pwm

PWM — это приложение самообслуживания паролей с открытым исходным кодом для каталогов LDAP.

Официальная страница проекта находится по адресу https://github.com/pwm-project/pwm/.

PWM — это приложение на основе Java-сервлетов, которое упаковано в виде одного исполняемого файла JAR Java, традиционного файла «WAR» сервлета и образа Docker.

• Группа Google PWM-General – сначала обратитесь за помощью сюда.
• Wiki-документация PWM — домашняя страница документации PWM
• PWM Reference — Справочная документация, встроенная в PWM.
• Загрузки

• Веб-менеджер конфигурации с более чем 500 настраиваемыми параметрами.
  • Вся конфигурация содержится в одном импортируемом/экспортируемом файле.
  • Настраиваемые отображаемые значения для каждой текстовой строки, обращенной к пользователю.
• Включенные локализации (не все являются полными и актуальными):
  • английский - английский
  • каталанский - каталанский
  • Китайский (Китай) – 中文 (中国)
  • Китайский (Тайвань) – 中文 (台灣)
  • Чешский - čeština
  • Датский - Dansk
  • Голландский - Нидерланды
  • Английский (Канада) – Английский (Канада)
  • Финский - суоми
  • Французский - français
  • Французский (Канада) - français (Канада)
  • Немецкий - Немецкий
  • Греческий - Ελληνικά
  • Иврит - עברית
  • Венгерский - Венгерский
  • Итальянский - итальяно
  • Японский - 日本語
  • Корейский - 한국어
  • Норвежский - norsk
  • Норвежский букмол - norsk bokmål
  • Норвежский Нюнорск - Нюнорск
  • Польский - polski
  • Португальский - português
  • Португальский (Бразилия) – português (Бразилия)
  • русский - русский
  • Словацкий - словенчина
  • Испанский - español
  • Шведский - svenska
  • тайский - ไทย
  • Турецкий - Türkçe
• Поддержка каталога LDAP:
  • Поддержка нескольких поставщиков LDAP:
    • Общий LDAP (максимальное качество, поведение пароля LDAP и обработка ошибок не стандартизированы в LDAP)
    • Каталог 389
      • Чтение настроенных политик паролей пользователей.
    • Электронный каталог NetIQ
      • Прочтите политику паролей и наборы задач
      • Операции NMAS и обработка ошибок
      • Поддержка запросов/ответов пользователей NMAS
    • Microsoft Active Directory
      • Чтение объектов настройки паролей (PSO) детальной политики паролей (FGPP) (не читает политики домена)
    • OpenLDAP
  • Встроенная поддержка повторных попыток и аварийного переключения LDAP для нескольких резервных серверов LDAP.
• Большой набор локально настраиваемых политик паролей.
  • Стандартные правила синтаксиса
  • Правила регулярных выражений
  • Применение словаря паролей
  • Удаленная проверка REST-сервера
  • Синтаксические группы в стиле AD
  • Общая история паролей для предотвращения повторного использования паролей в организации.
• Модули
  • Изменить пароль
    • Применение правила ввода пароля по мере ввода
    • Отображение обратной связи о надежности пароля
  • Активация учетной записи / Первое назначение пароля
  • Забытый пароль
    • Храните ответы на локальном сервере, в стандартной базе данных RDBMS, на сервере LDAP или в репозиториях eDirectory NMAS.
    • Варианты проверки пользователя:
      • Электронная почта/SMS-токен/ПИН-код
      • ТОТП
      • Удаленный REST-сервис
      • Служба OAuth
      • Значения атрибутов пользователя LDAP
  • Регистрация нового пользователя/создание учетной записи
  • Регистрация/обновление гостевого пользователя
  • Поиск людей (белые страницы)
    • Настраиваемые страницы сведений
    • Представление организационной диаграммы
  • Сброс пароля службы поддержки и снятие блокировки от злоумышленников
  • Модули администрирования, включая менеджер блокировки злоумышленников
    • онлайн-просмотрщик журналов
    • просмотр ежедневной статистики и отладка информации о пользователях
    • статистика
    • аудиторские записи
• Несколько вариантов развертывания
  • Файл Java WAR (принесите свой собственный сервер приложений, протестированный с помощью Apache Tomcat)
  • Один JAR-файл Java (принесите свою собственную виртуальную машину Java)
  • Докер-контейнер
• Тематический интерфейс с несколькими примерами тем CSS.
  • CSS-темы для мобильных устройств
  • Поддержка конфигурации дополнительных веб-ресурсов (css, js, изображений и т. д.)
  • Принудительное отображение организационной
• Поддержка капчи с помощью Google reCaptcha
• Несколько вариантов единого входа
  • Базовая аутентификация
  • Внедрение имени пользователя в HTTP-заголовок
  • Центральная служба аутентификации (CAS)
  • OAuth-клиент
• API-интерфейсы REST-сервера для большинства функций.
  • Пароль установлен
  • Забытый пароль
  • Чтение политики паролей
  • Обновления атрибутов пользователя
  • Проверка политики паролей
• Исходящий REST API для индивидуальной интеграции во время действий пользователя, таких как смена пароля, регистрация нового пользователя и т. д.

Минимальные требования для применения ШИМ.

[^1] Нет никаких требований к конкретной реализации Java, сборки PWM используют Adoptium.

[^2] Tomcat не является явным требованием, но это наиболее распространенный контейнер, используемый с PWM, а также тот, который используется для сборок docker и onejar.

ШИМ распространяется в следующих артефактах, вы можете использовать тот, который вам удобнее.

Для всех типов развертывания каждому экземпляру PWM потребуется каталог applicationPath, определенный на вашем локальном сервере для файлов конфигурации, журналов и времени выполнения PWM. После настройки PWM первоначальный веб-интерфейс предложит администратору ввести LDAP и другие параметры конфигурации.

Артефакт onejar, выпущенный вместе с PWM, имеет встроенный экземпляр tomcat, поэтому вам не нужно устанавливать tomcat, чтобы использовать эту версию. Он идеально подходит для тестирования и оценки ШИМ. Вы будете нести ответственность за запуск его как службы (при желании).

Требования:

• Java 11 JDK или выше

Помощь:

• java -version , чтобы убедиться, что у вас доступна версия Java 11 или более поздней версии.
• java -jar pwm-onejar-2.0.0.jar для справки по командной строке

Пример запуска исполняемого файла onejar (где /pwm-applicationPath — это местоположение вашего каталога applicationPath ):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

По умолчанию исполняемый файл остается подключенным к консоли и прослушивает HTTPS-соединения на порту 8443.

Шаги:

1. Заставьте Apache tomcat работать до такой степени, что вы сможете получить доступ к целевой странице tomcat через браузер. См. документацию/справочные сайты tomcat для получения помощи по установке и настройке tomcat.
2. Установите переменную среды PWM_APPLICATIONPATH в вашем экземпляре Tomcat в локальное местоположение вашего каталога applicationPath . Обратитесь к сайту документации/справки по tomcat и/или вашей операционной системе, чтобы получить помощь в настройке переменных среды, поскольку способ выполнения этой операции зависит от ОС и типа развертывания.
3. Поместите файл pwm.war в каталог «webapps» Tomcat (переименуйте его в pwm-xxxwar с указанием версии).
4. Доступ с помощью URL-адреса /pwm и настройка

Образ докера PWM включает Java и Tomcat. Он прослушивает порт 8443, используя https, и имеет том, доступный как /config . Вам нужно будет сопоставить том /config с каким-либо типом постоянного тома Docker, чтобы PWM сохранил конфигурацию.

Требования:

• Сервер с докером

Шаги:

1. Загрузите образ докера с именем файла pwm/pwm-webapp по умолчанию:

 docker load --input=pwm-docker-image-v2.0.0.tar

1. Создайте образ докера с именем mypwm , сопоставьте его с портом 8443 сервера и установите том конфигурации для использования папки /home/user/pwm-config локальной файловой системы сервера (это будет путь приложения PWM для контейнера):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. Запустите контейнер mypwm :

 docker start mypwm

Перед настройкой PWM вам следует использовать браузер/редактор LDAP, чтобы обеспечить ожидаемую функциональность вашей среды LDAP. Большинство трудностей, возникающих при настройке PWM, связаны с проблемами настройки LDAP или незнанием LDAP. Доступно множество браузеров LDAP, наиболее распространенным из которых является Apache Directory Studio. Используйте браузер для навигации по среде LDAP, ознакомьтесь со структурой каталогов и проверьте ожидаемое поведение.

В частности, Active Directory LDAP может быть проблематичным, поскольку он часто неправильно настроен и ведет себя необычно по сравнению с другими каталогами LDAP. В частности, AD LDAP использует ссылки для перенаправления клиента LDAP (в данном случае PWM) на выбранные им серверы, таким образом, PWM должен иметь возможность связываться со всеми экземплярами серверов контроллеров домена в среде AD, используя DNS-имя, настроенное AD. AD LDAP также должен быть настроен на использование сертификатов SSL, чтобы изменения паролей работали. Однако если среда AD правильно настроена, PWM с ней будет работать нормально.

PWM включает в себя веб-редактор конфигурации. Когда PWM запускается без настройки, веб-руководство по настройке предложит администратору ввести базовую информацию о конфигурации. Вся информация о конфигурации хранится в файле PwmConfiguration.xml , который будет создан в каталоге пути приложения. Путь приложения также используется для других файлов, включая локальную базу данных ( LocalDB ) (используется в основном в качестве кэша или для тестовых сред), файлы журналов и временные файлы. Если несколько серверов PWM используются параллельно, каждый сервер должен иметь идентичные файлы PwmConfiguration.xml .

PWM использует пароль конфигурации для защиты любых изменений конфигурации. Для аутентификации в PWM требуется вход в настроенную учетную запись администратора с помощью LDAP. На ранней стадии настройки или в случае проблем с каталогом LDAP может потребоваться доступ к конфигурации, когда LDAP функционально недоступен. Для этой цели в PWM есть «режим конфигурации», который позволяет редактировать конфигурацию с помощью пароля конфигурации, но отключает все остальные функции конечного пользователя. Режим конфигурации можно включить или отключить, отредактировав файл PwmConfiguration.xml и изменив свойство configIsEditable в верхней части файла, а также его можно изменить в веб-интерфейсе.

PWM можно дополнительно настроить с помощью СУБД (также известной как сервер базы данных SQL). При настройке на использование базы данных метаданные пользователя PWM, такие как ответы на вопросы/ответы, токены TOTP, записи использования и другие данные, будут храниться в базе данных. Если не настроено использование базы данных, метаданные пользователя PWM будут храниться в каталоге LDAP. Ни один из них не лучше и не хуже, какой из них вы используете, зависит от вашей среды.

Любой SQL-сервер, имеющий драйвер JDBC, поддерживаемый Java, должен работать, PWM создаст свою собственную схему при первом подключении.

Предварительные условия сборки:

• Java (проверьте требования выше для версии)
• Гит
• В сборке используется maven, но устанавливать его не нужно; оболочка maven в дереве исходного кода загрузит локальную версию.

Этапы сборки:

1. Установите для переменной среды JAVA_HOME значение JDK home.
2. Клонировать проект git
3. Перейти в каталог PWM
4. Запустите сборку maven

Пример Linux:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Пример Windows:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

В Windows мы рекомендуем использовать пути без пробелов как для каталога PWM, так и для каталога JDK.

Созданы артефакты: