7x31
/
ad-password-self-service
mirror of https://github.com/capricornxl/ad-password-self-service.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
基于Python 3.8 + Django 3.2的密码自助平台,AD用户自助修改密码,结合<钉钉>/<企业微信>应用免密码授权后可自行重置密码、解锁自己的账号。
59 Commits 1 Branch 15 Tags 30 MiB
Python 71.6%
Shell 15.6%
HTML 12%
CSS 0.8%
Go to file
Leven 51a600c8a4 fix redis auto install 
fix redis password auto-gen and append to local_settings.py
 		2023-01-09 23:05:16 +08:00
conf fix redis auto install 2023-01-09 23:05:16 +08:00
log ### 本次升级、修复,请使用最新版: 2021-04-23 15:37:54 +08:00
pwdselfservice Delete pwdselfservice/__pycache__ directory 2022-12-20 14:36:08 +08:00
resetpwd Delete resetpwd/__pycache__ directory 2022-12-20 14:36:33 +08:00
screenshot 修改钉钉/企业微信直接使用内部应用免密登录的方式来验证,不再支持扫码。 2022-12-23 23:17:56 +08:00
static fix some css 2022-12-30 10:24:09 +08:00
templates fix some html 2022-12-29 17:19:38 +08:00
utils 修改钉钉/企业微信直接使用内部应用免密登录的方式来验证,不再支持扫码。 2022-12-17 00:23:41 +08:00
.gitignore 添加自动安装脚本,方便快速部署上线。 2020-04-01 17:28:51 +08:00
LICENSE update license 2020-08-18 11:39:50 +08:00
auto-install.sh fix redis auto install 2023-01-09 23:05:16 +08:00
manage.py 修复utils目录自定义模块中的处理逻辑return结果不正确,导致Django无法正常在前台显示结果的BUG 2021-05-21 13:47:26 +08:00
readme.md fix readme.md 2022-12-24 14:47:19 +08:00
requestment 修改钉钉/企业微信直接使用内部应用免密登录的方式来验证,不再支持扫码。 2022-12-20 13:30:36 +08:00
uwsgi.ini fix readme.md 2022-12-24 14:47:19 +08:00
uwsgiserver 修复通过自动部署脚本部署之后,无法正常打开的问题 2021-09-23 09:02:40 +08:00

readme.md

初学Django时碰到的一个需求因为公司中很多员工在修改密码之后有一些关联的客户端或网页中的旧密码没有更新导致密码在尝试多次之后账号被锁为了减少这种让人头疼的重置解锁密码的操蛋工作自己做了一个自助修改小平台。

水平有限,代码写得不好,但是能用,有需要的可以直接拿去用。

场景说明:

因为本公司AD是早期已经在用用户的个人信息不是十分全面例如:用户手机号。
钉钉是后来才开始使用,钉钉默认是使用手机号登录。 用户自行重置密码时如果通过手机号来进行钉钉与AD之间的验证就行不通了。

逻辑:

已经与之前不同,现在改成内嵌小应用,不再支持直接通过网页开始,之前的扫码方式有点多此一举的味道。

所能接受的账号规则

无论是钉钉、微信均是通过提取用户邮箱的前缀部分来作为关联AD的账号所以目前的识别逻辑就需要保证邮箱的前缀和AD的登录账号是一致的。 如果您的场景不是这样,请按自己的需求修改源代码适配。

代码提交到:

master

提示:

AD必须使用SSL才能修改密码这里被坑了N久...
自行部署下AD的证书服务并颁发CA证书重启服务器生效。
具体教程百度一下,有很多。

本次升级、修复,请使用最新版:

  • 升级Python版本为3.8
  • 升级Django到3.2
  • 修复用户名中使用\被转义的问题
  • 重写了dingding模块因为dingding开发者平台接口鉴权的一些变动之前的一些接口不能再使用本次重写。
  • 重写了ad模块修改账号的一些判断逻辑。
  • 重写了用户账号的格式兼容现在用户账号可以兼容username、DOMAIN\username、username@abc.com这三种格式。
  • 优化了整体的代码逻辑,去掉一些冗余重复的代码。

2022/12/16 -- 更新:

  • 修改钉钉、企业微信直接通过企业内部免密登录授权或验证的方式实现用户信息的获取直接通过软件内部工作平台打开废弃扫码方式由于API接口的权限问题一些关键数据已经不再支持通过扫码获取

其它没变化,只修复了这个问题~~~~

线上环境需要的基础环境:

  • Python 3.8.9 (可自行下载源码包放到项目目录下,使用一键安装)
  • Nginx
  • Uwsgi

钉钉

截图2

微信

截图11

授权或验证成功之后:

截图15

钉钉必要条件:

创建企业内部应用

  • 在钉钉工作台中通过“自建应用”创建应用选择“企业内部开发”创建H5微应用在应用首页中获取应用的AgentId、AppKey、AppSecret。
  • 应用需要权限:通讯录只读权限、邮箱等个人信息,范围是全部员工或自行选择
  • 应用安全域名和IP一定要配置否则无法返回接口数据。

参考截图配置: 截图3

截图4

截图5 截图5

移动接入应用--登录权限:

废弃,已经不再需要,如果之前有配置,可以删除!!

企业微信必要条件:

  • 创建应用记录下企业的CorpId应用的ID和Secret。

参考截图: 截图7

截图8

截图9

截图10 截图10

飞书必要条件:

  • 暂时没时间,做不了,已经剔除了!

如果你觉得这个小工具对你有帮忙的话,可以请我喝杯咖啡~😁😁😁

截图10 截图10

使用脚本自动部署:

使用脚本自动快速部署只适合Centos其它发行版本的Linux请自行修改相关命令。

把整个项目目录上传到新的服务器上

先修改配置文件,按自己实际的配置修改项目配置文件:

修改conf/local_settings.py中的参数按自己的实际参数修改

# ########## AD配置修改为自己的
# AD主机可以是IP或主机域名例如可以是: abc.com或172.16.122.1
AD_HOST = r'修改成自己的'

# AD域控的DOMAIN名例如abc
AD_DOMAIN = r'修改成自己的'

# 用于登录AD做用户信息处理的账号需要有修改用户账号密码或信息的权限。
# AD账号例如pwdadmin
AD_LOGIN_USER = r'修改成自己的'
# 密码
AD_LOGIN_USER_PWD = r'修改为自己的'

# BASE DN账号的查找DN路径例如'DC=abc,DC=com'可以指定到OU之下例如'OU=RD,DC=abc,DC=com'。
BASE_DN = r'修改成自己的'

# 是否启用SSL,
# 注意AD必须使用SSL才能修改密码这里被坑了N久...,自行部署下AD的证书服务并颁发CA证书重启服务器生效。具体教程百度一下有很多。
AD_USE_SSL = True
# 连接的端口如果启用SSL默认是636否则就是389
AD_CONN_PORT = 636

# 扫码验证的类型
#       钉钉 / 企业微信,自行修改
# 值是DING /  WEWORK
AUTH_CODE_TYPE = 'DING'

# ########## 钉钉 《如果不使用钉钉扫码,可不用配置》##########
# 钉钉企业ID <CorpId>,修改为自己的
DING_CORP_ID = '修改为自己的'

# 钉钉企业内部开发内部H5微应用或小程序用于读取企业内部用户信息
DING_AGENT_ID = r'修改为自己的'
DING_APP_KEY = r'修改为自己的'
DING_APP_SECRET = r'修改为自己的'

# 移动应用接入 主要为了实现通过扫码拿到用户的unionid
DING_MO_APP_ID = r'修改为自己的'
DING_MO_APP_SECRET = r'修改为自己的'


# ####### 企业微信《如果不使用企业微信扫码,可不用配置》 ##########
# 企业微信的企业ID
WEWORK_CORP_ID = r'修改为自己的'
# 应用的AgentId
WEWORK_AGENT_ID = r'修改为自己的'
# 应用的Secret
WEWORK_AGNET_SECRET = r'修改为自己的'

# Redis配置
# redis的连接地址redis://<Ip/Host>:<Port>
REDIS_LOCATION = r'redis://127.0.0.1:6379'
REDIS_PASSWORD = r'12345678'

# 主页域名钉钉跳转等需要指定域名格式pwd.abc.com。
# 如果是自定义安装,请修改成自己的域名
HOME_URL = 'PWD_SELF_SERVICE_DOMAIN'

执行部署脚本

chmod +x auto-install.sh
./auto-install.sh

等待所有安装完成。

以上配置修改完成之后,则可以通过配置的域名直接访问。

手动部署:

自行安装完python3之后使用python3目录下的pip3进行安装依赖

我自行安装的Python路径为/usr/local/python3

项目目录下的requestment文件里记录了所依赖的相关python模块安装方法

/usr/local/python3/bin/pip3 install -r requestment

等待所有模块安装完成之后进行下一步。

按自己实际的配置修改项目配置参数:

修改conf/local_settings.py中的参数按自己的实际参数修改

# ########## AD配置修改为自己的
# AD主机可以是IP或主机域名例如可以是: abc.com或172.16.122.1
AD_HOST = r'修改成自己的'

# AD域控的DOMAIN名例如abc
AD_DOMAIN = r'修改成自己的'

# 用于登录AD做用户信息处理的账号需要有修改用户账号密码或信息的权限。
# AD账号例如pwdadmin
AD_LOGIN_USER = r'修改成自己的'
# 密码
AD_LOGIN_USER_PWD = r'修改为自己的'

# BASE DN账号的查找DN路径例如'DC=abc,DC=com'可以指定到OU之下例如'OU=RD,DC=abc,DC=com'。
BASE_DN = r'修改成自己的'

# 是否启用SSL,
# 注意AD必须使用SSL才能修改密码这里被坑了N久...,自行部署下AD的证书服务并颁发CA证书重启服务器生效。具体教程百度一下有很多。
AD_USE_SSL = True
# 连接的端口如果启用SSL默认是636否则就是389
AD_CONN_PORT = 636

# 扫码验证的类型
#       钉钉 / 企业微信,自行修改
# 值是DING /  WEWORK
AUTH_CODE_TYPE = 'DING'

# ########## 钉钉 《如果不使用钉钉扫码,可不用配置》##########
# 钉钉企业ID <CorpId>,修改为自己的
DING_CORP_ID = '修改为自己的'

# 钉钉企业内部开发内部H5微应用或小程序用于读取企业内部用户信息
DING_AGENT_ID = r'修改为自己的'
DING_APP_KEY = r'修改为自己的'
DING_APP_SECRET = r'修改为自己的'

# 移动应用接入 主要为了实现通过扫码拿到用户的unionid
DING_MO_APP_ID = r'修改为自己的'
DING_MO_APP_SECRET = r'修改为自己的'


# ####### 企业微信《如果不使用企业微信扫码,可不用配置》 ##########
# 企业微信的企业ID
WEWORK_CORP_ID = r'修改为自己的'
# 应用的AgentId
WEWORK_AGENT_ID = r'修改为自己的'
# 应用的Secret
WEWORK_AGNET_SECRET = r'修改为自己的'

# Redis配置
# redis的连接地址redis://<Ip/Host>:<Port>
REDIS_LOCATION = r'redis://127.0.0.1:6379'
REDIS_PASSWORD = r'12345678'

# 主页域名钉钉跳转等需要指定域名格式pwd.abc.com。
# 如果是自定义安装,请修改成自己的域名
HOME_URL = 'PWD_SELF_SERVICE_DOMAIN'

安装完依赖后,直接执行 /usr/local/python3/bin/python3 manager.py runserver x.x.x.x:8000 即可临时访问项目线上不适用这种方法线上环境请使用uwsgi。

修改uwsig.ini配置:

IP和路径按自己实际路径修改

[uwsgi]
http-socket = PWD_SELF_SERVICE_IP:PWD_SELF_SERVICE_PORT

chdir = PWD_SELF_SERVICE_HOME

env=DJANGO_SETTINGS_MODULE=pwdselfservice.settings

module = pwdselfservice.wsgi:application

master = true
 
processes = 4
 
threads = 4
 
max-requests = 2000
 
chmod-socket = 755
 
vacuum = true

#设置缓冲
post-buffering = 4096

#设置静态文件
static-map = /static=PWD_SELF_SERVICE_HOME/static

#设置日志目录
daemonize = PWD_SELF_SERVICE_HOME/log/uwsgi.log

通过uwsgiserver启动

其中PWD_SELF_SERVICE_HOME是你自己的服务器当前项目的目录请自行修改 将以下脚本修改完之后,复制到/etc/init.d/,给予执行权限。 uwsgiserver:

#!/bin/sh

INI="PWD_SELF_SERVICE_HOME/uwsgi.ini"
UWSGI="/usr/share/python-3.6.9/bin/uwsgi"
PSID=`ps aux | grep "uwsgi"| grep -v "grep" | wc -l`

if [ ! -n "$1" ]
then
    content="Usages: sh uwsgiserver [start|stop|restart]"
    echo -e "\033[31m $content \033[0m"
    exit 0
fi

if [ $1 = start ]
then
    if [ `eval $PSID` -gt 4 ]
    then
        content="uwsgi is running!"
        echo -e "\033[32m $content \033[0m"
        exit 0
    else
        $UWSGI $INI
        content="Start uwsgi service [OK]"
        echo -e "\033[32m $content \033[0m"
    fi

elif [ $1 = stop ];then
    if [ `eval $PSID` -gt 4 ];then
        killall -9 uwsgi
    fi
    content="Stop uwsgi service [OK]"
    echo -e "\033[32m $content \033[0m"
elif [ $1 = restart ];then
    if [ `eval $PSID` -gt 4 ];then
        killall -9 uwsgi
    fi
    $UWSGI --ini $INI
    content="Restart uwsgi service [OK]"
    echo -e "\033[32m $content \033[0m"

else
    content="Usages: sh uwsgiserver [start|stop|restart]"
    echo -e "\033[31m $content \033[0m"
fi

脚本内的路径按自己实际情况修改

自行部署Nginx然后添加Nginx配置

Nginx配置

Nginx Server配置

  • proxy_pass的IP地址改成自己的服务器IP
  • 配置可自己写一个vhost或直接加在nginx.conf中
server {
    listen  80;
    server_name pwd.abc.com;

    location / {
        proxy_pass         http://192.168.x.x:8000;
        proxy_set_header   Host              $host;
        proxy_set_header   X-Real-IP         $remote_addr;
        proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }
	access_log  off;
}
  • 执行Nginx reload操作重新加载配置