51CTO_开源的密码自助平台Self Service Password

原创 于 2025-10-27 17:23:02 发布 · 712 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #LDAP #AD #Docker #SSP #ltb #安全可控

开源的密码自助平台Self Service Password

开源的密码自助平台 Self Service Password封面图.png

阅读原文

建议阅读原文,始终查看最新文档版本,获得最佳阅读体验:《开源的密码自助平台Self Service Password》

https://docs.dingtalk.com/i/nodes/gpG2NdyVX3Z65nZ2sydD1x1jWMwvDqPk

引言

企业环境中,一般都是将各个系统的账号统一对接到活动目录中,方便管理,用户也不用记住一堆用户名和密码,修改密码也比较方便,很多企业都会自己部署密码自助修改平台,方便用户自行重置密码。我在github上发现了一个开源项目,可以实现自助修改密码,操作简单,页面支持多语言,在生产环境中应用也是完全OK的,我写了一盘文章介绍这个开源项目,并详细说明了如何利用docker快速部署,以及验证。

LTB简介

LTB(LDAP Tool Box)旗下的 Self Service Password 是一个用于 LDAP / Active Directory 的自助密码管理 Web 应用。🚀
用户可以通过这个系统自己修改密码、重置密码、解锁账户等,而无需 IT 人员干预,大幅减轻密码相关运维负担。该项目在 GitHub 上以 MIT/GPL 类开源许可证发布,并提供 Docker 镜像方便部署。

核心特性

  • 支持标准 LDAPv3 目录服务(如 OpenLDAP、389 Directory、ApacheDS),同时也兼容 Active Directory 模式。

  • 本地密码策略支持:密码最小/最大长度、禁止字符、自定义复杂度规则、禁止重用历史密码等。

  • 提供多种重置方式:邮件令牌、中途安全问题、SMS(通过外部服务接口)等。

  • 带有验证码机制(防止自动脚本滥用)、邮件通知、钩子脚本(允许在密码变更前后插入自定义逻辑)。

  • 提供官方 Docker 镜像,部署方式灵活:从源码、打包、Docker 均可使用。

优点与适用场景(可在你的文章中强调)

  • 部署轻量、运维成本低 — 只需 PHP + LDAP 扩展环境,借助 Docker 可以快速上线。

  • 可扩展性强 — 钩子机制、外部服务接口(如邮件、SMS)、多语言支持都具备。

  • 安全性可控 — 支持 SSL / LDAPS、证书验证、密码策略、禁用账户检查等。

  • 用户友好 — 对终端用户界面直观,减少忘记密码带来的支持工单量。

相似的开源项目

pwm-project/pwm: pwm

github网址

https://github.com/ltb-project/self-service-password

官方文档

LDAP Tool Box Self Service Password documentation — LDAP Tool Box Self Service Password documentation

用docker快速部署

官方文档:Installation — LDAP Tool Box Self Service Password documentation

管理AD证书

文档:LDAP connection — LDAP Tool Box Self Service Password documentation

https://ltb-project.org/documentation/active_directory_certificates.html

如果要通过LTB来更改域账号的密码,则必须要通过LDAPS连接到AD,也就是要用到证书。其实这个证书就是CA的根证书,所以可以通过任意一台加入域的计算机导出根证书。

首先得有证书颁发机构,如果还没有安装,可以参考我写的这篇文章:《自建bitwarden密码管理服务器》

然后随便找一台加入域的计算机,运行窗口中输入mmc,然后回车进入Microsoft控制台

image.png

添加/删除管理单元

image.pngimage.png

image.png

我的环境中,证书颁发机构是直接部署在域控制器上的,下图红色箭头所示的就是证书颁发机构的根CA,我们就是要导出这个root ca

image.png

image.png

image.png

image.pngimage.png

image.pngimage.png

如此,便成功导出了root ca。

image.png

将到处的root ca文件放到服务器的/home/ubuntu目录中,并复制到/etc/ssl/certs/目录下。下文的docker要用到(通过卷映射)

创建配置文件

先创建一个目录,配置文件放到这个目录里

mkdir ltb
cd ltb

下面是我使用的配置文件

参考文档:LDAP connection — LDAP Tool Box Self Service Password documentation

<?php
// ======================================================
// Self Service Password (SSP) 配置文件
// 环境:Microsoft Active Directory + LDAPS
// 作者:tornadoami
// 网站:https://docs.dingtalk.com/i/nodes/gpG2NdyVX3Z65nZ2sydD1x1jWMwvDqPk
// ======================================================

// 🔐 SSP 内部加密密钥(用于临时令牌、验证码等加密)
//   可自定义为复杂字符串,生产环境务必修改
$keyphrase = "mysecret";

// 🧩 调试模式
//   true:启用详细日志(调试阶段用)
//   false:生产环境建议关闭
$debug = true;

// 🏢 启用 Active Directory 模式
$ad_mode = true;

// 👤 LDAP 用户过滤器
//   - sAMAccountName:登录用户名属性
//   - userAccountControl:...:排除被禁用账户
$ldap_filter = "(&(objectClass=user)(sAMAccountName={login})(!(userAccountControl:1.2.840.113556.1.4.803:=2)))";

// ⚙️ AD 特定选项
$ad_options['force_unlock'] = true;                // 密码修改时自动解锁账户
$ad_options['change_expired_password'] = true;     // 支持修改过期密码

// 🌐 LDAP 服务器地址(LDAPS 模式)
// 注意:LDAP的url,不应使用ip地址,而是应该用服务器的计算机全名,这是因为证书中的san通常都是计算机名而不是ip地址,如果用ip地址,则会导致绑定失败。
$ldap_url = "ldaps://dc-t.dltornado2.com";

// 🧷 禁用 StartTLS(LDAPS 已使用 SSL)
$ldap_starttls = false;

// 🧾 设定 LDAP SSL 安全参数(通过 putenv 注入)
//   demand = 必须验证服务器证书(生产推荐)
//   allow  = 允许但不强制验证(测试时可用)
putenv("LDAPTLS_REQCERT=demand");

// 📜 指定 AD 根证书路径(容器挂载时定义)
//   注意:必须与 docker run 中的挂载路径一致
putenv("LDAPTLS_CACERT=/etc/ssl/certs/dltornado2.com-root-ca.cer");

// 🔑 绑定账户(具有 LDAP 查询权限)
//   建议使用仅限查询权限的服务账户
$ldap_binddn = "CN=it.django,OU=SpecialAccount,OU=myse,DC=dltornado2,DC=com";
$ldap_bindpw = "<此处要输入域用户it.django的密码>";

// 🗂️ LDAP 搜索起始点(用户所在 OU)
$ldap_base = "OU=myse,DC=dltornado2,DC=com";

// 👥 登录使用的属性(AD 中通常是 sAMAccountName)
$ldap_login_attribute = "sAMAccountName";

// ======================================================
// ✉️ 邮件通知功能(可选)
// ======================================================
// 如果需要在用户密码修改后发送确认邮件,请启用以下配置

$mail_attribute = "mail";          // AD 邮箱属性字段
$mail_from = "noreply@dltornado2.com";
$mail_from_name = "密码自助系统";
$mail_signature = "此邮件由系统自动发送,请勿回复。";

$mail_smtp_server = "smtp.dltornado2.com";
$mail_smtp_port = 587;
$mail_smtp_auth = true;
$mail_smtp_user = "noreply@dltornado2.com";
$mail_smtp_password = "你的SMTP密码";
$mail_tls = true;

// ======================================================
// ✅ 结束
// ======================================================
?>

运行容器

官方提供了容器镜像

注意:LDAP的url,不应使用ip地址,而是应该用服务器的计算机全名,这是因为证书中的san通常都是计算机名而不是ip地址,如果用ip地址,则会导致绑定失败。

docker run -d \
  -p 8001:80 \
  -v /home/ubuntu/ltb/:/var/www/conf/ \
  -v /home/ubuntu/dltornado2.com-root-ca.cer:/etc/ssl/certs/dltornado2.com-root-ca.cer:ro \
  -e LDAP_URL="ldaps://dc-t.dltornado2.com" \
  -e LDAP_TLS_CACERTFILE="/etc/ssl/certs/dltornado2.com-root-ca.cer" \
  -e LDAP_TLS_REQCERT="demand" \
  docker.io/ltbproject/self-service-password:latest

image.png

验证

image.png

我随便选了一个用户,测试能否正常修改密码

image.png

密码修改成功

image.png

image.png

验证

[外链图片转存中…(img-dcKsBvVf-1761556967594)]

我随便选了一个用户,测试能否正常修改密码

[外链图片转存中…(img-UWKL5OqB-1761556967594)]

密码修改成功

[外链图片转存中…(img-YxbG5q6w-1761556967594)]

[外链图片转存中…(img-l6mU15Cy-1761556967594)]

梦幻智能logo-01(无水印).png

大数据领域存算分离技术的开源解决方案
大数据洞察的博客
05-08 939
本文旨在全面介绍大数据领域中存算分离技术的开源解决方案,帮助读者理解其核心概念、技术原理和实际应用。我们将重点探讨开源生态系统中可用的存算分离解决方案,分析它们的架构设计、性能特点和适用场景。本文首先介绍存算分离的基本概念和背景,然后深入分析开源解决方案的技术架构。接着,我们将通过数学模型和实际代码示例详细解释技术原理,并提供项目实战案例。最后,我们将讨论应用场景、工具资源和未来发展趋势。存算分离(Storage-Compute Separation)
大数据领域的化工数据安全管理
AI天才研究院
04-21 1103
化工行业作为国民经济的重要支柱产业,其生产运营过程中产生了海量的工艺数据、设备数据、环境数据和人员数据。随着数字化转型的深入,这些数据已成为企业核心资产,同时也面临着前所未有的安全风险。本文旨在系统性地探讨化工行业在大数据环境下的数据安全管理策略、技术实现和最佳实践。化工数据的特点和分类数据安全风险识别与评估数据安全管理框架构建关键技术实现方案合规性要求和行业标准首先介绍背景和基本概念然后深入分析核心管理框架和技术原理接着通过实际案例展示具体实现最后讨论应用场景和未来趋势。
自助修改ldap用户账号密码
ding_zk的博客
01-29 1200
重置密码,提交后会往指定邮箱发送重置连接,按照步骤操作完成重置。
Self Service Password部署
不一样的精彩
04-19 8430
Self Service Password部署,AD、LADP自助密码服务平台
Self Service Password部署踩坑记录
qq_33574974的博客
12-26 3316
LDAP,AD域配置,self-service-password 自助修改Ad密码
LDAP Tool Box Self Service Password
x10n9的博客
07-13 1512
self-service-password安装配置
docker方式启动self-service-password
完颜振江
09-06 1113
OpenLdap配置(需要自定义配置的),需要配置文件($PWD/config.inc.php) Mail配置(需要自定义配置的),需要配置文件($PWD/config.inc.php) 开启复杂密码策略,需要配置文件($PWD/config.inc.php) 重启服务 效果展示
AD域控&LDAP在线密码修改及自助找回密码开源平台Self Service Password 一键安装脚本使用说明)
最新发布
大刘讲IT
06-28 2364
Self Service Password (SSP) 是一款专为LDAP/AD环境设计的开源密码自助服务系统,支持密码重置、修改和多因素认证等功能。本文介绍了一个针对Debian 12系统优化的SSP一键安装脚本,提供全新安装、升级和重新安装等多种模式,自动处理依赖和配置问题。脚本支持本地安装包检测、错误自动修复和安全配置生成,并包含Apache优化设置。安装过程涵盖环境检查、依赖安装、SSP部署到最终验证等完整步骤,适用于企业、教育机构等多种场景,能显著降低IT管理成本,提升用户体验。
从 0 开始搭建 IoT 平台
GitChat
07-29 8296
课程背景 物联网应用开发,并不像 Web 开发那样有固定的模式和框架可以学习,开发者往往还是需要从协议这一层慢慢往上搭积木,学习曲线比较陡。本课程结合物联网应用开发常用的设计模式以及作者多年的开发经验,带你从 0 开始搭建一个物联网平台,希望本课程所体现的架构和思路能够帮助你少走弯路、少踩坑。 课程亮点 从 0 开始搭建专属物联网平台 大量实战代码,手把手逐行讲解 使用开源组件,掌握大厂设计思路...
OSSIM开源安全信息管理系统(十七)
m0_47470899的博客
12-22 869
2021SC@SDUSC 七、Agent部分源代码分析 1、Agent 简介 OSSIM Agent中所有脚本采用 Python 编写,负责从安全设备采集相关信息(比如报警日志等),并将采集到的各类信息统一格式,最后将这些数据传至 Server。从采集方式上看,Agent 属于主动采集,可以形象理解为由OSSIM Server 安插在各个监控网段的“耳目”,由它们收集数据,并主动推送到 Collector 中,然后 Collector 又连接着消息队列系统、缓存系统及存储系统。 Agent 相关目录在
self-service-password:在 LDAP 目录中更改和重置密码的 Web 界面
07-24
LDAP 工具箱自助服务密码 介绍 Self Service Password 是一个 PHP 应用程序,它允许用户在 LDAP 目录中更改他们的密码。 该应用程序可用于标准 LDAPv3 目录(OpenLDAP、OpenDS、ApacheDS、Sun Oracle DSEE、Novell 等)和 Active Directory。 它具有以下特点: Samba 模式更改 Samba 密码 活动目录模式 本地密码策略: 最小/最大长度 禁止字符 大、小、数字或特殊字符计数器 重用旧密码检查 密码与登录相同 复杂性(不同类别的字符) 帮助信息 按问题重置 通过邮件挑战重置(通过邮件发送令牌) 通过短信重置(通过外部电子邮件 2 短信服务或短信 API) 更改 LDAP 目录中的 SSH 密钥 验证码(内置) 密码更改后的邮件通知 更改密码前后的钩子脚本 先决条件 PHP(7
self-service-password搭建文档
08-15
self-service-password搭建文档 通过此应用的搭建,可实现员工自助通过邮箱自助恢复忘记的AD密码,有效减轻IT人员工作量
self-service-password-master.zip
08-29
配置完成后可用户自己修改ldap密码,也可以通过邮件重设密码 官方下载地址:https://github.com/ltb-project/self-service-password 官方简介: Self Service Password is a PHP application that allows users to change their password in an LDAP directory. The application can be used on standard LDAPv3 directories (OpenLDAP, OpenDS, ApacheDS, Sun Oracle DSEE, Novell, etc.) and also on Active Directory. It has the following features: Samba mode to change Samba passwords Active directory mode Local password policy: Minimum/maximum length Forbidden characters Upper, Lower, Digit or Special characters counters Reuse old password check Complexity (different class of characters) Help messages Reset by questions Reset by mail challenge (token sent by mail) Reset by SMS (through external Email 2 SMS service) reCAPTCHA (Google API) Mail notification after password change
SelfServiceADReset:一个非常简单的Active Directory自助密码重置工具-开源
05-12
该代码是从最初由Leon Garcia https://sourceforge.net/users/leongarcia编写的ADIPART(在SourceForge上)复制并简化的。 此简化版本不需要数据库,而只需为所有AD用户提供电子邮件字段。 输入用户名或邮件地址后,用户会收到一封带有链接的电子邮件,以重置其密码。 非常简单,需要具有LDAP和SSLPHP​​ 5:从这里:http://www.php.net/manual/fr/install.windows.iis7.php需要导出CA证书(在base64中没有私钥)当然是IIS 7(可能可以在6上运行,但我没有尝试过)
程序人生:依托学习型组织提升职业生涯竞争力
AI天才研究院
05-06 976
当前软件行业面临年均30%的技术知识更新率,据Stack Overflow 2023开发者报告显示,68%的程序员认为"技术过时焦虑"是职业发展首要挑战。传统个体学习模式存在知识碎片化、实践转化低、视野局限等问题,而学习型组织理论为破解这些难题提供了系统化解决方案。本文聚焦技术团队场景,深入探讨如何通过组织层面的学习体系设计,帮助开发者实现从技能叠加到能力质变的跨越,覆盖理论框架、实施路径、工具链构建和实战案例。理论奠基:解析学习型组织核心概念及其技术团队适配模型技术实现。
self-service-password (自动重置密码服务)
3Golds
01-16 4640
self-service-password 介绍self-service-password 用来更新、修改、重制用户的密码,上述行为均是用户自己完成。支持服务ApacheGeneral parametersLDAP connectionPassword policyReset by questionsReset by mail tokensReset by SMSMailreCAPTCHAPost...
LDAP密码修改系统 Self Service Password
奈文摩尔ST
09-18 1173
安装升级PHP https://www.centos.bz/2018/05/centos-6-7-%E5%8D%87%E7%BA%A7-php-5-6-%E5%88%B0-7-1-7-2/ 安装Self Service Password 下载地址:https://ltb-project.org/download#self_service_password 参考地址:https://ltb-project.org/documentation/self-service-password/latest/insta
Docker部署LDAP自助密码服务self-service-password
wangshui898的专栏
06-20 3999
公网环境 使用现成的docker镜像 创建数据目录 mkdir -pv /data/openldap/self-service-password/{htdocs,logs} mkdir /data/docker-compose/openldap/ssp/ docker-compose文件 cat > /data/docker-compose/openldap/ssp/docker-compose.yml << EOF version: "3" services: self-ser
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值