CentOS7 でセルフサービスパスワードを導入する

セルフサービスパスワードをインストールする目的は、LDAP または Windows AD 管理者がパスワードを手動で変更する際の問題点を解決することです。一般に、企業が展開する LDAP にはパスワード有効期限ポリシーがあり、ユーザーは指定された期間内にパスワードを変更する必要があります。パスワードの使用サイクルを更新します。

1、セルフサービスパスワード依存環境をインストールする

1.1 こちらでは、必要な依存関係が紹介されています

Apache or another web server (これはNginxを使用しています)

php (>=7.4) (これはPHP8.0を使用しています)

php-curl (haveibeenpwned api)

php-filter

php-gd (captcha)

php-ldap

php-mbstring (reset mail) (これには、yum をインストールする前に epel ソースをインストールする必要があります)

php-openssl (token crypt, probably built-in)

Smarty (version >=3) (インストールする際はバージョンに注意し、デフォルトのphpライブラリファイルのパスを変更してください)

⚠️ 注意以下のコンパイルとインストールは、gcc または gcc-c++ がインストールされているコンパイルの場合をデフォルトとしています。インストールされていない場合は、PHP のコンパイル > インストール時に対応するライブラリファイルが見つからない場合は、インストールする必要があります。状況に応じて、対応するインストールパッケージを選択してください。

1.2 openssl をコンパイルしてインストールする openssl の最新バージョンを openssl公式 Web サイトからダウンロードします

1
tar -xvf openssl-1.1.1v.tar.gz -C /usr/local/src/
2
cd /usr/local/src/openssl-1.1.1v
3
./config --prefix=/opt/openssl
4
make && make install

1.3 openldap をコンパイルしてインストールする今回インストールしたのはTLS版です

1
tar -xvf openldap-2.5.16.tar.gz -C /usr/local/src/
2
cd /usr/local/src/openldap-2.5.16
3
export PKG_CONFIG_PATH=/opt/openssl/lib/pkgconfig
4
env CPPFLAGS="-I/opt/openssl/include" LDFLAGS="-L/opt/openssl/lib -D_GNU_SOURCE" ./configure --prefix=/opt/openldap
5
make && make install

1.4 Nginxをコンパイルしてインストールします

1
tar -xvf nginx-1.24.0.tar.gz -C /usr/local/src/
2
cd /usr/local/src/nginx-1.24.0
3
./configure \
4
--prefix=/usr/local/nginx \
5
--with-http_realip_module \
6
--with-http_sub_module \
7
--with-http_gzip_static_module \
8
--with-http_stub_status_module \
9
--with-http_ssl_module  \
10
--with-http_v2_module \
11
--with-openssl=/usr/local/src/openssl-1.1.1v \
12
--with-pcre=/usr/local/src/pcre-8.45 \
13
--with-zlib=/usr/local/src/zlib-1.2.12
14

15
make && make install

1.5 PHPをコンパイルしてインストールする

1
tar -xvf php-8.0.30.tar.gz -C /usr/local/src/
2
cd /usr/local/src/php-8.0.30
3
./configure \
4
--prefix=/usr/local/php8 \
5
--exec-prefix=/usr/local/php8 \
6
--bindir=/usr/local/php8/bin \
7
--sbindir=/usr/local/php8/sbin \
8
--includedir=/usr/local/php8/include \
9
--libdir=/usr/local/php8/lib/php \
10
--mandir=/usr/local/php8/php/man \
11
--with-config-file-path=/usr/local/php8/etc \
12
--enable-fpm \
13
--enable-fastcgi \
14
--with-curl \
15
--enable-filter \
16
--enable-gd \
17
--with-ldap=/opt/openldap \
18
--enable-mbstring \
19
--with-openssl=/opt/openssl
20

21
make && make install

1.5.1 php 拡張機能 gd.so モジュールをコンパイルしてインストールします上記のように php をコンパイルすると、セルフサービスパスワードイメージ検証コード機能を使用するため、デフォルトでは gd.so モジュールが存在しませんまずイメージ依存パッケージをインストールします

1
tar -xvf libpng-1.6.40.tar.gz -C /usr/local/src/
2
tar -xvf jpegsrc.v9e.tar.gz -C /usr/local/src/
3
tar -xvf freetype-2.13.1.tar.gz -C /usr/local/src/
4

5
cd /usr/local/src/libpng-1.6.40
6
./configure --prefix=/opt/libpng
7
make && make install
8

9

10
cd /usr/local/src/jpegsrc.v9e
11
./configure --prefix=/opt/jpeg
12
make && make install
13

14
cd /usr/local/src/freetype-2.13.1
15
./configure --prefix=/opt/freetype
16
make && make install

PHP拡張機能gdを再度コンパイルします

1
yum install autoconf
2
cd /usr/local/src/php-8.0.30/ext/gd
3
/usr/local/php/bin/phpize
4
./configure \
5
--with-php-config=/usr/local/php8/bin/php-config \
6
--with-libdir=/opt/libpng/lib \
7
--with-freetype=/opt/freetype/lib \
8
--with-jpeg=/opt/jpeg/lib
9

10
make && make install

現時点では、/usr/local/php8/lib/php/extensions/no-debug-non-zts-20200930 のようなディレクトリに gd.so モジュールがあります

2、サービス構成ファイルの編集

2.1 PHPサービス php.iniをコンパイルする

1
###### PHP 情報が http ヘッダーで公開されるのを防ぐ
2
expose_php = Off
3

4
###### php が mysql を呼び出すときにエラー メッセージが表示されないようにする
5
display_errors = Off
6

7
###### display_errors をオフにした後、PHP エラー ログをオンにします (パスは php-fpm.conf で構成されます)
8
log_errors = On
9

10
###### PHP拡張ライブラリのパスを設定する
11
extension_dir = "/usr/local/php8/lib/php/extensions/no-debug-non-zts-20200930/"
12

13
###### PHP の opcache および mysql ダイナミック ライブラリをセットアップする
14
zend_extension=opcache.so
15
extension=gd.so
16

17
###### PHPのタイムゾーンを設定する
18
date.timezone = PRC
19

20
###### opcache を有効にする
21
[opcache]
22
; Determines if Zend OPCache is enabled
23
opcache.enable=1
24

25
###### PHPスクリプトがアクセスできるディレクトリを設定します（実際の状況に応じて設定する必要があります）
26
;open_basedir = /usr/local/nginx/www;

php-fpm.confをコンパイルする

1
error_log = /var/log/php-fpm/error.log
2
###### www.conf ファイルに設定をインポートします
3
include=/usr/local/php8/etc/php-fpm.d/*.conf

www.conf を編集する

1
###### ユーザーとユーザーグループを設定する
2
user = nginx
3
group = nginx
4

5
###### nginx.conf の fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock; の設定に従って PHP リスニングを設定します
6
; listen = 127.0.0.1:9000   ##### 推奨されません
7
listen = /var/run/php-fpm/php-fpm.sock
8

9
###### 低速ロギングを有効にする
10
slowlog = /var/log/php-fpm/$pool-slow.log
11
request_slowlog_timeout = 10s
12

13
###### phpのセッションディレクトリを設定します（ユーザー、ユーザーグループともにnginx）
14
php_value[session.save_handler] = files
15
php_value[session.save_path] = /var/lib/php/session

2.2 Nginxサービス nginx.confを編集する

1
user nginx nginx;
2

3
worker_processes  auto;
4

5
...省略...
6

7
events {
8
  use epoll;
9
  worker_connections 65535;
10
}
11

12
http {
13
  include       mime.types;
14
  default_type  application/octet-stream;
15
  server_tokens off;
16

17
  ...省略...
18

19
  server {
20
    listen       80;
21
    server_name  localhost;
22

23
    root    www/self/htdocs;
24
    index   index.php index.html index.htm;
25

26
    location ~* \.php$ {
27
      fastcgi_pass  unix:/var/run/php-fpm/php-fpm.sock;
28
      fastcgi_split_path_info       ^(.+\.php)(/.+)$;
29
      fastcgi_param PATH_INFO       $fastcgi_path_info;
30
      fastcgi_param PATH_TRANSLATED /usr/local/nginx/www/self/htdocs$fastcgi_path_info;
31
      fastcgi_param SCRIPT_FILENAME /usr/local/nginx/www/self/htdocs$fastcgi_script_name;
32
      fastcgi_index index.php;
33
        try_files $fastcgi_script_name =404;
34
      fastcgi_read_timeout 600;
35
      include fastcgi_params;
36
    }
37

38
    ...省略...
39

40
  }
41

42
}

⚠️ 注意 /sbin/nologin 属性を持つ nginx ユーザーを使用し、Web プロジェクトディレクトリの権限を nginx:nginx として定義しているため、GET 経由でアクセスするとページに 403 というプロンプトが表示されます。Web プロジェクトディレクトリは nginx インストールディレクトリの下に置くことしかできません。通常どおり GET を通じてページにアクセスします

2.3 セルフサービスパスワードサービス Smarty ライブラリを構成する現時点では、self-service-password PHP サービスには通常アクセスできません。デフォルトの Smarty ライブラリファイルが /usr/share/ ディレクトリを指しているため、サービスが見つからず、最新バージョンをダウンロードする必要があります。このページはマークされています>対応するバージョンは指定された php バージョンを使用します。ダウンロードするには、ここをクリックしてください。スマーティ/リリース)

1
tar -xvf smarty-4.3.2.tar.gz
2
cd smarty-4.3.2
3
mv libs /usr/local/nginx/www/self/smarty

编辑/usr/local/nginx/www/self/conf/config.inc.php

1
### 約410行を修正
2
if (!defined("SMARTY")) {
3
     define("SMARTY", "/usr/share/self/smarty/Smarty.class.php");
4
}
5

6
に変更します
7

8
if (!defined("SMARTY")) {
9
     define("SMARTY", "/usr/local/nginx/www/self/smarty/Smarty.class.php");
10
}
11

12
397～398行目あたりのコメントをキャンセルします
13
$smarty_compile_dir = "/usr/local/nginx/www/self/templates_c";
14
$smarty_cache_dir = "/usr/local/nginx/www/self/cache";
15

16
パスを設定したパスに変更します

3、セルフサービスパスワードサービスを構成する

/usr/local/nginx/www/self/conf/config.inc.php を編集します

1
$keyphrase                    # このパラメータの後にランダムな文字列を入力します。入力しない場合、ページは正しく表示されません
2
$use_questions = false;       # 問題の回復を無効にする
3
$use_sms = false;            # SMS 取得を無効にする
4
use_tokens = false;           # 電子メールの取得を無効にする
5

6
# 上記の機能は使用しないので、必要に応じてオンにして設定できます
7

8
$use_captcha = true;          # 画像検証コードを有効にする
9
$pwd_min_length = 8;          # パスワードの最小長
10
$pwd_max_length = 32;         # パスワードの最大長
11
$pwd_complexity = 3;          # パスワードには複数の文字タイプが含まれています
12
$pwd_show_policy = "always";  # パスワードポリシーを示すページ
13

14
最後のステップは、対応するパラメータを入力するだけです。

4、最終製品写真

CentOS7 でセルフサービスパスワードを導入する

https://huoshen.pages.dev/ja/p/5af3baa2/

著者

Koevn

公開日

2023年8月17日

ライセンス

CC BY-NC-SA 4.0