Bitwarden是用于管理密码的绝佳工具。 它具有适用于每个平台的应用程序,浏览器插件和自托管版本,并且提供了一些很棒的密码管理技巧,例如文件夹和集合。 我最喜欢的功能之一是它将保留您的旧密码的历史记录,这对企业用户来说是一个很棒的功能。
如果您是企业用户,则您可能是Bitwarden的自托管主机,并希望将您的用户与人员目录同步。 我的组织使用Active Directory(AD),这是用户目录的标准,并且与Windows桌面无缝集成。 我还需要它与我们的开源工具配合使用,这就是本文共享的秘密之处。
允许您执行此操作的工具是Bitwarden目录连接器 (BWDC)。 如果您进行Google搜索,则不会在Linux上找到有关将BWDC与AD一起使用的更多信息。 如果您使用的是Windows版本,则Bitwarden的博客是一个不错的起点,但并不能帮助您将其集成到Linux环境中。 您可以在Bitwarden的GitHub页面上找到执行此操作的说明,但它们并不十分清楚。 因此,在这里,我将说明如何使您的Linux自托管版本的Bitwarden与您的企业Active Directory集成(并希望为将来寻找此信息的Google搜索者提供更有益的结果)。
在我的设置中,Bitwarden和Active Directory都托管在AWS上,前者托管在EC2实例中,后者托管在AWS Simple Directory中。 Bitwarden Docker容器安装在名为bitwarden的用户的主目录中。 Bitwarden的说明使其易于设置。 但是,设置BWDC尚不清楚,因此我将尝试在此处进行修复。
安装BWDC
首先为BWDC设置目录,然后下载ZIP文件并将其解压缩:
cd /home/bitwarden
mkdir directory-connector
cd directory-connector
wget https://github.com/bitwarden/directory-connector/releases/download/v2.6.2/bwdc-linux-2.6.2.zip
unzip bwdc-linux-2.6.2.zip
chmod +x bwdc
(在撰写本文时,BWDC 2.6.2是当前版本;可能会更改,因此请确保下载最新版本。)
您现在将拥有一个名为bwdc的二进制文件和一个名为keytar.node的文件; 将两个文件都放在正确的位置。
接下来,编辑位智者用户的个人资料:
vi /home/bitwarden/.profile
并添加以下行:
export BITWARDENCLI_CONNECTOR_PLAINTEXT_SECRETS=true
export PATH=$PATH:/home/bitwarden/directory-connector
注销并重新登录以获取新设置,或者您可以通过以下方式获取配置文件:
. ~/.profile
BITWARDENCLI_CONNECTOR_PLAINTEXT_SECRETS = true行告诉BWDC不要使用任何基于桌面的密钥库。 由于这是一台服务器,不太可能安装台式机,因此您必须将密码保留为纯文本格式(但是稍后将采取预防措施来保护它)。 第二行设置了bwdc二进制文件的路径,因此它可以从您所在的任何目录中运行。
配置BWDC
一旦安装了BWDC,请将其配置为连接到您的Bitwarden实例:
bwdc login
? Email address: <your email for your master account>
? Master password: [hidden]
登录后,就可以使用data.json文件了。
如果使用上述步骤设置BWDC,则其配置信息将存储在/home/bitwarden/.config/Bitwarden Directory Connector / data.json中 。 该文件包含appId和访问令牌 ; 这些是您的Bitwarden实例的登录凭据。 但是您说Active Directory呢? 您可以通过编辑data.json文件来手动添加(我假设您在服务器上并且正在使用Vi):
vi '/home/bitwarden/.config/Bitwarden Directory Connector/data.json'
在appId行下方添加以下内容:
"rememberEmail": true,
"rememberedEmail": "<the email address you logged in with>",
"organizationId": "<your organization id>",
"directoryType": 0,
"directoryConfig_0": {
"ssl": false,
"sslAllowUnauthorized": false,
"port": 389,
"currentUser": false,
"ad": true,
"hostname": "<hostname of your active directory>",
"rootPath": "<root path of AD, something like; dc=com,dc=au>",
"username": "<username with privilege to read the AD; DOMAIN\\Username>",
"password": "<password for the above account>"
},
"directoryConfig_2": {},
"directoryConfig_1": {},
"directoryConfig_3": {},
"syncConfig": {
"users": true,
"groups": true,
"interval": 5,
"removeDisabled": true,
"overwriteExisting": true,
"useEmailPrefixSuffix": false,
"creationDateAttribute": "whenCreated",
"revisionDateAttribute": "whenChanged",
"emailPrefixAttribute": "sAMAccountName",
"memberAttribute": "member",
"userObjectClass": "person",
"groupObjectClass": "group",
"userEmailAttribute": "mail",
"groupNameAttribute": "name",
"userFilter": "(&(memberOf=CN=bitwarden,OU=groups,DC=work,DC=corp))",
"groupPath": "OU=Groups",
"userPath": "CN=Users"
},
"environmentUrls": {
"base": "<base url of your bitwarden instance; https://bitwarden.yourdomain>",
"api": null,
"identity": null,
"webVault": null,
"icons": null,
"notifications": null,
"events": null
},
如果仔细研究,您将发现需要更改此条目中的几个值,包括userFilter , groupPath和userPath 。 (我假设您熟悉LDAP和AD,并且知道这些值对于您的实例应该是什么。)保留CN = bitwarden部分作为您稍后创建的Bitwarden AD组的一部分。 您需要更改的另一个值是OrganizationID ,您可以在bwdata目录中找到该ID作为JSON文件之一的名称。 列出文件:
ls /home/bitwarden/bwdata/core/licenses/organization
这应该返回目录列表,其中包含单个文件名,格式为<organization id> .json 。 文件名本身就是您组织的ID。 将其插入以上代码中的organizationID行中。
正确获取data.json文件后, 强烈建议您备份此文件 。 如果BWDC发现与此文件有关的问题,则似乎有一个问题将此文件设置为默认设置。 这意味着,如果您无辜地对该文件进行了更改并且有错误,则将丢失整个配置。
接下来,以位智能用户的身份测试与AD的连接性:
bwdc test
这应该返回您广告中组的转储。 为了保护您的密码,请对该文件设置权限,以便只有位高位用户才能读取它:
chmod 700 '/home/bitwarden/.config/Bitwarden Directory Connector/data.json'
建立你的小组
现在将一个组添加到您的广告中(我的组称为bitwarden ),您将在其中添加和删除需要访问Bitwarden的用户。 该组是必需的,因为如果您不基于此组过滤用户,则BWDC会尝试使用AD中的所有用户。 如果用户数量大于您的Bitwarden许可所允许的数量,则BWDC将无声地失败,并且您将恨自己很长时间……。 就像我一样!
组建立并拥有至少一个用户后,请再次运行测试。 您应该在输出中看到用户的电子邮件地址。
现在该同步了。 同步后,出现在bitwarden组中的所有用户都将被添加到Bitwarden,并且将向他们发送电子邮件以邀请他们注册。 以位用户身份使用以下命令同步目录:
bwdc sync
假设data.json文件中的removeDisabled设置为true ,则可以设置cron作业以使bitwarden组的成员和Bitwarden用户保持恒定同步,以便您在AD中所做的任何更改都立即反映在您的Bitwarden实例。 将以下内容添加到您的/ etc / crontab中 :
# Sync for Active Directory to Bitwarden
* * * * * bitwarden export BITWARDENCLI_CONNECTOR_PLAINTEXT_SECRETS=true ; /home/bitwarden/directory-connector/bwdc sync >/dev/null 2>&1
完成自动同步后,您将在Bitwarden中获得所有广告组的完整列表。 从那里开始,只需将一个组分配给一个集合,然后将成员添加到AD中的组,这很简单。 将自动为用户分配正确的密码集合,并查看他们所需的密码。
潜在陷阱
最后,我将告诉您一些有关设置的陷阱。 首先,请注意AD Primary Group 。 如果您的任何Linux或其他POSIX系统都从AD获得登录凭据,则可能已为用户设置了此选项。 如果该组设置为主要组,则AD似乎不会在该组搜索结果中包括该用户。 这可能会将用户从组中删除,从而失去对集合的访问权限。
https://<your bitwarden site>/#/recover-delete
输入用户注册的电子邮件地址。 他们将收到一封电子邮件,指示他们单击链接以确认删除该帐户。 完成此操作后,可以将用户放回Bitwarden AD组中,并再次进行登录过程。
现在,您知道如何使自托管的Bitwarden与AD一起工作。 我认为您仍然会遇到一些问题,但是只要稍稍耐心和修改配置,它就会起作用。 只是不要在工作后就乱扔它!
翻译自: https://opensource.com/article/19/11/bitwarden-password-protection-active-directory
3510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
