pwm

PWM 是一個用於 LDAP 目錄的開源密碼自助服務應用程式。

官方專案頁面位於 https://github.com/pwm-project/pwm/。

PWM 是一個基於 Java Servlet 的應用程序，並打包為 Java 可執行單一 JAR 檔案、傳統 Servlet「WAR」檔案和 docker 映像。

• PWM-General Google Group - 請先在此處尋求協助。
• PWM 文件 Wiki - PWM 文件主頁
• PWM 參考 - PWM 中內建的參考文件。
• 下載

• 基於 Web 的配置管理器，具有 500 多個可配置設定
  • 所有配置都包含在單一可匯入/可匯出檔案中
  • 每個面向使用者的文字字串的可配置顯示值
• 包含的本地化版本（並非全部都是完整的或最新的）：
  • 英語 - 英語
  • 加泰羅尼亞語 - català
  • 中文 (中國) - 中文 (中國)
  • 中文（台灣） - 中文（台灣）
  • 捷克語 - 切什蒂納
  • 丹麥語 - dansk
  • 荷蘭語 - 荷蘭
  • 英語（加拿大） - 英語（加拿大）
  • 芬蘭語 - suomi
  • 法語-français
  • 法語 (加拿大) - français (加拿大)
  • 德語 - 德語
  • 希臘文 - Ελληνικά
  • 希伯來文 - עברйת
  • 匈牙利語-magyar
  • 義大利語 - italiano
  • 日語 - 日本語
  • 韓文 - 한국어
  • 挪威語-norsk
  • 挪威語博克馬爾語 -norsk bokmål
  • 挪威尼諾斯克語 - nynorsk
  • 波蘭語 - polski
  • 葡萄牙語 - português
  • 葡萄牙語 (巴西) - português (巴西)
  • 俄語 - русский
  • 斯洛伐克語 - slovenčina
  • 西班牙語 - español
  • 瑞典語 - svenska
  • 泰語 - ไทย
  • 土耳其語 - Türkçe
• LDAP 目錄支援：
  • 多個 LDAP 供應商支援：
    • 通用 LDAP（盡力而為，LDAP 密碼行為和錯誤處理在 LDAP 中未標準化）
    • 目錄 389
      • 讀取配置的使用者密碼策略
    • NetIQ 電子目錄
      • 閱讀密碼原則與挑戰集
      • NMAS 操作與錯誤處理
      • 支援 NMAS 用戶質詢/回應
    • 微軟活動目錄
      • 讀取細粒度密碼原則 (FGPP) 密碼設定物件 (PSO)（不讀取網域原則）
    • 開放LDAP
  • 多個冗餘 LDAP 伺服器的本機 LDAP 重試/故障轉移支援
• 大量本地可設定的密碼策略
  • 標準語法規則
  • 正規表示式規則
  • 密碼字典強制執行
  • 遠端 REST 伺服器檢查
  • AD 樣式語法組
  • 共享密碼歷史記錄以防止密碼在組織內重複使用
• 模組
  • 更改密碼
    • 鍵入密碼規則強制執行
    • 密碼強度反饋顯示
  • 帳戶啟動/首次密碼分配
  • 忘記密碼
    • 將回應儲存在本機伺服器、標準 RDBMS 資料庫、LDAP 伺服器或 eDirectory NMAS 儲存庫中
    • 用戶驗證選項：
      • 電子郵件/簡訊令牌/PIN
      • 托普
      • 遠端 REST 服務
      • OAuth服務
      • 使用者 LDAP 屬性值
  • 新用戶註冊/帳戶創建
  • 訪客用戶註冊/更新
  • PeopleSearch（白頁）
    • 可設定的詳細資訊頁面
    • 組織結構圖視圖
  • 服務台密碼重設和入侵者鎖定清除
  • 管理模組，包括入侵者鎖定管理器
    • 線上日誌檢視器
    • 每日統計檢視及使用者資訊偵錯
    • 統計數據
    • 審計記錄
• 多種部署選項
  • Java WAR檔（自備應用伺服器，用Apache Tomcat測試）
  • Java 單一 JAR 檔案（自備 Java VM）
  • Docker容器
• 具有多個範例 CSS 主題的主題化介面
  • 行動裝置特定 CSS 主題
  • 對其他 Web 資源（css、js、映像等）的配置支持
  • 組織力展示
• 使用 Google reCaptcha 的驗證碼支持
• 多個 SSO 選項
  • 基本認證
  • HTTP標頭使用者名稱注入
  • 中央驗證服務 (CAS)
  • OAuth客戶端
• 用於大多數功能的 REST 伺服器 API
  • 密碼設定
  • 忘記密碼
  • 密碼策略解讀
  • 使用者屬性更新
  • 密碼原則驗證
• 出站 REST API，用於在使用者活動（例如更改密碼、新用戶註冊等）期間進行自訂整合。

PWM 應用的最低要求。

[^1] 對於特定的 Java 實作沒有要求，PWM 建構使用 Adoptium。

[^2] Tomcat 不是明確的要求，但它是 PWM 最常用的容器，並且用於 docker 和 onejar 建置。

PWM分佈在以下神器中，你可以使用最方便的一個。

對於所有部署類型，每個 PWM 實例都需要在本機伺服器上定義applicationPath目錄，用於 PWM 的設定、日誌和執行時間檔案。設定 PWM 後，初始 Web UI 將提示管理員進行 LDAP 和其他設定設定。

與 PWM 一起發布的「onejar」工件具有嵌入式 tomcat 實例，因此您無需安裝 tomcat 即可使用此版本。它非常適合測試和評估 PWM。您將負責使其作為服務運行（如果需要）。

要求：

• Java 11 JDK 或更高版本

幫助：

• java -version確保您有 java 11 或更高版本
• java -jar pwm-onejar-2.0.0.jar用於命令列幫助

執行 onejar 執行檔的範例（/pwm-applicationPath 是applicationPath目錄的位置）：

 java -jar pwm-onejar-2.0.0.jar -applicationPath /pwm-applicationPath 

預設情況下，可執行檔將保持連接到控制台並偵聽連接埠 8443 上的 HTTPS 連線。

步驟：

1. 讓 Apache tomcat 正常運作，以便您可以使用瀏覽器存取 tomcat 登入頁面。有關安裝和設定 tomcat 的協助，請參閱 tomcat 文件/說明網站。
2. 將 tomcat 實例中的PWM_APPLICATIONPATH環境變數設定為applicationPath目錄的本機位置。請參閱 tomcat 和/或作業系統文件/說明網站以取得配置環境變數的協助，因為執行此操作的方法取決於作業系統和部署類型。
3. 將 pwm.war 檔案放在 tomcat 'webapps' 目錄中（從 pwm-xxxwar 重新命名為版本命名）
4. 使用 /pwm url 存取並配置

PWM docker 映像包含 Java 和 Tomcat。它在連接埠 8443 上使用 https 進行偵聽，並有一個公開為/config磁碟區。您需要將/config卷對應到某種類型的持久性 docker 卷，以便 PWM 保留配置。

要求：

• 運行docker的伺服器

步驟：

1. 使用預設pwm/pwm-webapp的映像 nae 載入 docker 映像：

 docker load --input=pwm-docker-image-v2.0.0.tar

1. 建立名為mypwm的 docker 映像，映射到伺服器的 8443 端口，並將配置卷設定為使用伺服器的本機檔案系統/home/user/pwm-config資料夾（這將是容器的 PWM 應用程式路徑）：

 docker create --name mypwm -p '8443:8443' --mount 'type=bind,source=/home/user/pwm-config,destination=/config' pwm/pwm-webapp

1. 啟動mypwm容器：

 docker start mypwm

在設定 PWM 之前，您應該使用 LDAP 瀏覽器/編輯器來確保 LDAP 環境的預期功能。配置 PWM 時遇到的大多數困難都是由於 LDAP 設定問題或不熟悉 LDAP 造成的。有許多可用的 LDAP 瀏覽器，常見的一個是 Apache Directory Studio。使用瀏覽器導航 LDAP 環境、熟悉目錄結構並驗證預期行為。

特別是，Active Directory LDAP 可能會出現問題，因為與其他 LDAP 目錄相比，它經常配置錯誤並且行為方式不尋常。具體來說，AD LDAP 使用引用將LDAP 用戶端（在本例中為PWM）重定向到其選擇的伺服器，因此PWM 必須能夠使用AD 配置的DNS 名稱來聯繫AD 環境中的所有網域控制器伺服器實例。 AD LDAP 也必須設定為使用 SSL 憑證才能進行密碼修改。但是，如果 AD 環境配置良好，則 PWM 可以正常運作。

PWM 包含一個基於 Web 的設定編輯器。當 PWM 在未設定的情況下啟動時，基於 Web 的設定指南將提示管理員輸入基本設定資訊。所有設定資訊都儲存在PwmConfiguration.xml檔案中，該檔案將在應用程式路徑目錄中建立。應用程式路徑也用於其他文件，包括本機資料庫 ( LocalDB )（主要用作快取或用於測試環境）、日誌檔案和臨時檔案。如果並行使用多個 PWM 伺服器，則每個伺服器必須具有相同的PwmConfiguration.xml檔案。

PWM 使用配置密碼來保護對配置的任何修改。 PWM 驗證需要透過 LDAP 支援登入已設定的管理帳戶。在早期設定中或 LDAP 目錄出現問題的情況下，當 LDAP 功能不可用時，可能需要存取設定。為此，PWM 有一個“配置模式”，允許使用配置密碼編輯配置，但停用所有其他最終用戶功能。可以透過編輯PwmConfiguration.xml檔案並更改檔案頂部附近的configIsEditable屬性來啟用/停用設定模式，也可以在 Web UI 中進行更改。

可以選擇使用 RDBMS（也稱為 SQL 資料庫伺服器）來設定 PWM。當配置為使用資料庫時，PWM 使用者元資料（例如質詢/回應答案、TOTP 令牌、使用記錄和其他資料）將儲存在資料庫中。當未配置為使用資料庫時，PWM 使用者元資料將儲存到 LDAP 目錄中。沒有好壞之分，您使用哪一種取決於您的環境。

任何具有 Java 支援的 JDBC 驅動程式的 SQL 伺服器都應該可以工作，PWM 將在第一個連接上建立自己的模式。

建構先決條件：

• Java（檢查上面的版本要求）
• git
• 建置使用maven，但不需要安裝；原始碼樹中的 Maven 包裝器將下載本地版本。

建置步驟：

1. 將JAVA_HOME環境變數設定為 JDK 主目錄。
2. 克隆 git 項目
3. 切換到pwm目錄
4. 運行maven構建

Linux 範例：

 export JAVA_HOME="/home/vm/JavaJDKDirectory"
git clone https://github.com/pwm-project/pwm
cd pwm
./mvnw clean verify

Windows 範例：

 set JAVA_HOME="c:JavaJDKDirectory" 
git clone https://github.com/pwm-project/pwm
cd pwm
mvnw.cmd clean verify

在 Windows 上，我們建議對 PWM 和 JDK 目錄使用不含空格的路徑。

建立的工件：