWM funcionará bem com ele.

PWM inclui um editor de configuração baseado na web. Quando o PWM é iniciado sem configuração, um guia de configuração baseado na Web solicitará ao administrador informações básicas de configuração. Todas as informações de configuração são armazenadas no arquivo PwmConfiguration.xml , que será criado no diretório do caminho da aplicação. O caminho do aplicativo também é usado para outros arquivos, incluindo um banco de dados local ( LocalDB ) (usado principalmente como cache ou para ambientes de teste), arquivos de log e arquivos temporários. Se vários servidores PWM forem usados ​​em paralelo, cada servidor deverá ter arquivos PwmConfiguration.xml idênticos.

O PWM usa uma senha de configuração para proteger quaisquer modificações na configuração. A autenticação para PWM requer um login baseado em LDAP para uma conta administrativa configurada. Na configuração inicial ou em casos de problemas com o diretório LDAP, pode ser necessário acessar a configuração quando a funcionalidade do LDAP não estiver disponível. Para isso, o PWM possui um “modo de configuração” que permite editar a configuração com a senha de configuração, mas desabilita todas as outras funcionalidades do usuário final. O modo de configuração pode ser ativado/desativado editando o arquivo PwmConfiguration.xml e alterando a propriedade configIsEditable próximo ao topo do arquivo, e também pode ser alterado na UI da web.

O PWM pode opcionalmente ser configurado com um RDBMS (também conhecido como servidor de banco de dados SQL). Quando configurado para usar um banco de dados, os metadados do usuário PWM, como respostas de desafio/resposta, tokens TOTP, registros de uso e outros dados, serão armazenados no banco de dados. Quando não estiver configurado para usar um banco de dados, os metadados do usuário PWM serão armazenados no diretório LDAP. Nem é melhor nem pior, qual você usa depende do seu ambiente.

Qualquer servidor SQL que tenha um driver JDBC compatível com Java deve funcionar, o PWM criará seu próprio esquema na primeira conexão.

Pré-requisitos de construção:

• Java (verifique os requisitos acima para versão)
• Git
• A compilação usa maven, mas não é necessário instalá-lo; o wrapper maven na árvore de origem fará o download de uma versão local.

Etapas de construção:

1. Defina a variável de ambiente JAVA_HOME como inicial do JDK.
2. Clone o projeto git
3. Mude para o diretório pwm
4. Execute a compilação maven

Exemplo Linux:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Exemplo do Windows:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

No Windows, recomendamos usar caminhos sem espaços para diretórios PWM e JDK.

Artefatos criados: