Я ищу доступное решение, чтобы предложить своим пользователям Active Directory портал «самообслуживания» для сброса пароля в Интернете. (их около 150)
Многие из них не используют рабочие станции Windows и поэтому не могут сбросить собственный пароль.
Я искал в Google и нашел так много вариантов, что не знаю, как их все разобрать. Был ли у кого-нибудь положительный (или отрицательный) опыт использования каких-либо конкретных продуктов?
Да, существует множество различных решений, но все зависит от уровня обслуживания, которое вы хотели бы предложить своим пользователям. Вы действительно можете использовать компонент OWA для разрешения изменения пароля, но это не будет работать, если срок действия пароля пользователя истек или если учетная запись пользователя заблокирована. Это также не будет работать, если вы ввели пользователю временный пароль (его необходимо изменить при установке флага следующего входа). Доступно немного способов аудита или настроек для предотвращения атак по словарю и потенциально позволяющих злоумышленнику заблокировать ваши учетные записи.
Лучшее и доступное решение, которое я нашел, - это Password Reset PRO от. www.sysoptools.com. Я просмотрел множество решений и хорошо одни (Hitachi-ID и Microsoft ILS) стоят около 8-20 долларов на пользователя. В дешево Решения (их буквально много) НЕ безопасны для внешнего использования, заставят вас установить забавные базы данных и / или клиентское программное обеспечение и являются кошмаром для контроля изменений. Они есть не разработан для наружного применения. Продукт Password Reset PRO очень прост в установке, чрезвычайно безопасен и прост для наших пользователей. Мы обнаружили, что он находится на том же высоком уровне качества, что и Hitachi или Microsoft, но без высокой цены и намного проще в установке. Это позволяет пользователям получать доступ / регистрироваться даже с временным паролем. Процесс регистрации похож на многие современные банковские сайты, где вы выбираете изображение большого пальца и создаете ПИН-код доступа или защитное слово. Стоимость составляла около 3 долларов на пользователя, что отлично подходит для действительно безопасного корпоративного продукта. Их поддержка очень хороша, и они, кажется, очень много знают об Active Directory и безопасности. Удачи!
Если вы используете Outlook Web Access, я настоятельно рекомендую этот подход, как предложил Дьеда. Недавно я управлял смешанной средой ОС и столкнулся с той же проблемой.
Вот документ службы поддержки MS, связанный с этой проблемой. http://support.microsoft.com/kb/297121 Это было не так сложно, как кажется в документе, и хорошо работало для всех наших пользователей.
Как вы сказали, есть разные подходы к изменению пароля активного каталога. Одна из возможностей - использовать параметр изменения пароля в веб-доступе Outlook. Другой вариант - использовать ldaps-соединение и язык программирования по вашему выбору (php, perl, python, java), чтобы изменить unicodePW-атрибут пользователей. Библиотека PHP, которая обрабатывает эти вещи за вас, например, adldap (http://adldap.sourceforge.net).
Есть несколько методов, но я бы порекомендовал вам использовать сторонний инструмент, такой как инструмент самообслуживания Lepide Active Directory, поскольку этот инструмент позволяет всем пользователям самостоятельно изменять свой пароль. Это веб-инструмент, позволяющий всем пользователям войти в систему с их именем пользователя и паролем. Это также позволяет администратору войти в приложение и выйти из него. Этот инструмент был протестирован мной, и если вы хотите, вы также можете загрузить его бесплатную версию с ограничением количества пользователей до 50.
Как насчет бесплатного варианта?
В последнее время у меня не было возможности уделять проекту много времени, но много лет назад я запустил бесплатный инструмент, который делает то, что вам нужно, и многое другое. Он стабилен, но может быть сложно настроить, как и все, что связано с AD.
Я работал над новой версией MVC, но меня связали другие проекты. Я посмотрю, смогу ли я в ближайшее время вернуться в курс дела.
Кроме того, мы планировали поддерживать ADFS в следующем выпуске, чтобы ваши пользователи могли иметь встроенные возможности единого входа с другими приложениями.