Il doit y avoir une application de réinitialisation de mot de passe LDAP basée sur le Web FOSS, non? [fermé]

15

Il semble que chaque boutique qui utilise LDAP à un moment donné doit bricoler quelque chose pour permettre aux utilisateurs de réinitialiser leurs mots de passe sans déranger le personnel informatique. Le workflow ressemble presque toujours à:

  1. L'utilisateur donne le nom d'utilisateur (jblow)
  2. Envoyez un lien à jblow @ company par e-mail
  3. L'utilisateur clique sur le lien, saisit un nouveau mot de passe

Sur le backend, cela correspond à:

  1. Le formulaire Web obtient un nom d'utilisateur, stocke (nom d'utilisateur, grande chaîne unique) dans une base de données, envoie une grande chaîne unique par e-mail à username @ company
  2. L'autre formulaire a un clic sur https: // site / pwreset / big string unique, l'utilise pour authentifier l'utilisateur, change son mot de passe

Droite? Alors, quelqu'un a-t-il écrit l'un de ces textes qu'il partage? Je préfère en utiliser un qui a été un peu plus pensé que le travail de 10 minutes que tout le monde semble faire.

J'ai fait une recherche rapide de Sourceforge, Freshmeat, etc. et je n'ai rien trouvé qui n'ait été abandonné.

Bill Weiss
la source
4
Pourquoi vos utilisateurs ont-ils des mots de passe LDAP différents de leurs mots de passe de messagerie?
84104
Voulez-vous "réinitialiser lorsque l'utilisateur a oublié" ou "changement périodique"? Ils sont deux exigences tout à fait différentes, et dans un environnement d' entreprise , je ne pense pas que je serais vraiment envie de laisser les gens les mots de passe automatiquement remis à zéro quand ils les oublient. En tout cas, la plupart des endroits ont probablement leur propre solution, car l'intégration de toutes les politiques liées aux mots de passe dans un outil standard est tout simplement trop difficile.
womble
user84104: Différents environnements. L'email est au bureau, LDAP est dans notre site de production. Nous ne voulons pas que les éléments de production soient envoyés au bureau, car ce serait mauvais si la production diminuait parce que le bureau était en travaux :)
Bill Weiss
Womble: Vraiment? En supposant que nous les authentifions d'une certaine manière (comme l'accès au courrier électronique, qui est un autre pw, etc.), pourquoi ne pas les laisser réinitialiser leurs mots de passe?
Bill Weiss
@Bill: avez-vous trouvé quelque chose d'utile? Je dois faire la même chose.
Jason S

Réponses:

6

Nous utilisons horde pour les changements de mot de passe, mais nous ne savons pas si cela peut s'adapter au flux de travail que vous souhaitez.

churnd
la source
Je regarderai.
Bill Weiss
Il semble que ce serait une installation assez énorme pour simplement faire des changements de mot de passe. Y a-t-il un élément qui fait ça que je ne vois pas?
Bill Weiss
Ah d'accord. Comment ai-je pu manquer ça? Merci!
Bill Weiss
Cela a-t-il fonctionné pour vous?
2011
4

Ce n'est pas le projet le mieux documenté, mais il a l'avantage d'être un PHP assez simple avec quelques installateurs pour différentes versions de linux qui le mettent en place et fonctionnent rapidement:

http://ltb-project.org/wiki/documentation/self-service-password/

Si vous êtes préoccupé par la sécurité, ma recommandation est d'utiliser un package largement utilisé plus largement pris en charge, car je ne sais pas à quel point ce projet a été mis à l'épreuve.

Alin
la source
Hé, ça a l'air plutôt bien! Je vais essayer.
Bill Weiss
1

phpLdapPasswd , mais il n'est plus maintenu.

quanta
la source
Ouais, j'ai vu celui-là, mais le gros "HEY, PERSONNE N'AIME CE CODE PLUS" m'inquiète toujours.
Bill Weiss
1

ADSelfService Plus de ManageEngine est disponible dans une version gratuite. Vous devrez le vérifier par vous-même pour déterminer les limites de la version gratuite pour voir si elle correspond à vos besoins.

joeqwerty
la source
Je regarderai.
Bill Weiss
Hmm. Je ne vois rien sur le jeu de fonctionnalités de la version gratuite, et je vois le langage "30 jours d'essai gratuit". Je ne vois rien non plus sur LDAP là-bas. L'avez-vous utilisé pour un serveur LDAP non AD? Savez-vous quelle est la version gratuite par rapport à la version payante?
Bill Weiss
0

Une alternative à la séquence que vous donnez est le LDAP Password Modify Extended Operation , qui est pris en charge par les serveurs d'annuaire modernes de qualité professionnelle. Il s'agit d'une demande étendue LDAP qui modifie le mot de passe après avoir reçu le mot de passe existant (par opposition à une réinitialisation), et peut également demander au serveur d'annuaire de générer un mot de passe si vous le souhaitez.

Terry Gardner
la source
Ce n'est pas vraiment ce que je veux. Il doit encore y avoir une interface pour les personnes non techniques, non?
Bill Weiss
0

Existe-t-il un moyen de verrouiller phpLDAPadmin pour que les utilisateurs "normaux" se connectent et gèrent leurs propres informations (je ne sais pas, juste une pensée)? Cela pourrait valoir la peine d'être étudié, si vous utilisez OpenLDAP (bien sûr, je ne sais pas quelle implémentation de LDAP vous avez ...)

J'ai fait beaucoup de recherches théoriques / de haut niveau sur openLDAP récemment, et j'implémenterai probablement un nouveau serveur LDAP avec phpLDAPadmin bientôt ...

David W
la source
Je ne pense pas ... les utilisateurs peuvent s'y connecter et modifier tout ce à quoi ils ont accès, ce qui ne correspond pas vraiment à mes besoins.
Bill Weiss
0

Je ne connais malheureusement pas les applications de réinitialisation de mot de passe. Il y en a quelques-uns pour changer les mots de passe:

Il y a admin-ldap dans Ruby / Sinatra, ldap_password dans Perl / Mojolicious et ldapchangepw dans Python / Flask.

Je n'étais pas satisfait de l'approche adoptée par admin-ldap ou ldap_password pour changer les mots de passe, j'ai donc écrit Gente . Il utilise l' opération LDAPv3 étendue de modification du mot de passe . Je recommanderais de l'utiliser ou de ldapchangepw.

sciurus
la source
Semble intéressant. Dans mon cas, j'ai besoin de quelque chose pour permettre aux utilisateurs de réinitialiser leur mot de passe s'ils l'ont oublié, ce qui manque ici.
Bill Weiss
Bon point. J'ai clarifié ma réponse.
sciurus