Tiene que haber una aplicación de restablecimiento de contraseña LDAP basada en web de FOSS, ¿verdad? [cerrado]

15

Parece que cada tienda que usa LDAP en algún momento tiene que improvisar algo para permitir a los usuarios restablecer sus contraseñas sin molestar al personal de TI. El flujo de trabajo casi siempre se ve así:

  1. El usuario da nombre de usuario (jblow)
  2. Enviar un enlace a jblow @ company
  3. El usuario hace clic en el enlace, ingresa una nueva contraseña

En el backend, eso corresponde a:

  1. El formulario web obtiene un nombre de usuario, almacena (nombre de usuario, cadena única grande) en una base de datos, envía por correo electrónico una cadena única grande a username @ company
  2. Otra forma tiene un clic en https: // site / pwreset / big string único, lo usa para autenticar al usuario, cambia su contraseña

¿Derecho? Entonces, ¿alguien ha escrito uno de estos que comparte? Prefiero usar uno que se haya pensado un poco más que el trabajo de 10 minutos que todo el mundo parece hacer.

Hice una búsqueda rápida de Sourceforge, Freshmeat, etc. y no encontré nada que no fuera abandonado.

ldap password-management password-reset Bill Weiss
fuente
44
¿Por qué sus usuarios tienen contraseñas LDAP que son diferentes de sus contraseñas de correo electrónico?
84104
¿Desea "restablecer cuando el usuario ha olvidado" o "cambio periódico"? Son dos requisitos bastante diferentes, y en un entorno corporativo no creo que realmente quiera permitir que las personas restablezcan las contraseñas automáticamente cuando las olviden. En cualquier caso, la mayoría de los lugares probablemente se apropien porque la integración de todas las políticas relacionadas con la contraseña en una herramienta estándar es demasiado esfuerzo.
womble
user84104: diferentes ambientes. El correo electrónico está en la oficina, LDAP está en nuestro sitio de producción. No queremos que las cosas de producción se transfieran a la oficina, porque sería malo si la producción bajara porque se estaba trabajando en la oficina :)
Bill Weiss
Womble: ¿En serio? Suponiendo que los autentiquemos de alguna manera (como el acceso al correo electrónico, que es una contraseña diferente, etc.), ¿por qué no dejarlos restablecer sus contraseñas?
Bill Weiss
@Bill: ¿Encontraste algo útil? Necesito hacer lo mismo.
Jason S

Respuestas:

6

Utilizamos horde para los cambios de contraseña, pero no estamos seguros de si puede ajustarse al flujo de trabajo que desea.

churnd
fuente
Le daré un vistazo.
Bill Weiss
Parece que sería una instalación bastante grande simplemente hacer cambios de contraseña. ¿Hay algún componente que haga eso que no veo?
Bill Weiss
3
horde.org/apps/passwd
churnd
Oh ok ¿Cómo extrañé eso? ¡Gracias!
Bill Weiss el
¿Funcionó para ti?
churnd
4

Este no es el proyecto mejor documentado, pero tiene la ventaja de ser PHP bastante simple con un par de instaladores para varios sabores de Linux que lo ponen en funcionamiento rápidamente:

http://ltb-project.org/wiki/documentation/self-service-password/

Si le preocupa la seguridad, mi recomendación es utilizar un paquete ampliamente utilizado más compatible, ya que no sé qué tan bien se ha puesto a prueba este proyecto.

Alin
fuente
¡Oye, eso se ve muy bien! Lo intentaré.
Bill Weiss
1

phpLdapPasswd , pero ya no se mantiene.

quanta
fuente
Sí, lo vi, pero el gran "HEY, A NADIE LE IMPORTA ESTE CÓDIGO MÁS" siempre me preocupa.
Bill Weiss
1

ADSelfService Plus de ManageEngine está disponible en una versión gratuita. Deberá comprobarlo usted mismo para determinar las limitaciones de la versión gratuita para ver si se ajusta a sus necesidades.

joeqwerty
fuente
Le daré un vistazo.
Bill Weiss
Hmm No veo nada sobre el conjunto de características de la versión gratuita, y veo el lenguaje "prueba gratuita de 30 días". Tampoco veo nada sobre LDAP allí. ¿Lo ha usado para un servidor que no sea AD LDAP? ¿Sabes cuál es la versión gratuita, en comparación con la pagada?
Bill Weiss
0

Una alternativa a la secuencia que usted proporciona es la operación extendida de modificación de contraseña de LDAP , que es compatible con servidores de directorios modernos y de calidad profesional. Esta es una solicitud extendida de LDAP que cambia la contraseña cuando se le presenta la contraseña existente (en lugar de un restablecimiento), y también puede solicitar al servidor de directorio que genere una contraseña si lo desea.

Terry Gardner
fuente
Eso no es realmente lo que quiero. Todavía tiene que haber una interfaz para las personas no técnicas, ¿verdad?
Bill Weiss
0

¿Hay alguna forma de bloquear phpLDAPadmin para que los usuarios "normales" inicien sesión y administren su propia información (no lo sé, solo un pensamiento)? Podría valer la pena investigar esto si ustedes usan OpenLDAP (por supuesto, no sé qué implementación de LDAP tienen ...)

He estado haciendo mucha investigación teórica / de alto nivel sobre openLDAP recientemente, y probablemente implementaré un nuevo servidor LDAP con phpLDAPadmin pronto ...

David W
fuente
No lo creo ... los usuarios pueden iniciar sesión y modificar lo que tengan acceso, lo que realmente no se ajusta a mis necesidades.
Bill Weiss
0

No sé de las aplicaciones de restablecimiento de contraseña, por desgracia. Hay algunos para cambiar las contraseñas:

Hay admin-ldap en Ruby / Sinatra, ldap_password en Perl / Mojolicious y ldapchangepw en Python / Flask.

No estaba contento con el enfoque que admin-ldap o ldap_password adoptaron para cambiar las contraseñas, así que escribí Gente . Utiliza la operación Modificar contraseña extendida LDAPv3. Recomendaría usarlo o ldapchangepw.

Sciurus
fuente
Parece interesante. En mi caso, necesito algo que permita a los usuarios restablecer su contraseña si la han olvidado, lo que falta aquí.
Bill Weiss
Buen punto. He aclarado mi respuesta.
sciurus