Там должно быть веб-приложение FOSS для сброса пароля LDAP, верно? [закрыто]

15

Кажется, что каждый магазин, который в какой-то момент использует LDAP, должен что-то объединять, чтобы пользователи могли сбрасывать свои пароли, не беспокоя ИТ-специалистов. Рабочий процесс почти всегда выглядит так:

  1. Пользователь дает имя пользователя (jblow)
  2. Электронная почта jblow @ company ссылка
  3. Пользователь нажимает на ссылку, вводит новый пароль

На бэкэнде это соответствует:

  1. Веб-форма получает имя пользователя, сохраняет (имя пользователя, большая уникальная строка) в БД, отправляет большую уникальную строку на имя пользователя @ компании
  2. Другая форма нажимает на https: // site / pwreset / big уникальную строку, использует ее для аутентификации пользователя, меняет пароль

Правильно? Итак, кто-то написал одну из них, которой они делятся? Я бы предпочел использовать тот, в который было вложено немного больше мысли, чем 10-минутная работа, которую все, кажется, делают.

Я быстро искал Sourceforge, Freshmeat и т. Д. И не нашел ничего, что не было заброшено.

ldap password-management password-reset Билл Вайс
источник
4
Почему ваши пользователи имеют пароли LDAP, которые отличаются от их паролей электронной почты?
84104
Вы хотите «сбросить, когда пользователь забыл» или «периодические изменения»? Это два совершенно разных требования, и в корпоративной среде я не думаю, что мне действительно хотелось бы позволить людям автоматически сбрасывать пароли, когда они их забывают. Во всяком случае, большинство мест, вероятно, катятся самостоятельно, потому что интеграция всех политик, связанных с паролями, в стандартный инструмент - это слишком много усилий.
womble
user84104: различные среды. Электронная почта находится в офисе, LDAP находится на нашей производственной площадке. Мы не хотим, чтобы производственные вещи были установлены в офисе, потому что было бы плохо, если бы производство прекратилось, потому что над офисом работали :)
Билл Вайс,
Womble: Действительно? Предполагая, что мы их аутентифицируем каким-либо образом (например, доступ к электронной почте, который отличается от pw и т. Д.), Почему бы не позволить им сбросить свои пароли?
Билл Вайс
@ Билл: ты нашел что-нибудь полезное? Мне нужно сделать то же самое.
Джейсон С.

Ответы:

6

Мы используем Horde для смены пароля, но не уверены, что он может соответствовать желаемому рабочему процессу.

churnd
источник
Я взгляну.
Билл Вайс
Похоже, это будет довольно большая установка, чтобы просто изменить пароль. Есть ли такой компонент, который я не вижу?
Билл Вайс
3
horde.org/apps/passwd
суббота,
О хорошо Как я это пропустил? Благодарность!
Билл Вайс
Это сработало для вас?
churnd
4

Это не лучший документированный проект, но его преимущество заключается в том, что он представляет собой довольно простой PHP с парой инсталляторов для различных разновидностей Linux, которые быстро его запускают и работают:

http://ltb-project.org/wiki/documentation/self-service-password/

Если вы беспокоитесь о безопасности, я рекомендую использовать более широко поддерживаемый широко используемый пакет, поскольку я не знаю, насколько успешно этот проект прошел через него.

Алинь
источник
Эй, это выглядит довольно хорошо! Я сделаю это.
Билл Вайс
1

phpLdapPasswd , но он больше не поддерживается.

кванты
источник
Да, я видел это, но большое «ЭЙ, НИ ОДНОЙ ЗАБОТЫ ДЛЯ ЭТОГО КОДА БОЛЬШЕ» всегда беспокоит меня
Билл Вайс
1

ADSelfService Plus от ManageEngine доступен в бесплатной версии. Вы должны проверить это сами, чтобы определить ограничения бесплатной версии, чтобы увидеть, соответствует ли она вашим потребностям.

joeqwerty
источник
Я взгляну.
Билл Вайс
Хм. Я не вижу там ничего о наборе функций бесплатного, и я вижу язык "30-дневная бесплатная пробная версия". Я также не вижу ничего о LDAP там. Вы использовали его для LDAP-сервера без AD? Знаете ли вы, что такое бесплатная версия, по сравнению с платной?
Билл Вайс
0

Альтернативой указанной последовательности является расширенная операция изменения пароля LDAP , которая поддерживается современными серверами каталогов профессионального качества. Это расширенный запрос LDAP, который изменяет пароль после его представления с существующим паролем (в отличие от сброса), а также может запросить сервер каталогов сгенерировать пароль при желании.

Терри Гарднер
источник
Это не совсем то, что я хочу. Там все еще должен быть фронтенд для нетехнических людей, верно?
Билл Вайс
0

Есть ли способ заблокировать phpLDAPadmin для «обычных» пользователей, чтобы войти в систему и управлять своей собственной информацией (я не знаю, просто мысль)? Это может стоить изучить, если вы, ребята, используете OpenLDAP (конечно, я не знаю, какая у вас реализация LDAP ...)

В последнее время я проводил много теоретических исследований и исследований высокого уровня по openLDAP, и, вероятно, скоро буду внедрять новый сервер LDAP с phpLDAPadmin ...

Дэвид В.
источник
Я так не думаю ... пользователи могут войти в него и изменить то, к чему у них есть доступ, что на самом деле не соответствует моим потребностям.
Билл Вайс
0

К сожалению, я не знаю приложений для сброса пароля. Есть несколько вариантов смены паролей:

Там есть admin-ldap в Ruby / Sinatra, ldap_password в Perl / Mojolicious и ldapchangepw в Python / Flask.

Я не был доволен подходом admin-ldap или ldap_password к смене паролей, поэтому я написал Gente . Он использует расширенную операцию изменения пароля LDAPv3. Я бы порекомендовал использовать его или ldapchangepw.

Sciurus
источник
Выглядит интересно. В моем случае мне нужно что-то, чтобы позволить пользователям сбросить свой пароль, если они забыли его, чего здесь не хватает.
Билл Вайс
Хорошая точка зрения. Я уточнил свой ответ.
sciurus