Es muss eine webbasierte LDAP-App zum Zurücksetzen von Passwörtern von FOSS geben, oder? [geschlossen]

15

Anscheinend muss jeder Shop, der LDAP verwendet, irgendwann etwas zusammenbauen, damit Benutzer ihre Passwörter zurücksetzen können, ohne das IT-Personal zu belästigen. Der Workflow sieht fast immer so aus:

  1. Benutzer gibt Benutzernamen (jblow)
  2. E-Mail jblow @ company einen Link
  3. Der Benutzer klickt auf den Link und gibt ein neues Passwort ein

Auf dem Backend entspricht das:

  1. Das Webformular ruft einen Benutzernamen ab, speichert (Benutzername, große eindeutige Zeichenfolge) in einer Datenbank und sendet eine E-Mail mit einer großen eindeutigen Zeichenfolge an Benutzername @ Firma
  2. Andere Formulare haben einen Klick auf https: // site / pwreset / big unique string, verwenden diesen zur Authentifizierung des Benutzers, ändern ihr Passwort

Richtig? Hat jemand eine von diesen geschrieben, die er teilt? Ich würde lieber eine verwenden, die ein bisschen mehr Gedanken enthält als die 10-minütige Arbeit, die jeder zu tun scheint.

Ich habe schnell Sourceforge, Freshmeat usw. durchsucht und nichts gefunden, was nicht aufgegeben wurde.

Bill Weiss
quelle
4
Warum haben Ihre Benutzer LDAP-Kennwörter, die sich von ihren E-Mail-Kennwörtern unterscheiden?
84104
Möchten Sie "Zurücksetzen, wenn Benutzer vergessen hat" oder "regelmäßige Änderung"? Es sind zwei sehr unterschiedliche Anforderungen, und in einer Unternehmensumgebung möchte ich nicht wirklich, dass die Leute Passwörter automatisch zurücksetzen, wenn sie sie vergessen. Auf jeden Fall rollen die meisten Orte wahrscheinlich ihre eigenen, da die Integration aller kennwortbezogenen Richtlinien in ein Standard-Tool einfach zu aufwändig ist.
womble
user84104: Verschiedene Umgebungen. E-Mail ist im Büro, LDAP befindet sich in unserer Produktionsstätte. Wir wollen nicht, dass Produktionssachen ins Büro kommen, denn es wäre schlimm, wenn die Produktion ausfallen würde, weil an dem Büro gearbeitet wird :)
Bill Weiss
Womble: Wirklich? Angenommen, wir autorisieren sie auf irgendeine Weise (wie zum Beispiel den Zugriff auf E-Mails, bei denen es sich um ein anderes Kennwort handelt). Warum lassen wir sie dann nicht ihre Passwörter zurücksetzen?
Bill Weiss
@Bill: hast du was brauchbares gefunden? Ich muss das Gleiche tun.
Jason S

Antworten:

6

Wir verwenden horde für Passwortänderungen, sind uns jedoch nicht sicher, ob es in den gewünschten Workflow passt.

churnd
quelle
Ich werde einen Blick darauf werfen.
Bill Weiss
Es sieht so aus, als wäre es eine ziemlich große Installation, um nur Passwortänderungen vorzunehmen. Gibt es eine Komponente, die das tut, was ich nicht sehe?
Bill Weiss
Oh ok. Wie habe ich das vermisst? Vielen Dank!
Bill Weiss
Hat es für dich geklappt?
Churnd
4

Dies ist nicht das am besten dokumentierte Projekt, aber es hat den Vorteil, dass es ein relativ einfaches PHP mit einigen Installationsprogrammen für verschiedene Linux-Varianten ist, die es schnell zum Laufen bringen:

http://ltb-project.org/wiki/documentation/self-service-password/

Wenn Sie sich Sorgen um die Sicherheit machen, empfehle ich, ein umfassender unterstütztes Paket zu verwenden, da ich nicht weiß, wie gut dieses Projekt seine Fortschritte gemacht hat.

Alin
quelle
Hey, das sieht ziemlich gut aus! Ich versuche es mal.
Bill Weiss
1

phpLdapPasswd , wird aber nicht mehr gepflegt.

Quanten
quelle
Ja, ich habe das gesehen, aber das große "Hey, niemand kümmert sich mehr um diesen Code" macht mir immer Sorgen.
Bill Weiss
1

ADSelfService Plus von ManageEngine ist in einer kostenlosen Version verfügbar. Sie müssen es selbst ausprobieren, um die Einschränkungen der kostenlosen Version zu ermitteln und festzustellen, ob sie Ihren Anforderungen entspricht.

Joeqwerty
quelle
Ich werde einen Blick darauf werfen.
Bill Weiss
Hmm. Ich sehe dort nichts über den Funktionsumfang des kostenlosen und ich sehe die Sprache "30 Tage kostenlose Testversion". Ich sehe dort auch nichts über LDAP. Haben Sie es für einen Nicht-AD-LDAP-Server verwendet? Weißt du, was die kostenlose Version ist, verglichen mit der bezahlten?
Bill Weiss
0

Eine Alternative zu der von Ihnen angegebenen Sequenz ist der LDAP Password Modify Extended Operation , der von modernen Verzeichnisservern in professioneller Qualität unterstützt wird. Hierbei handelt es sich um eine erweiterte LDAP-Anforderung, bei der das Kennwort geändert wird, wenn das vorhandene Kennwort angezeigt wird (im Gegensatz zu einem Zurücksetzen). Auf Wunsch kann der Verzeichnisserver auch aufgefordert werden, ein Kennwort zu generieren.

Terry Gardner
quelle
Das ist nicht wirklich was ich will. Es muss noch ein Frontend für die nicht-technischen Leute geben, richtig?
Bill Weiss
0

Gibt es eine Möglichkeit, phpLDAPadmin für "normale" Benutzer zu sperren, um sich anzumelden und ihre eigenen Informationen zu verwalten (ich weiß es nicht, nur ein Gedanke)? Dies könnte einen Blick wert sein, wenn ihr OpenLDAP benutzt (natürlich weiß ich nicht, welche LDAP-Implementierung ihr habt ...)

Ich habe in letzter Zeit viel theoretische / hochrangige Forschung zu openLDAP betrieben und werde wahrscheinlich bald einen neuen LDAP-Server mit phpLDAPadmin implementieren ...

David W
quelle
Ich glaube nicht ... Benutzer können sich einloggen und ändern, worauf sie Zugriff haben, was nicht wirklich meinen Bedürfnissen entspricht.
Bill Weiss
0

Ich kenne leider keine Apps zum Zurücksetzen von Passwörtern. Es gibt einige Möglichkeiten zum Ändern von Passwörtern:

Es gibt admin-ldap in Ruby / Sinatra, ldap_password in Perl / Mojolicious und ldapchangepw in Python / Flask.

Ich war mit der Vorgehensweise von admin-ldap oder ldap_password zum Ändern von Passwörtern nicht zufrieden und schrieb Gente . Es verwendet den erweiterten LDAPv3-Vorgang " Kennwort ändern". Ich würde empfehlen, es oder ldapchangepw zu verwenden.

Sciurus
quelle
Sieht interessant aus. In meinem Fall brauche ich etwas, damit Benutzer ihr Passwort zurücksetzen können, wenn sie es vergessen haben, was hier fehlt.
Bill Weiss
Guter Punkt. Ich habe meine Antwort geklärt.
Sciurus