Portail de compte en libre-service avec PWM

Imprimable, PDF & Email

Tout le monde connaît la guerre que les utilisateurs peuvent mener avec leurs comptes utilisateurs, qu’ils sont partis en vacances et qu’ils ont oublié leur mot de passe, Je vous jure que je l’ai écrit 5 Du bon temps… Puits, Eh bien, aujourd’hui, nous avons un document de premier plan, Un portail web pour l’autogestion des comptes utilisateurs.

Pour éviter de perdre du temps dans l’informatique, il est bon de déléguer certaines tâches aux utilisateurs, et la gestion de vos identifiants est l’un d’entre eux, outre la suppression d’un % temps important de nos ressources, Nous perdons également en efficacité puisque le temps de réponse ne sera pas immédiat. Par conséquent, Aujourd’hui, nous allons voir PWM, un portail Web en libre-service pour les comptes d’utilisateurs dans n’importe quel LDAP, tels que notre Active Directory.

Bien sûr, PWM est Open Source et a des choses très, très curieuses, Cela nous permettra de sélectionner de manière granulaire les options que nous voulons mettre en œuvre, Quoi qu’il en soit, il peut s’agir, Vous permettre de créer de nouveaux comptes utilisateur, ou activer de nouveaux utilisateurs, Modifier votre mot de passe, réinitialiser le mot de passe s’il n’est pas convenu sur la base de quelques questions (u Mauvais jeton, TOUT…), Intégration du service d’assistance, Mise à jour de certains champs utilisateur… Il est disponible dans n’importe quelle langue, Le thème de l’interface web est simplement personnalisable pour en faire une entreprise… Assez intéressant, Nous remercions donc ses auteurs et n’oublions pas de collaborer avec la communauté de la manière qui vous convient 😉 le mieux

Bien sûr, l’installation est basée sur un conteneur Docker que dans une minute nous aurons en cours d’exécution. Si vous avez besoin d’installer Docker, consultez la Documentation officielle. Nous déchargeons pwm-docker-image-2.0.1.tar’ de https://github.com/pwm-project/pwm/releases, nous le téléchargeons sur la machine avec Docker et démarrons le conteneur:

Docker Load --input=/tmp/pwm-docker-image-2.0.1.tar Docker Run -D --Name mipwm -p 8443:8443 pwm/pwm-webapp -v /config:/Accueil/OpenServices/PWM-config sudo Docker Start mipwm

Configuration du PWM,

Nous ouvrons un navigateur contre https://DIRECCION_IP_PWM:8443 Nous accueillerons un assistant d’installation, “Prochain”,

Cliquez sur “Configuration manuelle” pour le configurer,

Nous acceptons de quitter l’assistant de configuration de base.

Il nous demande un mot de passe qui sera celui que nous utiliserons à chaque fois que nous voudrons entrer pour modifier la configuration.

Accepter, Il nous indique que nous sommes en mode configuration et que nous allons pouvoir nous connecter sans comptes LDAP, jusqu’à ce que nous les configurions et les validions.

Nous cliquons donc sur “Éditeur de configuration”,

Entrez le mot de passe de configuration,

Et bienvenue dans la configuration, Il est très facile de naviguer dans le menu de gauche et de localiser les options dont nous avons besoin. Nous avons plusieurs vues qui masqueront les fonctionnalités de base, hospitalisé ou pas du tout.

Premières choses, si nous allons l’intégrer à notre Active Directory, Nous le sélectionnerons dans “Paramètres par défaut du fournisseur LDAP”.

Nous accueillons le changement,

et dans le menu des paramètres LDAP, nous devrons créer une connexion avec notre Active Directory, nous vous indiquerons le(s) serveur(s) LDAP, nous nous connecterons de préférence avec LDAPS, Cliquez sur Obtenir le certificat depuis le serveur. Après, Nous configurerons le compte appelé “Utilisateur proxy LDAP” qui sera le compte utilisateur de notre AD qui sera utilisé pour changer et réinitialiser les mots de passe (Il doit donc s’agir d’un utilisateur avec uniquement cette délégation), Nous indiquerons également le (ou le) DN où se trouveront nos utilisateurs. Et enfin, nous devons indiquer un compte de test pour valider que nous pouvons effectuer ces modifications.

En cliquant sur “Tester le profil LDAP” validera la connexion.

Pour ne pas apporter de modifications au schéma AD, nous aurons besoin d’un serveur de base de données MySQL ou MariaDB où PWM stockera les attributs dont il a besoin. Ce MySQL peut fonctionner sur la même machine que Docker, en conteneur ou sur une machine dédiée. Avec les commandes suivantes, nous allons créer la base de données, un utilisateur avec un mot de passe et nous lui attribuerons des autorisations sur cette base de données:

CRÉER UNE BASE DE DONNÉES pwm_db;
CREATE USER 'pwd_user'@'%' IDENTIFIED BY 'XXXXXXXXXX';
GRANT ALL ON pwm_db.* TO 'pwd_user'@'%';
PRIVILÈGES DE VIDAGE;

Donc, à partir de “Paramètres” > “Base de données (Lointain)” > “Connexion” Il va falloir s’y connecter.

Avant cela, Nous téléchargeons mysql-connector-java-8.0.28.zip de https://dev.mysql.com/downloads/connector/j/?os=26, nous allons le décompresser et dans “Pilote de base de données” nous téléchargerons le fichier JAR (Dans mon cas, mysql-connector-java-8.0.28.jar). Dans “Classe de base de données” Indiquer: 'com.mysql.jdbc.Driver’ et dans “Chaîne de connexion à la base de données” Mettre: 'jdbc:Mysql://DIRECCION_IP_MYSQL:3306/pwm_db?useTimezone=vrai&serverTimezone=UTC'. Entrez les identifiants de connexion dans “Nom d’utilisateur” et dans “Mot de passe”.

Si nous cliquons sur “Tester la connexion à la base de données” Nous vérifierons l’accès correct!

Ainsi, dans les paramètres par défaut, nous pouvons déjà indiquer que nous utilisons un “Base de données distante”.

Nous acceptons les modifications,

Nous devrons configurer les utilisateurs qui sont des administrateurs PWM.

Ainsi que ce que sera l’URL du Site.

Ou la configuration du service de messagerie pour envoyer des emails de validation aux emails des utilisateurs.

Et nous donnons “Sauvegarder” pour enregistrer vos paramètres & “Accepter”,

Si tout s’est bien passé, Nous pouvons essayer de nous connecter avec le compte administratif que nous avons indiqué, être un utilisateur Active Directory.

Parfait, après vous être connecté, nous verrons que nous n’avons activé que le palen Administration, et les rôles d’utilisateur ne sont pas visibles, C’est pourquoi nous sommes toujours en mode configuration. Cliquez sur Administration.

Cela nous mènera à ce site où nous pourrons parcourir et enquêter sur l’activité des utilisateurs…

Total, que si nous cliquons sur “Gestionnaire de configuration”,

Entrez le mot de passe pour accéder aux paramètres.

Et pour mettre le site en production on va cliquer sur “Restreindre la configuration”.

Il nous dit que nous devons être sûrs que nous nous sommes validés avec notre Active Directory pour le valider, “Accepter”,

Et immédiatement, le site est mis en production, lorsque vous êtes connecté avec un utilisateur Active Directory, même si nous sommes l’administrateur du Site PWM nous pouvons déjà remplir les questions de sécurité.

Si nous allons dans le menu principal, ce serait, Contrairement à un utilisateur normal qui ne verrait pas l’icône avec les fonctions administratives.

Se connecter en tant qu’utilisateur Active Directory normal,

Nous pouvons nous connecter avec un utilisateur Active Directory normal pour valider…

Vous nous demanderiez de respecter les réponses aux questions de sécurité.

Il nous indique qu’ils nous seront utiles à l’avenir si nous oublions notre mot de passe.

Et un utilisateur traditionnel est ce qu’il verrait par défaut. J’insiste pour que des fonctionnalités puissent être ajoutées afin que vous puissiez mettre à jour les données de votre compte, Peut rechercher d’autres utilisateurs, Mettre en place un OTP…

Que se passe-t-il en cas d’oubli d’un mot de passe ?,

Si nous cliquons sur “Mot de passe oublié”,

Nous aurons un assistant qui nous demandera de spécifier notre nom d’utilisateur.

Et évidemment, Les questions qui, une fois que nous aurons rempli, se poseront. Avec cela, l’utilisateur pourra réinitialiser son mot de passe en cas d’oubli. Nous pouvons également exiger d’autres méthodes d’authentification telles qu’un jeton ou une vérification par e-mail.

Activation de l’enregistrement de nouveaux utilisateurs,

Nous verrons dans les modules que nous avons différentes options que nous pouvons activer dans le portail public, ou dans le portail après l’authentification. Dans cet exemple simple, nous voyons comment activer “Enregistrement d’un nouvel utilisateur”,

Et nous indiquons en “Contexte de création” l’unité d’organisation où ces comptes seront stockés.

Cliquez sur ENREGISTRER pour enregistrer la configuration.

Et nous le validons, Nous voyons que nous avons déjà un nouveau bouton sur lequel ils peuvent cliquer pour enregistrer de nouveaux utilisateurs.

Activer OTP,

Nous allons voir comment activer un Token à utiliser comme seconde méthode de validation dans une situation qui nous intéresse. Oeil, pour l’instant, PWM ne permet pas de lui demander de connecter les utilisateurs, Mais c’est le cas lorsque vous apportez une modification à votre compte, Mais pas pour changer le mot de passe une fois connecté… ¿?

Nous activons OTP et optionnellement, nous pouvons le forcer ou non.

Nous vérifions que les clés OTP seront stockées dans la base de données et de manière cryptée. Nous enregistrons les modifications.

Et lorsque nous nous connectons avec un utilisateur, nous verrons une nouvelle icône pour configurer le jeton,

Si nous appuyons, un assistant apparaîtra où il indiquera des instructions en fonction de l’appareil que nous utilisons, l’utilisateur scannera le code QR et terminera l’assistant en validant le code.

Personnalisation du thème,

Nous ne pourrions pas fermer le post sans cela, mais par défaut PWM dispose de plusieurs thèmes bien plus modernes que l’interface classique. Nous pourrons sélectionner celui que nous aimons le plus et modifier manuellement le fichier CSS. S’il est vrai qu’il dispose d’un élément de menu pour cette fonctionnalité, je copie particulièrement le CSS et l’image d’arrière-plan lorsque le conteneur démarre.

Rien, Je vous laisse à titre d’exemple quelques captures d’écran avec le thème modifié, Couleurs de l’entreprise… Il s’agit du site Web d’accueil.

Il s’agit du portail une fois que l’utilisateur s’est authentifié.

Répondre à des questions en cas d’oubli de votre mot de passe….

Puits, prêt? Je pense que pour se faire une idée, cela peut être utile, PWM est un outil qui peut nous aider beaucoup lorsque cette gestion est un cauchemar ou comme je l’ai dit, nous oblige à y consacrer du temps de la part de l’informatique. Il est bon d’avoir un portail pour que nos utilisateurs puissent, Les clients ou les fournisseurs peuvent gérer les identifiants de manière indépendante.

Ale, Un câlin à tous, Merci si vous êtes arrivé jusqu’ici, Un câlin à tous ceux d’entre vous qui déplacent ce type de contenu à travers les réseaux sociaux. Puisse-t-il bien se passer, Succès!

Articles recommandés

Implémentation de Windows LAPS
Lire
Mise en œuvre de FSSO pour intégrer Fortigate à Active Directory
Lire
VPN avec Citrix NetScaler III - Authentification avec des certificats
Lire
Superviser les règles UTM web de notre firewall grâce à Centreon
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Un podcast pour l’informatique - Un NAS pour l’informatique

21 de March de 2022

Un podcast pour l’informatique - Audit de l’Active Directory

4 avril de 2022