Deve haver um aplicativo de redefinição de senha LDAP baseado na Web da FOSS, certo? [fechadas]

15

Parece que toda loja que usa LDAP em algum momento precisa juntar algo para permitir que os usuários redefinam suas senhas sem incomodar a equipe de TI. O fluxo de trabalho quase sempre se parece com:

  1. Usuário fornece nome de usuário (jblow)
  2. Enviar e-mail para jblow @ company
  3. Usuário clica no link, coloca uma nova senha

No back-end, isso corresponde a:

  1. O formulário da Web obtém um nome de usuário, armazena (nome de usuário, grande string exclusiva) em um banco de dados, envia por email uma grande string exclusiva para username @ company
  2. Outro formulário tem um clique em https: // site / pwreset / big unique string, usa isso para autenticar o usuário, altera sua senha

Certo? Então, alguém escreveu um desses que eles compartilham? Prefiro usar um que tenha um pouco mais de atenção do que o trabalho de 10 minutos que todo mundo parece fazer.

Fiz uma pesquisa rápida no Sourceforge, Freshmeat etc. e não encontrei nada que não fosse abandonado.

Bill Weiss
fonte
4
Por que seus usuários têm senhas LDAP diferentes das senhas de email?
84104
Deseja "redefinir quando o usuário esqueceu" ou "alteração periódica"? São dois requisitos bem diferentes e, em um ambiente corporativo, não acho que realmente quero deixar as pessoas redefinirem senhas automaticamente quando as esquecerem. De qualquer forma, a maioria dos locais provavelmente se destaca porque integrar todas as políticas relacionadas a senhas em uma ferramenta padrão é um esforço demais.
Womble
user84104: Diferentes ambientes. O email está no escritório, o LDAP está em nosso site de produção. Nós não queremos que as coisas produção authing para o escritório, porque seria ruim se a produção desceu porque o escritório estava sendo trabalhado :)
Bill Weiss
Womble: Sério? Supondo que os tenhamos autenticados de alguma maneira (como acesso a e-mail, que é uma senha diferente, etc.), por que não deixá-los redefinir suas senhas?
Bill Weiss
@ Bill: você achou algo útil? Eu preciso fazer a mesma coisa.
Jason S

Respostas:

6

Usamos a horda para alterações de senha, mas não temos certeza se ela pode caber no fluxo de trabalho desejado.

churnd
fonte
Vou dar uma olhada.
Bill Weiss
Parece que seria uma instalação enorme para fazer apenas alterações de senha. Existe um componente que faz isso que eu não vejo?
Bill Weiss
Ah ok. Como eu senti falta disso? Obrigado!
Bill Weiss
Isso funcionou para você?
churnd
4

Este não é o melhor projeto documentado, mas tem a vantagem de ser um PHP bastante simples, com alguns instaladores para vários tipos de Linux que o colocam em funcionamento rapidamente:

http://ltb-project.org/wiki/documentation/self-service-password/

Se você está preocupado com segurança, minha recomendação é usar um pacote amplamente usado e com suporte mais completo, pois não sei até que ponto esse projeto foi desenvolvido.

Alin
fonte
Ei, isso parece muito bom! Vou tentar.
Bill Weiss
1

phpLdapPasswd , mas não está mais sendo mantido.

quanta
fonte
Sim, eu vi esse, mas o grande "Ei, ninguém se importa mais com esse código" sempre me preocupa.
Bill Weiss
1

ADSelfService Além de ManageEngine está disponível em uma versão gratuita. Você precisará verificar por conta própria para determinar as limitações da versão gratuita e verificar se ela se adapta às suas necessidades.

joeqwerty
fonte
Vou dar uma olhada.
Bill Weiss
Hmm. Não vejo nada sobre o conjunto de recursos do gratuito e vejo o idioma "30 dias de teste gratuito". Também não vejo nada sobre LDAP lá. Você já o usou para um servidor LDAP não-AD? Você sabe qual é a versão gratuita, em comparação com a paga?
Bill Weiss
0

Uma alternativa à sequência que você fornece é a Operação Estendida de Modificação de Senha LDAP , suportada por servidores de diretório modernos e de qualidade profissional. Essa é uma solicitação estendida LDAP que altera a senha ao ser apresentada com a senha existente (em oposição a uma redefinição) e também pode solicitar ao servidor de diretório que gere uma senha, se desejado.

Terry Gardner
fonte
Não é exatamente isso que eu quero. Ainda precisa haver uma interface para o pessoal não técnico, certo?
Bill Weiss
0

Existe alguma maneira de bloquear o phpLDAPadmin para que usuários "normais" façam login e gerenciem suas próprias informações (não sei, apenas um pensamento)? Isso pode valer a pena examinar, se vocês usam o OpenLDAP (é claro, eu não sei qual implementação do LDAP você tem ...)

Eu tenho feito muita pesquisa teórica / de alto nível no openLDAP recentemente e provavelmente implementarei um novo servidor LDAP com o phpLDAPadmin em breve ...

David W
fonte
Acho que não ... os usuários podem fazer login e modificar o que têm acesso, o que realmente não se encaixa nas minhas necessidades.
Bill Weiss
0

Infelizmente, não conheço aplicativos de redefinição de senha. Existem alguns para alterar senhas:

admin-ldap no Ruby / Sinatra, ldap_password no Perl / Mojolicious e ldapchangepw no Python / Flask.

Não fiquei satisfeito com a abordagem que o admin-ldap ou o ldap_password adotou para alterar as senhas, então escrevi o Gente . Ele usa a operação LDAPv3 estendida Modify Password . Eu recomendaria usá-lo ou ldapchangepw.

sciurus
fonte
Parece interessante. No meu caso, preciso de algo para permitir que os usuários redefinam sua senha, caso a tenham esquecido, o que está faltando aqui.
Bill Weiss
Bom ponto. Eu esclareci minha resposta.
sciurus