Pasti ada aplikasi pengaturan ulang kata sandi LDAP berbasis web FOSS di luar sana, bukan? [Tutup]

15

Sepertinya setiap toko yang menggunakan LDAP di beberapa titik harus menyusun sesuatu untuk memungkinkan pengguna mengatur ulang kata sandi mereka tanpa mengganggu staf TI. Alur kerjanya hampir selalu terlihat seperti:

  1. Pengguna memberikan nama pengguna (jblow)
  2. Email jblow @ perusahaan tautan
  3. Tautan klik pengguna, memasukkan kata sandi baru

Di backend, itu sesuai dengan:

  1. Formulir web mendapatkan nama pengguna, menyimpan (nama pengguna, string unik besar) dalam DB, mengirim email string unik besar ke nama pengguna @ perusahaan
  2. Formulir lain memiliki klik pada https: // situs / pwreset / string unik besar , menggunakannya untuk mengotentikasi pengguna, mengubah kata sandi mereka

Baik? Jadi, sudahkah seseorang menulis salah satunya yang mereka bagikan? Saya lebih suka menggunakan satu yang memiliki sedikit lebih banyak pemikiran daripada pekerjaan 10 menit yang tampaknya dilakukan semua orang.

Saya melakukan pencarian cepat Sourceforge, Freshmeat dll dan tidak menemukan apa pun yang tidak ditinggalkan.

Bill Weiss
sumber
4
Mengapa pengguna Anda memiliki kata sandi LDAP yang berbeda dengan kata sandi email mereka?
84104
Apakah Anda ingin "mengatur ulang ketika pengguna lupa" atau "perubahan berkala"? Mereka adalah dua persyaratan yang sangat berbeda, dan dalam lingkungan perusahaan saya tidak berpikir saya benar - benar ingin membiarkan orang mereset kata sandi secara otomatis ketika mereka melupakannya. Bagaimanapun, sebagian besar tempat mungkin roll sendiri karena mengintegrasikan semua kebijakan terkait kata sandi ke alat standar terlalu banyak usaha.
womble
user84104: Lingkungan berbeda. Email ada di kantor, LDAP ada di lokasi produksi kami. Kami tidak ingin barang-barang produksi dikirim ke kantor, karena akan menjadi buruk jika produksi turun karena kantor sedang dikerjakan :)
Bill Weiss
Womble: Benarkah? Dengan asumsi kami mengautentikasi mereka dalam beberapa cara (seperti akses ke email, yang merupakan pw berbeda, dll), mengapa tidak membiarkan mereka mereset kata sandi mereka?
Bill Weiss
@ Bill: apakah Anda menemukan sesuatu yang bermanfaat? Saya perlu melakukan hal yang sama.
Jason S

Jawaban:

6

Kami menggunakan gerombolan untuk perubahan kata sandi, tetapi tidak yakin apakah itu dapat sesuai dengan alur kerja yang Anda inginkan.

churnd
sumber
Aku akan melihatnya.
Bill Weiss
Sepertinya itu akan menjadi instalasi yang sangat besar untuk hanya melakukan perubahan kata sandi. Apakah ada komponen yang tidak saya lihat?
Bill Weiss
Oh oke. Bagaimana saya bisa melewatkan itu? Terima kasih!
Bill Weiss
Apakah itu berhasil untuk Anda?
churnd
4

Ini bukan proyek terbaik yang didokumentasikan, tetapi memiliki keuntungan menjadi PHP yang cukup sederhana dengan beberapa installer untuk berbagai rasa linux yang membuatnya dan berjalan cepat:

http://ltb-project.org/wiki/documentation/self-service-password/

Jika Anda khawatir tentang keamanan, rekomendasi saya adalah menggunakan paket yang banyak digunakan, yang didukung penuh, karena saya tidak tahu seberapa baik proyek ini telah berjalan dengan baik.

Alin
sumber
Hei, itu terlihat sangat bagus! Saya akan mencobanya.
Bill Weiss
1

phpLdapPasswd , tetapi tidak lagi dipertahankan.

kuanta
sumber
Ya, saya melihat yang satu itu, tapi yang besar "HEI, TIDAK ADA PEDULI UNTUK KODE INI LAGI" selalu membuat saya khawatir.
Bill Weiss
1

ADSelfService Plus dari ManageEngine tersedia dalam versi gratis. Anda harus memeriksanya sendiri untuk menentukan batasan versi gratis untuk melihat apakah itu sesuai dengan kebutuhan Anda.

joeqwerty
sumber
Aku akan melihatnya.
Bill Weiss
Hmm. Saya tidak melihat apa-apa di sana tentang set fitur yang gratis, dan saya melihat bahasa "uji coba gratis 30 hari". Saya juga tidak melihat apa-apa tentang LDAP di sana. Sudahkah Anda menggunakannya untuk server LDAP non-AD? Tahukah Anda apa versi gratisnya, dibandingkan dengan versi berbayar?
Bill Weiss
0

Alternatif dari urutan yang Anda berikan adalah LDAP Password Modify Extended Operation , yang didukung oleh server direktori modern yang berkualitas profesional. Ini adalah permintaan diperluas LDAP yang mengubah kata sandi setelah disajikan dengan kata sandi yang ada (sebagai lawan dari pengaturan ulang), dan juga dapat meminta server direktori untuk membuat kata sandi jika diinginkan.

Terry Gardner
sumber
Bukan itu yang saya inginkan. Masih perlu ada frontend untuk orang-orang non-teknis, kan?
Bill Weiss
0

Apakah ada cara untuk mengunci phpLDAPadmin bagi pengguna "normal" untuk login dan mengelola informasi mereka sendiri (saya tidak tahu, hanya sebuah pemikiran)? Ini mungkin layak untuk dilihat, jika kalian menggunakan OpenLDAP (tentu saja, saya tidak tahu implementasi LDAP yang Anda miliki ...)

Saya telah melakukan banyak penelitian teoretis / tingkat tinggi tentang openLDAP baru-baru ini, dan mungkin akan mengimplementasikan server LDAP baru dengan phpLDAPadmin segera ...

David W
sumber
Saya tidak berpikir begitu ... pengguna dapat login ke sana dan memodifikasi apa pun yang mereka akses, yang tidak sesuai dengan kebutuhan saya.
Bill Weiss
0

Sayangnya, saya tidak tahu aplikasi setel ulang kata sandi. Ada beberapa untuk mengubah kata sandi:

Ada admin-ldap di Ruby / Sinatra, ldap_password di Perl / Mojolicious, dan ldapchangepw dalam Python / Flask.

Saya tidak senang dengan pendekatan admin-ldap atau ldap_password untuk mengubah kata sandi, jadi saya menulis Gente . Ini menggunakan operasi Modify Password extended LDAPv3. Saya akan merekomendasikan menggunakannya atau ldapchangepw.

sciurus
sumber
Terlihat menarik. Dalam kasus saya, saya perlu sesuatu untuk memungkinkan pengguna mereset kata sandi mereka jika mereka lupa, yang tidak ada di sini.
Bill Weiss
Poin yang bagus. Saya sudah mengklarifikasi jawaban saya.
sciurus