pwm

PWM 是一个用于 LDAP 目录的开源密码自助服务应用程序。

官方项目页面位于 https://github.com/pwm-project/pwm/。

PWM 是一个基于 Java Servlet 的应用程序，并打包为 Java 可执行单个 JAR 文件、传统 Servlet“WAR”文件和 docker 映像。

• PWM-General Google Group - 请首先在此处寻求帮助。
• PWM 文档 Wiki - PWM 文档主页
• PWM 参考 - PWM 中内置的参考文档。
• 下载

• 基于 Web 的配置管理器，具有 500 多个可配置设置
  • 所有配置都包含在单个可导入/可导出文件中
  • 每个面向用户的文本字符串的可配置显示值
• 包含的本地化版本（并非全部都是完整的或最新的）：
  • 英语 - 英语
  • 加泰罗尼亚语 - català
  • 中文 (中国) - 中文 (中国)
  • 中文（台湾） - 中文（台湾）
  • 捷克语 - 切什蒂纳
  • 丹麦语 - dansk
  • 荷兰语 - 荷兰
  • 英语（加拿大） - 英语（加拿大）
  • 芬兰语 - suomi
  • 法语-français
  • 法语 (加拿大) - français (加拿大)
  • 德语 - 德语
  • 希腊语 - Ελληνικά
  • 希伯来语 - עברйת
  • 匈牙利语-magyar
  • 意大利语 - italiano
  • 日语 - 日本语
  • 韩语 - 한국어
  • 挪威语-norsk
  • 挪威语博克马尔语 -norsk bokmål
  • 挪威尼诺斯克语 - nynorsk
  • 波兰语 - polski
  • 葡萄牙语 - português
  • 葡萄牙语 (巴西) - português (巴西)
  • 俄语 - русский
  • 斯洛伐克语 - slovenčina
  • 西班牙语 - español
  • 瑞典语 - svenska
  • 泰语 - ไทย
  • 土耳其语 - Türkçe
• LDAP 目录支持：
  • 多个 LDAP 供应商支持：
    • 通用 LDAP（尽力而为，LDAP 密码行为和错误处理在 LDAP 中未标准化）
    • 目录 389
      • 读取配置的用户密码策略
    • NetIQ 电子目录
      • 阅读密码策略和挑战集
      • NMAS 操作和错误处理
      • 支持 NMAS 用户质询/响应
    • 微软活动目录
      • 读取细粒度密码策略 (FGPP) 密码设置对象 (PSO)（不读取域策略）
    • 开放LDAP
  • 多个冗余 LDAP 服务器的本机 LDAP 重试/故障转移支持
• 大量本地可配置的密码策略
  • 标准语法规则
  • 正则表达式规则
  • 密码字典强制执行
  • 远程 REST 服务器检查
  • AD 样式语法组
  • 共享密码历史记录以防止密码在组织内重复使用
• 模块
  • 更改密码
    • 键入密码规则强制执行
    • 密码强度反馈显示
  • 帐户激活/首次密码分配
  • 忘记密码
    • 将响应存储在本地服务器、标准 RDBMS 数据库、LDAP 服务器或 eDirectory NMAS 存储库中
    • 用户验证选项：
      • 电子邮件/短信令牌/PIN
      • 托普
      • 远程 REST 服务
      • OAuth服务
      • 用户 LDAP 属性值
  • 新用户注册/帐户创建
  • 访客用户注册/更新
  • PeopleSearch（白页）
    • 可配置的详细信息页面
    • 组织结构图视图
  • 服务台密码重置和入侵者锁定清除
  • 管理模块，包括入侵者锁定管理器
    • 在线日志查看器
    • 每日统计查看和用户信息调试
    • 统计数据
    • 审计记录
• 多种部署选项
  • Java WAR文件（自带应用服务器，用Apache Tomcat测试）
  • Java 单个 JAR 文件（自带 Java VM）
  • Docker容器
• 具有多个示例 CSS 主题的主题化界面
  • 移动设备特定 CSS 主题
  • 对其他 Web 资源（css、js、图像等）的配置支持
  • 组织力展示
• 使用 Google reCaptcha 的验证码支持
• 多个 SSO 选项
  • 基本认证
  • HTTP标头用户名注入
  • 中央验证服务 (CAS)
  • OAuth客户端
• 用于大多数功能的 REST 服务器 API
  • 密码设置
  • 忘记密码
  • 密码策略解读
  • 用户属性更新
  • 密码策略验证
• 出站 REST API，用于在用户活动（例如更改密码、新用户注册等）期间进行自定义集成。

PWM 应用的最低要求。

[^1] 对于特定的 Java 实现没有要求，PWM 构建使用 Adoptium。

[^2] Tomcat 不是明确的要求，但它是 PWM 最常用的容器，并且用于 docker 和 onejar 构建。

PWM分布在以下神器中，你可以使用最方便的一个。

对于所有部署类型，每个 PWM 实例都需要在本地服务器上定义一个applicationPath目录，用于 PWM 的配置、日志和运行时文件。配置 PWM 后，初始 Web UI 将提示管理员进行 LDAP 和其他配置设置。

与 PWM 一起发布的“onejar”工件具有嵌入式 tomcat 实例，因此您无需安装 tomcat 即可使用此版本。它非常适合测试和评估 PWM。您将负责使其作为服务运行（如果需要）。

要求：

• Java 11 JDK 或更高版本

帮助：

• java -version确保您有 java 11 或更高版本
• java -jar pwm-onejar-2.0.0.jar用于命令行帮助

运行 onejar 可执行文件的示例（/pwm-applicationPath 是applicationPath目录的位置）：

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

默认情况下，可执行文件将保持连接到控制台并侦听端口 8443 上的 HTTPS 连接。

步骤：

1. 让 Apache tomcat 正常工作，以便您可以使用浏览器访问 tomcat 登录页面。有关安装和配置 tomcat 的帮助，请参阅 tomcat 文档/帮助站点。
2. 将 tomcat 实例中的PWM_APPLICATIONPATH环境变量设置为applicationPath目录的本地位置。请参阅 tomcat 和/或操作系统文档/帮助站点以获取配置环境变量的帮助，因为执行此操作的方法取决于操作系统和部署类型。
3. 将 pwm.war 文件放在 tomcat 'webapps' 目录中（从 pwm-xxxwar 重命名为版本命名）
4. 使用 /pwm url 访问并配置

PWM docker 镜像包含 Java 和 Tomcat。它在端口 8443 上使用 https 进行侦听，并有一个公开为/config卷。您需要将/config卷映射到某种类型的持久 docker 卷，以便 PWM 保留配置。

要求：

• 运行docker的服务器

步骤：

1. 使用默认pwm/pwm-webapp的镜像 nae 加载 docker 镜像：

 docker load --input=pwm-docker-image-v2.0.0.tar

1. 创建名为mypwm的 docker 映像，映射到服务器的 8443 端口，并将配置卷设置为使用服务器的本地文件系统/home/user/pwm-config文件夹（这将是容器的 PWM 应用程序路径）：

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. 启动mypwm容器：

 docker start mypwm

在配置 PWM 之前，您应该使用 LDAP 浏览器/编辑器来确保 LDAP 环境的预期功能。配置 PWM 时遇到的大多数困难都是由于 LDAP 设置问题或不熟悉 LDAP 造成的。有许多可用的 LDAP 浏览器，常见的一个是 Apache Directory Studio。使用浏览器导航 LDAP 环境、熟悉目录结构并验证预期行为。

特别是，Active Directory LDAP 可能会出现问题，因为与其他 LDAP 目录相比，它经常配置错误并且表现异常。具体来说，AD LDAP 使用引用将 LDAP 客户端（在本例中为 PWM）重定向到其选择的服务器，因此 PWM 必须能够使用 AD 配置的 DNS 名称来联系 AD 环境中的所有域控制器服务器实例。 AD LDAP 还必须配置为使用 SSL 证书才能进行密码修改。但是，如果 AD 环境配置良好，则 PWM 可以正常工作。

PWM 包括一个基于 Web 的配置编辑器。当 PWM 在没有配置的情况下启动时，基于 Web 的配置指南将提示管理员输入基本配置信息。所有配置信息都存储在PwmConfiguration.xml文件中，该文件将在应用程序路径目录中创建。应用程序路径还用于其他文件，包括本地数据库 ( LocalDB )（主要用作缓存或测试环境）、日志文件和临时文件。如果并行使用多个 PWM 服务器，则每个服务器必须具有相同的PwmConfiguration.xml文件。

PWM 使用配置密码来保护对配置的任何修改。 PWM 身份验证需要通过 LDAP 支持登录到已配置的管理帐户。在早期设置中或在 LDAP 目录出现问题的情况下，当 LDAP 功能不可用时，可能需要访问配置。为此，PWM 有一个“配置模式”，允许使用配置密码编辑配置，但禁用所有其他最终用户功能。可以通过编辑PwmConfiguration.xml文件并更改文件顶部附近的configIsEditable属性来启用/禁用配置模式，也可以在 Web UI 中进行更改。

可以选择使用 RDBMS（也称为 SQL 数据库服务器）配置 PWM。当配置为使用数据库时，PWM 用户元数据（例如质询/响应答案、TOTP 令牌、使用记录和其他数据）将存储在数据库中。当未配置为使用数据库时，PWM 用户元数据将存储到 LDAP 目录中。没有好坏之分，您使用哪一种取决于您的环境。

任何具有 Java 支持的 JDBC 驱动程序的 SQL 服务器都应该可以工作，PWM 将在第一个连接上创建自己的模式。

构建先决条件：

• Java（检查上面的版本要求）
• git
• 构建使用maven，但不需要安装；源代码树中的 Maven 包装器将下载本地版本。

构建步骤：

1. 将JAVA_HOME环境变量设置为 JDK 主目录。
2. 克隆 git 项目
3. 切换到pwm目录
4. 运行maven构建

Linux 示例：

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Windows 示例：

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

在 Windows 上，我们建议对 PWM 和 JDK 目录使用不带空格的路径。

创建的工件：