Musi być dostępna internetowa aplikacja FOSS do resetowania hasła LDAP, prawda? [Zamknięte]

15

Wygląda na to, że każdy sklep, który w pewnym momencie korzysta z LDAP, musi coś połączyć, aby umożliwić użytkownikom resetowanie haseł bez przeszkadzania pracownikom IT. Przepływ pracy prawie zawsze wygląda następująco:

  1. Użytkownik podaje nazwę użytkownika (jblow)
  2. Wyślij link do jblow @ company
  3. Użytkownik klika link, wprowadza nowe hasło

Na zapleczu odpowiada to:

  1. Formularz internetowy pobiera nazwę użytkownika, przechowuje (nazwę użytkownika, duży unikalny ciąg) w bazie danych, wysyła duży unikalny ciąg do nazwy użytkownika @ firma
  2. Inny formularz ma kliknięcie na https: // site / pwreset / big unikalny ciąg, używa tego do uwierzytelnienia użytkownika, zmienia swoje hasło

Dobrze? Czy ktoś napisał jedno z tych, które udostępnia? Wolę użyć takiego, w którym wkłada się nieco więcej myśli niż w 10-minutową pracę, którą wszyscy wydają się wykonywać.

Szybko przeszukałem Sourceforge, Freshmeat itp. I nie znalazłem niczego, co nie byłoby porzucone.

Bill Weiss
źródło
4
Dlaczego Twoi użytkownicy mają hasła LDAP inne niż hasła e-mail?
84104
Czy chcesz „zresetować, gdy użytkownik zapomni”, czy „okresową zmianę”? Są to dwa zupełnie różne wymagania, aw środowisku korporacyjnym nie sądzę, żebym naprawdę chciał pozwolić ludziom automatycznie resetować hasła, gdy je zapomną. W każdym razie większość miejsc prawdopodobnie działa samodzielnie, ponieważ zintegrowanie wszystkich zasad związanych z hasłami w standardowym narzędziu to zbyt duży wysiłek.
womble
user84104: Różne środowiska. E-mail jest w biurze, LDAP jest na naszej stronie produkcyjnej. Nie chcemy, aby produkcje wysyłały się do biura, ponieważ byłoby źle, gdyby produkcja spadła, ponieważ biuro było w trakcie pracy :)
Bill Weiss
Womble: Naprawdę? Zakładając, że wykonujemy je w jakiś sposób (np. Dostęp do poczty e-mail, która jest innym pw, itp.), Dlaczego nie pozwolić im zresetować hasła?
Bill Weiss,
@Bill: czy znalazłeś coś przydatnego? Muszę zrobić to samo.
Jason S

Odpowiedzi:

6

Używamy hordy do zmian haseł, ale nie jesteśmy pewni, czy będzie pasować do pożądanego przepływu pracy.

churnd
źródło
Spojrzę na to.
Bill Weiss
Wygląda na to, że po prostu zmiana hasła byłaby dość duża. Czy istnieje komponent, który robi to, czego nie widzę?
Bill Weiss,
No dobrze Jak mi tego brakowało? Dzięki!
Bill Weiss,
Czy ci się udało?
churnd
4

To nie jest najlepiej udokumentowany projekt, ale ma tę zaletę, że jest dość prostym PHP z kilkoma instalatorami różnych smaków linuksowych, które szybko go uruchamiają:

http://ltb-project.org/wiki/documentation/self-service-password/

Jeśli obawiasz się o bezpieczeństwo, zalecam użycie w pełni obsługiwanego, szeroko używanego pakietu, ponieważ nie wiem, jak dobrze ten projekt został wykonany.

Alin
źródło
Hej, to wygląda całkiem nieźle! Spróbuję.
Bill Weiss,
1

phpLdapPasswd , ale nie jest już utrzymywany.

kwanty
źródło
Tak, widziałem to, ale wielkie „HEJ, ŻADNEJ NIŻ OSTROJE TEGO KODU” zawsze mnie martwi.
Bill Weiss
1

ADSelfService Plus od ManageEngine jest dostępny w bezpłatnej wersji. Musisz to sprawdzić, aby określić ograniczenia darmowej wersji, aby sprawdzić, czy pasuje ona do twoich potrzeb.

joeqwerty
źródło
Spojrzę na to.
Bill Weiss
Hmm Nic nie widzę w zestawie funkcji darmowego i widzę język „30-dniowy bezpłatny okres próbny”. Nie widzę tam również nic o LDAP. Czy używałeś go do serwera LDAP innego niż AD? Czy wiesz, czym jest darmowa wersja w porównaniu do płatnej?
Bill Weiss,
0

Alternatywą dla sekwencji, którą podajesz, jest Rozszerzona operacja modyfikacji hasła LDAP , obsługiwana przez nowoczesne serwery katalogowe profesjonalnej jakości. Jest to rozszerzone żądanie LDAP, które zmienia hasło po przedstawieniu istniejącego hasła (w przeciwieństwie do resetowania), a także może poprosić serwer katalogowy o wygenerowanie hasła, jeśli to konieczne.

Terry Gardner
źródło
Tak naprawdę nie tego chcę. Nadal musi istnieć nakładka dla osób nietechnicznych, prawda?
Bill Weiss
0

Czy jest jakiś sposób na zablokowanie phpLDAPadmin, aby „normalni” użytkownicy mogli logować się i zarządzać własnymi informacjami (nie wiem, tylko myśl)? Może warto to sprawdzić, jeśli korzystacie z OpenLDAP (oczywiście nie wiem, jaką implementację LDAP macie ...)

Ostatnio przeprowadzałem wiele badań teoretycznych / wysokiego poziomu na temat openLDAP i prawdopodobnie wkrótce wdrożę nowy serwer LDAP z / phpLDAPadmin ...

David W.
źródło
Nie sądzę, żeby ... użytkownicy mogli się do niego zalogować i modyfikować wszystko, do czego mają dostęp, co tak naprawdę nie odpowiada moim potrzebom.
Bill Weiss,
0

Niestety nie znam aplikacji do resetowania hasła. Istnieje kilka sposobów zmiany haseł:

Istnieje admin-ldap w Ruby / Sinatra, ldap_password w Perl / Mojolicious i ldapchangepw w Python / Flask.

Nie podobało mi się podejście administratora-ldap lub ldap_password do zmiany haseł, więc napisałem Gente . Wykorzystuje rozszerzoną operację LDAPv3 Modify Password . Poleciłbym go użyć lub ldapchangepw.

Sciurus
źródło
Wygląda ciekawie. W moim przypadku potrzebuję czegoś, co pozwoli użytkownikom zresetować hasło, jeśli go zapomniało, czego tutaj brakuje.
Bill Weiss,
Słuszna uwaga. Wyjaśniłem swoją odpowiedź.
sciurus