pwm

PWM เป็นแอปพลิเคชันบริการตนเองด้วยรหัสผ่านแบบโอเพ่นซอร์สสำหรับไดเรกทอรี LDAP

หน้าโครงการอย่างเป็นทางการอยู่ที่https://github.com/pwm-project/pwm/

PWM เป็นแอปพลิเคชันที่ใช้ Java Servlet และได้รับการบรรจุเป็นไฟล์ JAR เดี่ยวที่ปฏิบัติการได้ของ Java ไฟล์ Servlet "WAR" แบบดั้งเดิม และอิมเมจนักเทียบท่า

• PWM-กลุ่ม Google ทั่วไป - โปรดขอความช่วยเหลือที่นี่ก่อน
• PWM Documentation Wiki - หน้าแรกสำหรับเอกสาร PWM
• การอ้างอิง PWM - เอกสารอ้างอิงที่สร้างไว้ใน PWM
• ดาวน์โหลด

• เครื่องมือจัดการการกำหนดค่าบนเว็บพร้อมการตั้งค่าที่กำหนดค่าได้มากกว่า 500 รายการ
  • การกำหนดค่าทั้งหมดอยู่ในไฟล์นำเข้า/ส่งออกไฟล์เดียว
  • ค่าการแสดงผลที่กำหนดค่าได้สำหรับสตริงข้อความที่ผู้ใช้ทุกรายเห็น
• รวมการแปล (บางส่วนไม่สมบูรณ์หรือเป็นปัจจุบัน):
  • อังกฤษ - อังกฤษ
  • คาตาลัน - คาตาลา
  • จีน (จีน) - 中文 (中文)
  • จีน (ไต้หวัน) - 中文 (台灣)
  • เช็ก - เชชตินา
  • ภาษาเดนมาร์ก - dansk
  • ดัตช์ - เนเธอร์แลนด์
  • อังกฤษ (แคนาดา) - อังกฤษ (แคนาดา)
  • ภาษาฟินแลนด์ - ซูโอมิ
  • ฝรั่งเศส - ฝรั่งเศส
  • ฝรั่งเศส (แคนาดา) - ฝรั่งเศส (แคนาดา)
  • เยอรมัน - เยอรมัน
  • กรีก - Εlectledηνικά
  • ฮีบรู - עברית
  • ฮังการี - Magyar
  • อิตาลี - อิตาเลียโน่
  • ญี่ปุ่น - 日本語
  • เกาหลี - เกาหลีออ
  • นอร์เวย์ - นอร์สค์
  • ภาษานอร์เวย์ Bokmål - norsk bokmål
  • นีนอสค์ นอร์เวย์ - นีนอสค์
  • โปแลนด์ - โปลสกี
  • โปรตุเกส - โปรตุเกส
  • โปรตุเกส (บราซิล) - português (บราซิล)
  • รัสเซีย - русский
  • สโลวัก - สโลวีเนีย
  • สเปน - สเปน
  • ภาษาสวีเดน - สเวนสกา
  • ไทย-ไทย
  • ตุรกี - เตอร์กเช
• การสนับสนุนไดเรกทอรี LDAP:
  • การสนับสนุนผู้จำหน่าย LDAP หลายราย:
    • LDAP ทั่วไป (ความพยายามอย่างดีที่สุด ลักษณะการทำงานของรหัสผ่าน LDAP และการจัดการข้อผิดพลาดไม่ได้มาตรฐานใน LDAP)
    • ไดเรกทอรี 389
      • การอ่านนโยบายรหัสผ่านผู้ใช้ที่กำหนดค่าไว้
    • ไดเรกทอรีอิเล็กทรอนิกส์ของ NetIQ
      • อ่านนโยบายรหัสผ่านและชุดการท้าทาย
      • การดำเนินการ NMAS และการจัดการข้อผิดพลาด
      • รองรับความท้าทาย/การตอบกลับของผู้ใช้ NMAS
    • ไมโครซอฟต์แอคทีฟไดเร็กทอรี
      • การอ่านวัตถุการตั้งค่ารหัสผ่านนโยบายรหัสผ่านแบบละเอียด (FGPP) (PSO) (ไม่อ่านนโยบายโดเมน)
    • OpenLDAP
  • รองรับการลองซ้ำ/เฟลโอเวอร์ LDAP แบบเนทีฟของเซิร์ฟเวอร์ LDAP ที่ซ้ำซ้อนหลายตัว
• ชุดนโยบายรหัสผ่านที่กำหนดค่าได้ในเครื่องจำนวนมาก
  • กฎไวยากรณ์มาตรฐาน
  • กฎนิพจน์ทั่วไป
  • การบังคับใช้พจนานุกรมรหัสผ่าน
  • การตรวจสอบเซิร์ฟเวอร์ REST ระยะไกล
  • กลุ่มไวยากรณ์สไตล์โฆษณา
  • ประวัติรหัสผ่านที่ใช้ร่วมกันเพื่อป้องกันไม่ให้รหัสผ่านถูกนำมาใช้ซ้ำในองค์กร
• โมดูล
  • เปลี่ยนรหัสผ่าน
    • การบังคับใช้กฎรหัสผ่านในขณะที่คุณพิมพ์
    • การแสดงข้อเสนอแนะความแข็งแกร่งของรหัสผ่าน
  • การเปิดใช้งานบัญชี / การกำหนดรหัสผ่านครั้งแรก
  • ลืมรหัสผ่าน
    • จัดเก็บการตอบสนองในเซิร์ฟเวอร์ภายใน ฐานข้อมูล RDBMS มาตรฐาน เซิร์ฟเวอร์ LDAP หรือที่เก็บ eDirectory NMAS
    • ตัวเลือกการยืนยันผู้ใช้:
      • อีเมล/SMS โทเค็น/PIN
      • ทีโอทีพี
      • บริการ REST ระยะไกล
      • บริการ OAuth
      • ค่าแอตทริบิวต์ LDAP ของผู้ใช้
  • การลงทะเบียนผู้ใช้ใหม่ / การสร้างบัญชี
  • การลงทะเบียนผู้ใช้ทั่วไป / การอัปเดต
  • PeopleSearch (หน้าขาว)
    • หน้ารายละเอียดที่กำหนดค่าได้
    • มุมมอง OrgChart
  • การรีเซ็ตรหัสผ่านของโปรแกรมช่วยเหลือและการล้างการล็อคผู้บุกรุก
  • โมดูลการดูแลระบบรวมถึงตัวจัดการการล็อคผู้บุกรุก
    • โปรแกรมดูบันทึกออนไลน์
    • โปรแกรมดูสถิติรายวันและการดีบักข้อมูลผู้ใช้
    • สถิติ
    • บันทึกการตรวจสอบ
• ตัวเลือกการใช้งานที่หลากหลาย
  • ไฟล์ Java WAR (นำแอปพลิเคชันเซิร์ฟเวอร์ของคุณเองมาทดสอบกับ Apache Tomcat)
  • ไฟล์ Java JAR เดียว (นำ Java VM ของคุณเองมาด้วย)
  • คอนเทนเนอร์นักเทียบท่า
• อินเทอร์เฟซแบบใช้ธีมได้พร้อมตัวอย่างธีม CSS หลายตัวอย่าง
  • ธีม CSS เฉพาะอุปกรณ์มือถือ
  • รองรับการกำหนดค่าสำหรับเนื้อหาเว็บเพิ่มเติม (css, js, รูปภาพ ฯลฯ )
  • บังคับแสดงองค์กร
• รองรับแคปต์ชาโดยใช้ Google reCaptcha
• ตัวเลือก SSO หลายรายการ
  • การรับรองความถูกต้องขั้นพื้นฐาน
  • การแทรกชื่อผู้ใช้ส่วนหัว HTTP
  • บริการรับรองความถูกต้องจากส่วนกลาง (CAS)
  • ไคลเอ็นต์ OAuth
• REST Server APIs สำหรับฟังก์ชันการทำงานส่วนใหญ่
  • ตั้งรหัสผ่าน
  • ลืมรหัสผ่าน
  • การอ่านนโยบายรหัสผ่าน
  • การอัปเดตคุณสมบัติผู้ใช้
  • การตรวจสอบนโยบายรหัสผ่าน
• REST API ขาออกสำหรับการบูรณาการแบบกำหนดเองระหว่างกิจกรรมของผู้ใช้ เช่น เปลี่ยนรหัสผ่าน การลงทะเบียนผู้ใช้ใหม่ ฯลฯ

ข้อกำหนดขั้นต่ำสำหรับแอปพลิเคชัน PWM

[^1] ไม่มีข้อกำหนดสำหรับการนำ Java ไปใช้โดยเฉพาะ การสร้าง PWM ใช้ Adoptium

[^2] Tomcat ไม่ใช่ข้อกำหนดที่ชัดเจน แต่เป็นคอนเทนเนอร์ทั่วไปที่ใช้กับ PWM และเป็นคอนเทนเนอร์ที่ใช้สำหรับ docker และ onejar builds

PWM มีการกระจายในสิ่งประดิษฐ์ต่อไปนี้ คุณสามารถใช้อันไหนก็ได้ที่สะดวกที่สุด

สำหรับการปรับใช้ทุกประเภท แต่ละอินสแตนซ์ PWM จะต้องมีไดเร็กทอรี applicationPath ที่กำหนดไว้บนเซิร์ฟเวอร์ภายในเครื่องของคุณสำหรับไฟล์การกำหนดค่า บันทึก และรันไทม์ของ PWM เมื่อกำหนดค่า PWM แล้ว UI เว็บเริ่มต้นจะแจ้งให้ผู้ดูแลระบบทราบ LDAP และการตั้งค่าการกำหนดค่าอื่น ๆ

อาร์ติแฟกต์ 'onejar' ที่เผยแพร่ด้วย PWM มีอินสแตนซ์ Tomcat ในตัว ดังนั้นคุณไม่จำเป็นต้องติดตั้ง Tomcat เพื่อใช้เวอร์ชันนี้ เหมาะสำหรับการทดสอบและประเมินผล PWM คุณจะต้องรับผิดชอบในการทำให้มันทำงานเป็นบริการ (หากต้องการ)

ความต้องการ:

• Java 11 JDK หรือดีกว่า

ช่วย:

• java -version เพื่อให้แน่ใจว่าคุณมี java 11 หรือดีกว่า
• java -jar pwm-onejar-2.0.0.jar สำหรับวิธีใช้บรรทัดคำสั่ง

ตัวอย่างสำหรับการรันไฟล์ปฏิบัติการ onejar (โดยที่ /pwm-applicationPath เป็นตำแหน่งไปยังไดเร็กทอรี applicationPath ของคุณ):

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

ตามค่าเริ่มต้น ไฟล์ปฏิบัติการจะยังคงแนบอยู่กับคอนโซลและรอรับการเชื่อมต่อ HTTPS บนพอร์ต 8443

ขั้นตอน:

1. ทำให้ Apache Tomcat ทำงานจนถึงจุดที่คุณสามารถเข้าถึงหน้า Landing Page ของ Tomcat ด้วยเบราว์เซอร์ของคุณ ดูไซต์เอกสารประกอบ/วิธีใช้ Tomcat เพื่อขอความช่วยเหลือในการติดตั้งและกำหนดค่า Tomcat
2. ตั้งค่าตัวแปรสภาพแวดล้อม PWM_APPLICATIONPATH ในอินสแตนซ์ Tomcat ของคุณเป็นตำแหน่งในเครื่องของไดเร็กทอรี applicationPath ของคุณ ดู Tomcat และ/หรือเอกสารประกอบระบบปฏิบัติการ/ไซต์วิธีใช้ของคุณเพื่อขอความช่วยเหลือในการกำหนดค่าตัวแปรสภาพแวดล้อม เนื่องจากวิธีดำเนินการนี้ขึ้นอยู่กับระบบปฏิบัติการและประเภทการใช้งาน
3. วางไฟล์ pwm.war ในไดเร็กทอรี 'webapps' ของ Tomcat (เปลี่ยนชื่อจาก pwm-xxxwar ด้วยการตั้งชื่อเวอร์ชัน)
4. เข้าถึงด้วย /pwm url และกำหนดค่า

อิมเมจนักเทียบท่า PWM ประกอบด้วย Java และ Tomcat ฟังโดยใช้ https บนพอร์ต 8443 และมีโวลุ่มเปิดเผยเป็น /config คุณจะต้องแมปไดรฟ์ข้อมูล /config กับไดรฟ์ข้อมูลนักเทียบท่าถาวรบางประเภทเพื่อให้ PWM เพื่อรักษาการกำหนดค่า

ความต้องการ:

• เซิร์ฟเวอร์ที่ใช้นักเทียบท่า

ขั้นตอน:

1. โหลดอิมเมจนักเทียบท่าของคุณด้วยรูปภาพ nae ของค่าเริ่มต้น pwm/pwm-webapp :

 docker load --input=pwm-docker-image-v2.0.0.tar

1. สร้างอิมเมจนักเทียบท่าชื่อ mypwm แมปกับพอร์ต 8443 ของเซิร์ฟเวอร์ และตั้งค่าวอลุ่มการกำหนดค่าเพื่อใช้ระบบไฟล์ในเครื่องเซิร์ฟเวอร์ /home/user/pwm-config โฟลเดอร์ (ซึ่งจะเป็นเส้นทางแอปพลิเคชัน PWM สำหรับคอนเทนเนอร์):

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. เริ่มต้นคอนเทนเนอร์ mypwm :

 docker start mypwm

ก่อนกำหนดค่า PWM คุณควรใช้เบราว์เซอร์/ตัวแก้ไข LDAP เพื่อให้แน่ใจว่าสภาพแวดล้อม LDAP ของคุณทำงานได้ตามที่คาดหวัง ปัญหาส่วนใหญ่ที่พบในการกำหนดค่า PWM เกิดจากปัญหาการตั้งค่า LDAP หรือไม่คุ้นเคยกับ LDAP มีเบราว์เซอร์ LDAP มากมาย เบราว์เซอร์ทั่วไปคือ Apache Directory Studio ใช้เบราว์เซอร์เพื่อนำทางสภาพแวดล้อม LDAP ทำความคุ้นเคยกับโครงสร้างไดเรกทอรี และตรวจสอบลักษณะการทำงานที่คาดหวัง

โดยเฉพาะอย่างยิ่ง Active Directory LDAP อาจเป็นปัญหาได้ เนื่องจากมักมีการกำหนดค่าไม่ถูกต้องและทำงานในลักษณะที่ผิดปกติเมื่อเปรียบเทียบกับไดเรกทอรี LDAP อื่นๆ โดยเฉพาะอย่างยิ่ง AD LDAP ใช้การอ้างอิงเพื่อเปลี่ยนเส้นทางไคลเอ็นต์ LDAP (PWM ในกรณีนี้) ไปยังเซิร์ฟเวอร์ที่เลือก ดังนั้น PWM จะต้องสามารถติดต่ออินสแตนซ์เซิร์ฟเวอร์ตัวควบคุมโดเมนทั้งหมดในสภาพแวดล้อม AD โดยใช้ชื่อ DNS ที่กำหนดค่า AD ต้องกำหนดค่า AD LDAP ให้ใช้ใบรับรอง SSL เพื่อให้การแก้ไขรหัสผ่านทำงานได้ อย่างไรก็ตาม หากมีการกำหนดค่าสภาพแวดล้อม AD ไว้อย่างดี PWM จะทำงานได้ดี

PWM มีตัวแก้ไขการกำหนดค่าบนเว็บ เมื่อ PWM เริ่มต้นโดยไม่มีการกำหนดค่า คู่มือการกำหนดค่าบนเว็บจะแจ้งให้ผู้ดูแลระบบทราบข้อมูลการกำหนดค่าพื้นฐาน ข้อมูลการกำหนดค่าทั้งหมดจะถูกจัดเก็บไว้ในไฟล์ PwmConfiguration.xml ซึ่งจะถูกสร้างขึ้นในไดเร็กทอรีพาธของแอปพลิเคชัน เส้นทางแอปพลิเคชันยังใช้สำหรับไฟล์อื่นๆ รวมถึงฐานข้อมูลในเครื่อง ( LocalDB ) (ใช้เป็นแคชหรือสำหรับสภาพแวดล้อมการทดสอบเป็นหลัก) ไฟล์บันทึก และไฟล์ชั่วคราว หากใช้เซิร์ฟเวอร์ PWM หลายเครื่องพร้อมกัน แต่ละเซิร์ฟเวอร์จะต้องมีไฟล์ PwmConfiguration.xml ที่เหมือนกัน

PWM ใช้รหัสผ่านการกำหนดค่าเพื่อป้องกันการแก้ไขการกำหนดค่า การรับรองความถูกต้องของ PWM จำเป็นต้องมีการเข้าสู่ระบบที่ได้รับการสนับสนุนจาก LDAP ไปยังบัญชีผู้ดูแลระบบที่กำหนดค่าไว้ ในการตั้งค่าเบื้องต้นหรือในกรณีที่เกิดปัญหากับไดเร็กทอรี LDAP อาจจำเป็นต้องเข้าถึงการกำหนดค่าเมื่อฟังก์ชัน LDAP ไม่พร้อมใช้งาน เพื่อจุดประสงค์นี้ PWM มี "โหมดการกำหนดค่า" ซึ่งอนุญาตให้แก้ไขการกำหนดค่าด้วยรหัสผ่านการกำหนดค่า แต่จะปิดใช้งานฟังก์ชันการทำงานอื่น ๆ ของผู้ใช้ปลายทางทั้งหมด โหมดการกำหนดค่าสามารถเปิด/ปิดใช้งานได้โดยการแก้ไขไฟล์ PwmConfiguration.xml และเปลี่ยนคุณสมบัติ configIsEditable ใกล้กับด้านบนของไฟล์ และยังสามารถเปลี่ยนได้ใน UI ของเว็บด้วย

คุณสามารถเลือกกำหนดค่า PWM ด้วย RDBMS (หรือที่เรียกว่าเซิร์ฟเวอร์ฐานข้อมูล SQL) เมื่อกำหนดค่าให้ใช้ฐานข้อมูล ข้อมูลเมตาของผู้ใช้ PWM เช่น คำตอบที่ท้าทาย/การตอบกลับ โทเค็น TOTP บันทึกการใช้งาน และข้อมูลอื่น ๆ จะถูกจัดเก็บไว้ในฐานข้อมูล เมื่อไม่ได้กำหนดค่าให้ใช้ฐานข้อมูล ข้อมูลเมตาของผู้ใช้ PWM จะถูกจัดเก็บไว้ในไดเร็กทอรี LDAP ไม่มีดีกว่าหรือแย่ลง ขึ้นอยู่กับสภาพแวดล้อมของคุณ

เซิร์ฟเวอร์ SQL ใด ๆ ที่มีไดรเวอร์ JDBC ที่รองรับ Java ควรใช้งานได้ PWM จะสร้างสคีมาของตัวเองในการเชื่อมต่อครั้งแรก

สร้างข้อกำหนดเบื้องต้น:

• Java (ตรวจสอบข้อกำหนดด้านบนสำหรับเวอร์ชัน)
• คอมไพล์
• บิลด์ใช้ maven แต่คุณไม่จำเป็นต้องติดตั้ง Maven Wrapper ในแผนผังต้นทางจะดาวน์โหลดเวอร์ชันท้องถิ่น

ขั้นตอนการสร้าง:

1. ตั้งค่าตัวแปรสภาพแวดล้อม JAVA_HOME เป็นหน้าแรกของ JDK
2. โคลนโครงการ git
3. เปลี่ยนเป็นไดเร็กทอรี pwm
4. เรียกใช้งานสร้าง maven

ตัวอย่างลินุกซ์:

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

ตัวอย่างวินโดวส์:

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

บน Windows เราขอแนะนำให้ใช้เส้นทางที่ไม่มีช่องว่างสำหรับทั้งไดเร็กทอรี PWM และ JDK

สิ่งประดิษฐ์ที่สร้างขึ้น: