Todo mundo conhece a guerra que os usuários podem travar com suas contas de usuário, que se eles saíram de férias e esqueceram sua senha, Eu juro para você que eu escrevi 5 Tempos bons… Poço, Bem, hoje temos um documento importante, Um portal web para autogestão de contas de utilizador.

Para evitar pérdidas de tiempo en IT es bueno delegar ciertas tareas en los usuarios, y la gestión de sus credenciales es una de ellas, a parte de quitar un % importante del tiempo de nuestros recursos, también perdemos eficiencia ya que el tiempo de respuesta no será inmediato. Consequentemente, Hoje vamos ver PWM, un portal web Self-Service para las cuentas de usuario de cualquier LDAP, como pueda ser nuestro Directorio Activo.

Por supuesto PWM es Open Source y tiene cosas muy muy curiosas, nos permitirá granularmente seleccionar las opciones que queremos implementar, como pueda ser, permitir crear cuentas de usuario nuevas, o activar usuarios nuevos, cambiar su contraseña, resetear la contraseña si no se acuerda en base a unas preguntas (u Token mal, TOTP…), integración de para el HelpDesk, actualización de ciertos campos de usuario… Está disponible en cualquier idioma, el tema del interfaz web es sencillamente personalizable para hacerlo corporativo… Bastante interesante, así que se lo agradecemos a sus autores y recordar colaborar con la comunidad de la manera que mejor os venga 😉

Como no la instalación se basa en un contenedor de Docker que en un minutito tendremos corriendo. Si necesitas instalar Docker echa un vistazo a la Documentação oficial. Nos descargamos ‘pwm-docker-image-2.0.1.tar’ de https://github.com/pwm-project/pwm/releases, lo cargamos a la máquina con Docker y arrancamos el contenedor:

docker load --input=/tmp/pwm-docker-image-2.0.1.tar
docker run -d --name mipwm -p 8443:8443 pwm/pwm-webapp  -v /config:/home/openservices/pwm-config
sudo docker start mipwm

Configurando PWM,

Abrimos un navegador contra https://DIRECCION_IP_PWM:8443 nos dará la bienvenida a un asistente de configuración, “Próximo”,

Clique em “Manual Configuration” para configurarlo,

Aceptamos para salir del asistente básico de configuración.

Nos solicita una contraseña que será la que usemos siempre que queramos entrar a modificar la configuración.

Aceitar, nos indica que estamos en modo configuração y que podremos loguearnos sin cuentas LDAP, hasta que las configuremos y las validemos.

Então clicamos em “Editor de Configuração”,

Introducimos la contraseña de configuración,

Y bienvenidos a la configuración, realmente es sencillo de navegar por el menu izquierdo y localizar las opciones que necessitemos. Tenemos varias vistas que ocultarán características Básicas, internedidas o nada.

Primeiras coisas, si lo vamos a integrar con nuestro Directorio Activo, lo seleccionaremos en “LDAP Vendor Default Settings”.

Aceptamos el cambio,

Y en menú de configuración de LDAP, tendremos que crear una conexión contra nuestro Directorio Activo, indicaremos el o los servidores LDAP, conectaremos con LDAPS preferiblemente, pulsaremos en obtener el certificado desde el servidor. Depois, configuraremos la cuenta llamada “LDAP Proxy User” que será la cuenta de usuario de nuestro AD que usará para cambiar y resetear contraseñas (así que debe ser un usuario con únicamente esa delegación), además indicaremos la (o las) base DN donde estarán nuestros usuarios. Y por último deberemos indicar una cuenta de pruebas para validar que podemos realizar dichos cambios.

Al pulsar en “Test LDAP Profile” nos validará la conexión.

Para no hacer cambios en el esquema del AD, necesitaremos un servidor de BD de MySQL o MariaDB donde PWM almacenará los atributos que necesite. Este MySQL puede correr en la misma máquina que Docker, en un contenedor o en una máquina dedicada. Con los siguientes comandos crearemos la base de datos, un usuario con una contraseña y le asignaremos permisos al usuario a dicha BD:

CREATE DATABASE pwm_db;
CREATE USER 'pwd_user'@'%' IDENTIFIED BY 'XXXXXXXXXX';
GRANT ALL ON pwm_db.* TO 'pwd_user'@'%';
PRIVILÉGIOS FLUSH;

Así que desde “Configurações” > “Base de dados (Remote)” > “Conexão” deberemos conectarnos a ella.

Antes de ello, descargamos mysql-connector-java-8.0.28.zip de https://dev.mysql.com/downloads/connector/j/?os=26, lo descomprimiremos y en “Database Driver” subiremos el fichero JAR (en mi caso mysql-connector-java-8.0.28.jar). Em “Database Class” Indicar: ‘com.mysql.jdbc.Driver’ e em “Database Connection String” Pôr: ‘jdbc:Mysql://DIRECCION_IP_MYSQL:3306/pwm_db?useTimezone=true&serverTimezone=UTC’. Introducimos los credenciales de acceso en “Nome de usuário” e em “Senha”.

Se clicarmos em “Test Database Connection” verificaremos el acceso correcto!

Así que en los Settings predeterminados ya le podremos indicar que usamos como almacenamiento una “Remote Database”.

Aceptamos los cambios,

Algo que deberemos configurar es qué usuarios son administradores de PWM.

Así como cuál será la URL del Sitio.

O la configuración del servicio de correo para el envío de mails de validación a los mails de los usuarios.

Y le damos a “Salvar” para guardar la configuración & “Aceitar”,

Si ha ido todo bien, podremos probar a loguearnos con la cuenta administrativa que hayamos indicado, siendo un usuario del Directorio Activo.

Perfeito, tras loguearnos veremos que unicamente tenemos el palen de Administración habilitado, y no se ven las funciones de usuario, isto es por que todavía seguimos en el modo de configuração. Pulsamos em Administração.

Nos levará a este sítio onde poderemos curiosar e investigar a atividade dos utilizadores…

Total, Que si pulsamos en “Configuration Manager”,

Introduzimos a senha de acesso à la Configuração.

Y para colocar em produção o sitio pulsaremos en “Restringir a Configuração”.

Indicamos que temos que estar seguros de habernos validado com o nosso Diretório Ativo para validarlo, “Aceitar”,

E imediatamente o sítio se pôs em produção, ao estar logueados com um utilizador de Directorio Ativo, embora seamos o administrador do Sitio PWM podremos já cumprir as perguntas de segurança.

Si vamos ao menu principal este sería, a diferença de um utilizador normal que no vería el icono con las funciones administrativas.

Accediendo como um utilizador normal de Directorio Activo,

Podemos loguearnos com um utilizador normal del Active Directory para validar…

Nos solicitaría el cumprimento de las respuestas a las questions de seguridad.

Nos indica que nos servirán a futuro si esquecemos a nossa senha.

Y um utilizador tradicional é o que vería por defecto. Insisto se podem adicionar funcionalidades para que actualice datos de su cuenta, pueda realizar busquedas de outros utilizadores, configurar un OTP…

Qué pasa quando se esquece una senha,

Se clicarmos em “Contraseña olvidada”,

Nos saldrá un asistente que solicitará que especifiquemos o nosso nome de utilizador.

Y obviamente, saldrán las perguntas que una vez cumplimentamos. Com isto, o utilizador poderá restabelecer a sua palavra-passe em caso de esquecimento. Além disso, podemos exigir outros métodos de autenticação como um Token ou uma verificação por email.

Ativar novos registos de utilizadores,

Veremos nos Módulos que temos diferentes opções que poderemos ir ativando no portal público, ou no portal após a sua autenticação. Neste exemplo simples vemos como ativar “Registo de Novo Utilizador”,

E indicamos em “Contexto de Criação” a OU onde estas contas serão armazenadas.

Clicamos em SAVE para guardar a configuração.

E validamos, vemos como já temos um novo botão que poderiam clicar para registar novos utilizadores.

Ativar OTP,

Veremos cómo habilitar un Token para usarlo como um segundo método de validación en alguma situação que nos interessa. Olho, por agora PWM não permite requerirlo para fazer el logon de los usuarios, pero sí para quando realiza alguma mudança na sua conta, peeero no para cambiarse la senha una vez logueado… ¿?

Habilitamos OTP e opcionalmente podremos forçarlo o no.

Verificamos que las claves de OTP se armazenarán na base de dados y de forma cifrada. Grabamos los cambios.

Y veremos quando nos logueamos com um utilizador um ícone novo para configurarse el Token,

Si pulsamos saldrá um assistente onde nos indicará dependiendo del dispositivo que usemos unas instruções, o utilizador irá digitalizar o código QR e finalizar o assistente validando o código.

Personalizando o tema,

não podíamos encerrar o post sem isto, mas por defeito o PWM dispõe de vários temas que são bastante mais modernos do que a interface clássica. Poderemos selecionar o que mais nos agradar e modificar manualmente o ficheiro CSS. Embora seja certo que disponha de um ponto de menu para esta funcionalidade, eu particularmente copio o CSS e a imagem de fundo quando o contêiner arranca.

Nada, deixo-vos como exemplo alguns pantallazos com o tema modificado, cores corporativas… esta seria a página inicial.

Este seria o portal uma vez que o utilizador se tenha autenticado.

Respondendo às perguntas quando se te esquece a password….

Poço, pronto? acho que para termos uma ideia pode servir-nos, PWM é uma ferramenta que pode ajudar-nos muito quando esta gestão é um pesadelo ou o dito, requer que lhe dediquemos algum tempo desde o IT. É bom dispor de um portal para que os nossos utilizadores, clientes ou fornecedores possam gerir as credenciais de forma independente.

Cerveja, um abraço a todos, obrigado se chegaram até aqui, um arrumaco a todos os que movem este tipo de conteúdo pelas redes sociais. Que corra bem, sucessos!