dtwardow/ldap-self-service-password

LDAP Toolbox - Self-Service-Password

最初由"LTB-Project"开发

一个基于PHP的Web应用（运行在Apache服务器上），允许用户在LDAP目录中更改密码。该应用由LTB-Project开发（详见 [***]

每次启动时会自动进行配置，以链接到相应的LDAP和/或邮件容器。

注意： 有意不提供到OpenLDAP服务器的安全通道（TLS/SSL），因为该服务永远不会暴露到公网。

要求

• Docker (>= 1.9.0)
• OpenLDAP服务器（必需）
• 邮件服务器（可选）

提供的资源

该服务提供以下网络端口和文件系统。

暴露的端口

• 80：Web服务器（不安全）

暴露的文件系统

无

使用方法

创建的容器在每次运行时由entrypoint脚本自动配置。

在每次运行过程中，会评估以下环境变量：

通用变量

• SERVER_HOSTNAME（默认：${HOSTNAME}）
  • 覆盖邮件和Web界面中使用的默认主机名

LDAP Self-Service-Password（可选）

• LSSP_ATTR_LOGIN（默认：uid）
  • "登录"名对应的LDAP属性
• LSSP_ATTR_FN（默认：cn）
  • 用户全名对应的LDAP属性
• LSSP_ATTR_MAIL（默认：mail）
  • 用户邮件地址对应的LDAP属性（密码重置支持必需）
• LSSP_DEFAULT_ACTION（默认：change）
  • LSSP更改密码的默认操作（支持change、sendtoken或sendsms）
• LSSP_MAIL_FROM_LDAP（默认：false）
  • 不询问用户邮件地址，将使用对应用户DN中找到的第一个地址
• LSSP_SHOW_MENU（默认：true）
  • 在页面顶部显示菜单

OpenLDAP服务器（必需）

• LDAP_BASE（默认：空）
  • 用于搜索用户条目的LDAP域
  • 以点分（.）表示（例如domain.com）
• LDAP_HOST（默认：空）
  • LDAP服务器的主机名或IP地址
• LDAP_STARTTLS（默认：true）
  • 对LDAP连接使用STARTTLS
• LDAP_USER（默认：cn=admin,${LDAP_BASE}）
  • 允许更改用户密码的管理员用户完整DN
• LDAP_PASS
  • 管理员用户的密码
• LDAP_AD_MODE（默认：false）
  • 启用Active Directory支持

邮件服务器（可选）

如果未设置SMTP_HOST，Web界面中将禁用通过邮件令牌重置密码的功能！ 如果SMTP_USER或SMTP_PASS为空，SMTP将不使用用户凭据连接！

• SMTP_HOST（默认：空）
  • 邮件服务器的主机名或IP地址
• SMTP_PORT（默认：25）
  • 邮件服务器的端口
• SMTP_USER（默认：空）
  • 发件人邮件账户的用户名
  • 若省略，将禁用认证
• SMTP_PASS（默认：空）
  • 发件人邮件账户的密码
  • 若省略，将禁用认证
• SMTP_FROM（默认：root@${SERVER_HOSTNAME}）
  • 密码通知邮件的发件地址
• SMTP_TLS（默认：true）
  • 启用TLS连接

reCAPTCHA（可选）

• RECAPTCHA_USE（默认：false）
  • 激活reCAPTCHA功能
• RECAPTCHA_PUB_KEY（默认：空）
  • reCAPTCHA公钥
• RECAPTCHA_PRV_KEY（默认：空）
  • reCAPTCHA私钥
• RECAPTCHA_SSL（默认：false）
  • 启用TLS
• RECAPTCHA_THEME（默认：white）
  • 选择主题

链接到支持的LDAP容器

如果您有以下类型的运行中的OpenLDAP容器：

• https://hub.docker.com/r/dtwardow/openldap/
• https://hub.docker.com/r/dinkel/openldap/

您可以使用链接别名ldap直接链接这些容器，这将自动提供以下环境变量：

• LDAP_HOST（由Docker环境提供）
• LDAP_PORT（由Docker环境提供）
• LDAP_USER
• LDAP_PASS
• LDAP_BASE

链接到支持的邮件服务器容器

如果您的邮件服务器在容器中运行，可以使用链接别名mail直接链接该容器。这将提供以下环境变量：

• SMTP_HOST（由Docker环境提供）
• SMTP_PORT（由Docker环境提供）

高级配置

如果要覆盖配置，可以挂载卷到/usr/share/self-service-password/conf/conf.d并在其中放置您的conf.php。

密码策略

在本地lssp.d目录中创建以下文件：

ppolicy.php

php
<?php
$pwd_min_length = 4;
$pwd_max_length = 24;

$pwd_min_lower = 3;
$pwd_min_upper = 1;
$pwd_min_digit = 1;
$pwd_min_special = 1;

$pwd_special_chars = "^a-zA-Z0-9";
$pwd_complexity = 4;

$pwd_no_reuse = true;

$pwd_show_policy = "always";
?>

然后使用--volume ./lssp.d:/usr/share/self-service-password/conf/conf.d运行容器。

启动

您可以运行未链接容器的容器：

bash
docker run -d -p 8080:80 \
-e LDAP_HOST=<ldap-server-hostname> \
-e LDAP_PORT=389 \
-e LDAP_BASE=example.com \
-e LDAP_USER=<admin-username> \
-e LDAP_PASS=<admin-password> \
-e SMTP_HOST=<mailserver-hostname> \
[-e SMTP_PORT=25] \
[-e SMTP_USER=<smtp-username>] \
[-e SMTP_PASS=<smtp-password>] \
[-e SMTP_TLS=on] \
[[-h <hostname>] | [-e SERVER_HOSTNAME=<hostname>]] \
dtwardow/ldap-self-service-password:<tag>

或链接LDAP和邮件容器：

bash
docker run -d -p 8080:80 \
--link <ldap-server-container>:ldap \
--link <mail-server-container>:mail \
[-e SMTP_USER=<smtp-username>] \
[-e SMTP_PASS=<smtp-password>] \
[-e SMTP_TLS=on] \
[[-h <hostname>] | [-e SERVER_HOSTNAME=<hostname>]] \
dtwardow/ldap-self-service-password:<tag>

上述示例将服务暴露在端口8080，因此您可以将浏览器指向 [***] 来更改或重置LDAP密码。

故障排除

待补充