LDAP Tool Box Self Service Password

镜像概述和主要用途

LDAP Tool Box Self Service Password 是一款基于 PHP 开发的应用程序，旨在允许用户自助管理其 LDAP 目录中的密码。该应用支持标准 LDAPv3 目录服务（如 OpenLDAP、OpenDS、ApacheDS、Sun Oracle DSEE、Novell 等）及 Active Directory 环境，提供安全、灵活的密码更改与重置功能，减少管理员手动操作负担，提升用户自助服务体验。

核心功能和特性

目录服务兼容性

• 多目录支持：兼容标准 LDAPv3 目录服务及 Active Directory
• Samba 模式：支持更改 Samba 密码
• Active Directory 模式：针对 AD 环境优化的密码管理功能

密码策略管理

• 本地密码策略控制：
  • 最小/最大长度限制
  • 禁止字符配置
  • 大小写字母、数字及特殊字符计数器
  • 旧密码复用检查
  • 密码与登录名相同性检查
  • 字符类别复杂度要求（不同类别的字符组合）

密码重置方式

• 安全问题重置：通过预设问题验证身份
• 邮件挑战重置：发送包含令牌的邮件进行验证
• SMS 重置：通过外部 Email-to-SMS 服务或 SMS API 发送验证信息

增强功能

• SSH 密钥管理：支持在 LDAP 目录中更改 SSH 密钥
• 验证码保护：内置 Captcha 功能，防止自动化攻击
• 操作通知：密码更改后发送邮件通知
• 钩子脚本：支持密码更改前后执行自定义脚本
• 帮助信息：提供密码策略及操作指引的帮助消息

使用场景和适用范围

适用场景

• 企业内部 IT 环境：员工自助更改 LDAP/AD 账户密码，减少管理员工作量
• 多目录服务架构：同时管理标准 LDAP 与 Active Directory 环境的密码
• 安全合规需求：需强制密码复杂度策略、操作审计及通知的场景
• 远程用户支持：通过邮件/SMS 验证实现远程密码重置，无需物理接触

适用范围

• 基于 LDAPv3 协议的目录服务（OpenLDAP、ApacheDS 等）
• Active Directory 域环境
• Samba 服务器环境
• 需要用户自助密码管理的中小型至大型组织

环境要求

系统依赖

• PHP 版本：7.0 及以上
• PHP 扩展：
  • php-curl（用于 haveibeenpwned API 集成）
  • php-gd（验证码生成）
  • php-filter（数据过滤）
  • php-ldap（LDAP 连接）
  • php-mbstring（邮件重置功能）
  • php-openssl（令牌加密，通常内置）
• Smarty 模板引擎：3.x 版本
• 加密支持：需满足以下任一条件：
  • PHP 7+ 内置函数
  • libsodium 库
  • 可读取 /dev/urandom
  • 安装 php-mcrypt 扩展
• 邮件配置：PHP 邮件服务器（用于发送重置邮件）
• 会话配置：PHP 会话管理（用于跟踪重置流程）

使用方法和配置说明

Docker 部署

1. 基础 Docker Run 命令

docker run -d \
  --name self-service-password \
  -p 8080:80 \
  -e LDAP_SERVER_URI="ldap://ldap.example.com:389" \
  -e LDAP_BIND_DN="cn=admin,dc=example,dc=com" \
  -e LDAP_BIND_PASSWORD="admin_password" \
  -e LDAP_BASE_DN="ou=users,dc=example,dc=com" \
  -e PASSWORD_MIN_LENGTH=8 \
  -e RESET_METHOD="mail" \
  -e SMTP_SERVER="smtp.example.com" \
  -e SMTP_PORT=587 \
  -e SMTP_USER="***" \
  -e SMTP_PASSWORD="smtp_password" \
  ltbproject/self-service-password:latest

2. Docker Compose 配置示例

version: '3'
services:
  self-service-password:
    image: ltbproject/self-service-password:latest
    container_name: self-service-password
    ports:
      - "8080:80"
    environment:
      # LDAP 配置
      LDAP_SERVER_URI: "ldap://ldap.example.com:389"
      LDAP_BIND_DN: "cn=admin,dc=example,dc=com"
      LDAP_BIND_PASSWORD: "admin_password"
      LDAP_BASE_DN: "ou=users,dc=example,dc=com"
      LDAP_USER_FILTER: "(&(objectClass=inetOrgPerson)(uid={login}))"
      
      # 密码策略
      PASSWORD_MIN_LENGTH: 8
      PASSWORD_MAX_LENGTH: 64
      PASSWORD_FORBIDDEN_CHARS: "\"'\\ "
      PASSWORD_COMPLEXITY: "2"  # 至少包含 2 类字符（大小写、数字、特殊字符）
      PASSWORD_REUSE_CHECK: "3"  # 禁止复用最近 3 次密码
      
      # 重置配置
      RESET_METHOD: "mail"  # 支持 mail, questions, sms
      MAIL_FROM: "***"
      MAIL_SUBJECT: "密码重置请求"
      
      # SMTP 配置（用于邮件重置）
      SMTP_SERVER: "smtp.example.com"
      SMTP_PORT: 587
      SMTP_USER: "***"
      SMTP_PASSWORD: "smtp_password"
      SMTP_ENCRYPTION: "tls"
      
      # 验证码配置
      CAPTCHA_ENABLED: "true"
    volumes:
      - ./config:/var/www/html/conf  # 挂载自定义配置文件
    restart: unless-stopped

核心配置参数说明

自定义配置文件

应用配置文件位于容器内 /var/www/html/conf/config.inc.php，可通过挂载本地目录自定义配置：

# 本地配置文件示例（config/config.inc.php）
<?php
$ldap_server_uri = "ldap://ldap.example.com:389";
$ldap_bind_dn = "cn=admin,dc=example,dc=com";
$ldap_bind_password = "admin_password";
$ldap_base_dn = "ou=users,dc=example,dc=com";
$password_min_length = 10;
$password_complexity = 3;  # 至少 3 类字符
$reset_method = "questions";  # 使用安全问题重置
?>

挂载到容器：

docker run -d \
  --name self-service-password \
  -p 8080:80 \
  -v ./config:/var/www/html/conf \
  ltbproject/self-service-password:latest

相关资源

官方文档

完整文档：[***]

下载与安装

• 源码包及 Debian/Red Hat 包：[***]
• 官方仓库：Debian/Red Hat 仓库配置见 安装指南

源代码

GitHub 仓库：[***]