Tutti conoscono la guerra che gli utenti possono scatenare con i propri account utente, che se sono andati in vacanza e hanno dimenticato la password, Ti giuro che l'ho scritto io 5 Tempi buoni… Bene, Bene, oggi abbiamo un documento top, Un portale web per l'autogestione degli account utente.

Per evitare di perdere tempo nell'IT, è bene delegare alcune attività agli utenti, e la gestione delle credenziali è uno di questi, oltre a rimuovere un % tempo importante delle nostre risorse, Perdiamo anche efficienza poiché il tempo di risposta non sarà immediato. Conseguentemente, Oggi vedremo PWM, un portale Web self-service per gli account utente in qualsiasi LDAP, come la nostra Active Directory.

Naturalmente il PWM è Open Source e ha cose molto, molto curiose, Ci permetterà di selezionare in modo granulare le opzioni che vogliamo implementare, comunque possa essere, Consentire la creazione di nuovi account utente, o attivare nuovi utenti, Cambia la tua password, Reimpostare la password se non è stata concordata sulla base di alcune domande (u Gettone errato, TUTTO…), Integrazione con l'helpdesk, Aggiornamento di alcuni campi utente… È disponibile in qualsiasi lingua, Il tema dell'interfaccia web è semplicemente personalizzabile per renderlo aziendale… Abbastanza interessante, Quindi ringraziamo i suoi autori e ricordati di collaborare con la community nel modo che più ti si addice 😉

Ovviamente l'installazione si basa su un container Docker che tra un minuto avremo in esecuzione. Se hai bisogno di installare Docker, dai un'occhiata al Documentazione ufficiale. Scarichiamo 'pwm-docker-image-2.0.1.tar’ di https://github.com/pwm-project/pwm/releases, lo carichiamo sulla macchina con Docker e avviamo il contenitore:

Docker Load --input=/tmp/pwm-docker-image-2.0.1.tar Docker Run -D --Name mipwm -p 8443:8443 pwm/pwm-webapp -v /config:/Home/OpenServices/PWM-config sudo Docker Start mipwm

Configurazione di PWM,

Apriamo un browser contro https://DIRECCION_IP_PWM:8443 Saremo lieti di ricevere una procedura guidata di configurazione, “Prossimo”,

Clicca su “Configurazione manuale” per configurarlo,

Accettiamo di uscire dalla procedura guidata di configurazione di base.

Ci chiede una password che sarà quella che useremo ogni volta che vorremo entrare per modificare la configurazione.

Accettare, Ci dice che siamo in modalità di configurazione e che saremo in grado di accedere senza account LDAP, fino a quando non li configuriamo e convalidiamo.

Quindi clicchiamo su “Editor di configurazione”,

Inserisci la password di configurazione,

E benvenuto nella configurazione, È davvero facile navigare nel menu a sinistra e individuare le opzioni di cui abbiamo bisogno. Abbiamo diverse viste che nasconderanno le funzionalità di base, ricoverato in ospedale o per niente.

Operazioni preliminari, se abbiamo intenzione di integrarlo con la nostra Active Directory, lo selezioneremo in “Impostazioni predefinite del fornitore LDAP”.

Abbracciamo il cambiamento,

e nel menu Impostazioni LDAP, dovremo creare una connessione contro la nostra Active Directory, indicheremo il/i server/i LDAP, ci collegheremo preferibilmente con LDAPS, Fare clic su Ottieni il certificato dal server. Dopo, Imposteremo l'account chiamato “Utente proxy LDAP” che sarà l'account utente del nostro AD che verrà utilizzato per modificare e reimpostare le password (quindi deve essere un utente con solo quella delega), Indicheremo anche il (o il) Base DN dove saranno i nostri utenti. E infine, dobbiamo indicare un account di prova per convalidare che possiamo apportare queste modifiche.

Cliccando su “Test del profilo LDAP” convaliderà la connessione.

Per non apportare modifiche allo schema di Active Directory, avremo bisogno di un server DB MySQL o MariaDB in cui PWM memorizzerà gli attributi di cui ha bisogno. Questo MySQL può essere eseguito sulla stessa macchina di Docker, in un contenitore o su una macchina dedicata. Con i seguenti comandi creeremo il database, un utente con una password e assegneremo le autorizzazioni all'utente a quel database:

CREA DATABASE pwm_db;
CREATE USER 'pwd_user'@'%' IDENTIFIED BY 'XXXXXXXXXX';
GRANT ALL ON pwm_db.* TO 'pwd_user'@'%';
PRIVILEGI DI SCARICO;

Così da “Impostazioni” > “Banca dati (Remoto)” > “Connessione” Dovremo connetterci ad esso.

Prima di allora, Scarichiamo mysql-connector-java-8.0.28.zip di https://dev.mysql.com/downloads/connector/j/?os=26, lo apriremo e in “Database Driver” caricheremo il file JAR (nel mio caso mysql-connector-java-8.0.28.jar). In “Classe database” Indicare: 'com.mysql.jdbc.Driver’ e in “Stringa di connessione al database” Mettere: 'JDBC:Mysql://DIRECCION_IP_MYSQL:3306/pwm_db?useTimezone=true&serverTimezone=UTC'. Inserisci le credenziali di accesso in “Nome utente” e in “Parola d’ordine”.

Se clicchiamo su “Verifica connessione al database” Verificheremo il corretto accesso!

Quindi nelle Impostazioni predefinite possiamo già indicare che utilizziamo un “Database remoto”.

Accettiamo modifiche,

Qualcosa che dovremo configurare è quali utenti sono amministratori PWM.

Così come quale sarà l'URL del Sito.

Oppure la configurazione del servizio di posta per inviare email di validazione alle email degli utenti.

E noi diamo “Salvare” per salvare le impostazioni & “Accettare”,

Se tutto è andato bene, Possiamo provare ad accedere con l'account amministrativo che abbiamo indicato, essere un utente di Active Directory.

Perfetto, dopo aver effettuato l'accesso vedremo che abbiamo solo l'amministrazione palen abilitata, e i ruoli utente non sono visibili, Questo è il motivo per cui siamo ancora in modalità di configurazione. Fare clic su Amministrazione.

Ci porterà a questo sito dove possiamo navigare e indagare sull'attività degli utenti…

Totale, che se clicchiamo su “Gestione configurazione”,

Inserisci la password per accedere alle Impostazioni.

E per mettere il sito in produzione cliccheremo su “Limita configurazione”.

Ci dice che dobbiamo essere sicuri di esserci convalidati con la nostra Active Directory per convalidarlo, “Accettare”,

E subito il sito viene messo in produzione, quando si è connessi con un utente di Active Directory, anche se siamo l'amministratore del sito PWM possiamo già compilare le domande di sicurezza.

Se andiamo al menu principale questo sarebbe, a differenza di un normale utente che non vedrebbe l'icona con le funzioni amministrative.

Accesso come normale utente di Active Directory,

Possiamo accedere con un normale utente di Active Directory per convalidare…

Ci chiederesti di rispettare le risposte alle domande di sicurezza.

Ci dice che saranno utili in futuro se dimentichiamo la nostra password.

E un utente tradizionale è ciò che vedrebbe per impostazione predefinita. Insisto sul fatto che si possano aggiungere funzionalità in modo che tu possa aggiornare i dati del tuo account, può cercare altri utenti, Configurare una OTP…

Cosa succede quando si dimentica una password,

Se clicchiamo su “Password dimenticata”,

Avremo un assistente che ci chiederà di specificare il nostro nome utente.

E ovviamente, Le domande che una volta compilate verranno fuori. In questo modo, l'utente sarà in grado di reimpostare la propria password in caso di dimenticanza. Potremmo anche richiedere altri metodi di autenticazione, come un token o una verifica via e-mail.

Abilitazione delle registrazioni di nuovi utenti,

Vedremo nei Moduli che abbiamo diverse opzioni che possiamo abilitare nel portale pubblico, o nel portale dopo l'autenticazione. In questo semplice esempio vediamo come abilitare “Registrazione nuovo utente”,

E noi indichiamo in “Contesto di creazione” l'unità organizzativa in cui verranno archiviati questi account.

Clicca su SALVA per salvare la configurazione.

E noi lo convalidiamo, Vediamo come abbiamo già un nuovo pulsante su cui potrebbero fare clic per registrare nuovi utenti.

Abilita OTP,

Vedremo come abilitare un Token da utilizzare come secondo metodo di validazione in una situazione che ci interessa. Occhio, per ora il PWM non consente di richiedere l'accesso degli utenti, ma lo fa quando apporti una modifica al tuo account, Ma non per cambiare la password una volta effettuato l'accesso… ¿?

Abilitiamo l'OTP e opzionalmente possiamo forzarlo o meno.

Verifichiamo che le chiavi OTP vengano memorizzate nel database e in modo crittografato. Registriamo le modifiche.

E quando accediamo con un utente vedremo una nuova icona per configurare il Token,

Se premiamo apparirà un assistente dove indicherà le istruzioni a seconda del dispositivo che utilizziamo, l'utente scansionerà il codice QR e terminerà l'assistente convalidando il codice.

Personalizzazione del tema,

Non potevamo chiudere il post senza questo, ma per impostazione predefinita PWM ha diversi temi che sono molto più moderni rispetto all'interfaccia classica. Saremo in grado di selezionare quello che ci piace di più e modificare manualmente il file CSS. Anche se è vero che ha una voce di menu per questa funzionalità, copio in particolare il CSS e l'immagine di sfondo all'avvio del contenitore.

Niente, Vi lascio come esempio alcuni screenshot con il tema modificato, Colori aziendali… Questo sarebbe il sito web principale.

Questo sarebbe il portale una volta che l'utente ha eseguito l'autenticazione.

Rispondere alle domande quando si dimentica la password….

Bene, pronto? Penso che per farsi un'idea possa essere utile, Il PWM è uno strumento che può aiutarci molto quando questa gestione è un incubo o come ho detto, ci impone di dedicarci del tempo dall'IT. È bene avere un portale per i nostri utenti, I clienti o i fornitori possono gestire le credenziali in autonomia.

Birra, Un abbraccio a tutti, Grazie se sei arrivato fin qui, Una coccola a tutti voi che muovete questo tipo di contenuti attraverso i social network. Che vada bene, Successi!