Кажется, что каждый магазин, использующий LDAP, в какой-то момент должен что-то сколотить, чтобы пользователи могли сбрасывать свои пароли, не беспокоя ИТ-персонал. Рабочий процесс почти всегда выглядит так:
На сервере это соответствует:
Правильно? Итак, кто-нибудь написал что-нибудь из этого, которым они делятся? Я бы предпочел использовать тот, в который было вложено немного больше мыслей, чем 10-минутную работу, которую, кажется, делают все.
Я быстро поискал Sourceforge, Freshmeat и т. Д. И не нашел ничего, что было бы заброшено.
Мы используем орда для смены пароля, но не уверен, подходит ли он для вашего рабочего процесса.
Это не лучший документированный проект, но он имеет то преимущество, что он довольно простой PHP с парой установщиков для различных версий Linux, которые быстро запускают и запускают его:
http://ltb-project.org/wiki/documentation/self-service-password/
Если вас беспокоит безопасность, я рекомендую использовать более широко поддерживаемый широко используемый пакет, поскольку я не знаю, насколько хорошо этот проект прошел через свои шаги.
phpLdapPasswd, но он больше не поддерживается.
ADSelfService Plus from ManageEngine доступна в бесплатной версии. Вам нужно будет проверить это самостоятельно, чтобы определить ограничения бесплатной версии, чтобы увидеть, соответствует ли она вашим потребностям.
Альтернативой указанной вами последовательности является Расширенные операции изменения пароля LDAP, который поддерживается современными серверами каталогов профессионального качества. Это расширенный запрос LDAP, который изменяет пароль при представлении существующего пароля (в отличие от сброса), а также может запрашивать сервер каталогов сгенерировать пароль, если это необходимо.
Есть ли способ заблокировать phpLDAPadmin чтобы "нормальные" пользователи могли входить в систему и управлять своей информацией (не знаю, просто мысль)? Возможно, на это стоит обратить внимание, если вы, ребята, используете OpenLDAP (конечно, я не знаю, какая у вас реализация LDAP ...)
В последнее время я проводил много теоретических / высокоуровневых исследований openLDAP и, вероятно, скоро буду внедрять новый сервер LDAP с phpLDAPadmin ...
К сожалению, я не знаю приложений для сброса пароля. Есть несколько способов смены паролей:
Есть админ-ldap в Ruby / Sinatra, ldap_password в Perl / Mojolicious и ldapchangepw в Python / Flask.
Мне не понравился подход admin-ldap или ldap_password к изменению паролей, поэтому я написал Gente. Он использует Изменить пароль расширенная операция LDAPv3. Я бы рекомендовал использовать его или ldapchangepw.