0基础上手python、PHP编程,域自助服务台,具备第三方APP提醒,自助改密解锁等功能
登录
标签搜索
侧边栏壁纸
博主昵称
王忘杰

  • 累计撰写 268 篇文章
  • 累计收到 179 条评论
技术相关

0基础上手python、PHP编程,域自助服务台,具备第三方APP提醒,自助改密解锁等功能

王忘杰
王忘杰
2023-06-06 / 0 评论 / 300 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2023年07月10日,已超过503天没有更新,若内容或图片失效,请留言反馈。

lijos400.png

王工自研域自助服务台架构图,具备长期未改密企业微信提醒、自助改密解锁等功能
全面对标宁盾微软AD自助修改密码解决方案
https://www.nington.com/solution-adpassword/
每年可为公司节省5W-10W元

说明
王工域控为windows2022,Self Service Password搭建在OracleLinux8上,python版本为python3最新版本,PHP为OracleLinux8默认源中的PHP7

预览
通知改密
limqx9ic.png

自助改密
limqr6fb.png

limqrvh5.png

limqtump.png

limqv7ok.png

limqw1jk.png

架构解析:
1、域控上域账户维护pager属性(寻呼机),修改为企业微信ID
2、域控运行扫描脚本,通过计算上次修改密码时间,超过指定日期,进行企业微信提醒;如果未维护pager属性,写入日志
3、Self Service Password域控自助服务台二次开发,改为企业微信接收验证码改密
4、进行企业微信提醒时,先查询redis缓存,如果access_token不存在,则获取一次,如果存在,直接使用,缓存5400秒自动过期。
5、建立企业微信应用,可参考我的zabbix文章

搭建前提
1、已维护域控pager属性为企业微信userid,此信息需要企业微信管理员后台查询。
2、已正确部署Self Service Password,可以看我之前的文章。
3、已部署redis,建议使用docker部署,一定要设置redis密码
4、已为php增加php-redis扩展

docker一键部署redis
红帽系系统默认为podman替代docker

podman pull redis
podman run --restart=always -p 6379:6379 --name myredis -d redis  --requirepass passwd@123

持久化参数

--appendonly yes

扫描脚本:
扫描脚本同样有两部分组成,第一部分是powershell脚本,用于获取域用户信息
可指定OU、可自定义要获取的用户属性,生成的文件放在C盘根目录下1.txt,与python脚本对应
adgetuser.ps1

Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=测试组,OU=用户OU,DC=90apt,DC=com" -Properties * | Select-Object name,passwordlastset,pager > c:/1.txt

运行结果


name   passwordlastset     pager      
----   ---------------     -----      
王忘杰1   2023/5/18 16:39:05  WangWangJie1     
王忘杰2 2022/9/26 16:50:41  WangWangJie2

第二部分是扫描通知脚本,由主python文件和配置文件ad.config组成,运行后生成errlog.txt日志文件
ad.config

属性说明
corpid:
appsecret:
agentid:
content:内容1
content1:内容2
content2:内容3
admin:闲置属性
ip:redis地址
port:redis端口
passwd:redis密码
passwddate:密码多少天未修改进行提醒

{
"corpid" : "xxxx",
"appsecret" : "xxxx",
"agentid" : "xxxx",
"content" : "亲爱的 ",
"content1" : " 域用户 :\n您的计算机域账户已经超过 ",
"content2" : " 天没有修改密码了(电脑登录密码),请您立即更改。\n重置密码过程请遵循以下原则:\n○密码长度最少 8 位;\n○密码中不可出现公司和本人中英文拼写\n○密码符合复杂性需求(大写字母、小写字母、数字和符号四种中必须有三种)\n操作方式:\n您可以通过 自助密码服务台http://xx/修改密码,在公司内网中,手机、笔记本、台式机均可访问",
"admin" : "xxxx",
"ip" : "xxxx",
"port" : "xxxx",
"passwd" : "xxxx",
"passwddate" : xx
}

主python文件

import requests,json,redis,time,logging
from datetime import datetime, timedelta

def get_weixintoken():
   #获取微信token
   token_url = 'https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=' + config[0] + '&corpsecret=' + config[1]
   req = requests.get(token_url)
   accesstoken = req.json()['access_token']
   return accesstoken

def get_redistoken():
   readredis = redis.Redis(connection_pool=redis.ConnectionPool(host=config[7],port=config[8],password=config[9],decode_responses=True))
   if readredis.get('key') == None:
      readredis.set('key', get_weixintoken(),ex=5400)
      return (readredis.get('key'))
   else:
      return readredis.get('key')

def post_weixin(userweixin,content):
   body = {
      "touser": userweixin,
      "msgtype": "text",
      "agentid": config[2],
      "text": {
         "content": content
      }
   }
   postweixin = requests.post(
      'https://qyapi.weixin.qq.com/cgi-bin/message/send?access_token='+get_redistoken(),data=json.dumps(body))
   return(postweixin.text)

def get_config():
   config = json.loads(open("ad.config", encoding='utf-8').read())
   return [config['corpid'],config['appsecret'],config['agentid'],config['content'],config['content1'],config['content2'],config['admin'],config['ip'],config['port'],config['passwd'],config['passwddate']]

def user_check():
   f = open("C:\\1.txt", "r", encoding='utf-16')
   lines = f.readlines()
   f = open('errlog.txt', 'w')
   for line in lines:
      try:
         x = line.replace("/", "-")
         y = x.split()
         time_1 = y[1]
         time_2 = time.strftime("%Y-%m-%d", time.localtime())
         time_1_struct = datetime.strptime(time_1, "%Y-%m-%d")
         time_2_struct = datetime.strptime(time_2, "%Y-%m-%d")
         day = (time_2_struct - time_1_struct).days
         userweixin = y[3]
         username= y[0]
         if day > config[10]:
            day = str(day)
            time.sleep(1)
            try:
               post = post_weixin(userweixin,config[3]+username+config[4]+day+config[5])
               postjson=json.loads(post)
               if postjson['errmsg'] != "ok":
                  f.write("发送失败,可能微信号错误 " + userweixin+"\n")

            except :
               None

         else:
            None
      except:
         f.write("没有微信号 "+ line)
   f.close()



config = get_config()
#post_weixin()
user_check()

脚本使用
编译为EXE文件,和ad.config,放在域控服务器通过定时任务运行即可。

Self Service Password企业微信脚本
项目目录/usr/share/self-service-password/
配置文件/usr/share/self-service-password/conf/config.inc.local.php
配置文件中修改短信通知方式

## SMS
# Use sms
$use_sms = true;
# SMS method (mail, api)
$sms_method = "api";
$sms_api_lib = "lib/weixin.inc.php";
# GSM number attribute
$sms_attributes = array( "pager" );

编写企业微信通知脚本
/usr/share/self-service-password/lib/weixin.inc.php

<?php
//连接本地的 Redis 服务
function get_token(){
        $redis = new Redis();
        $redis->connect('修改用自己的IP地址', 修改用自己的端口);
        $redis->auth('修改用自己的redis密码');
        $key = $redis->get("key");
        if ($key)
        {
                return $key;
        }
        else
        {
                $url='https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=修改用自己的&corpsecret=修改用自己的';
                $jsondb = file_get_contents($url);
                $jsondb = json_decode($jsondb, true);
                $key = $jsondb['access_token'];
                $redis->set("key", $key);
                $redis->expire("key", 5400);
                return $key;
        }
}

function send_sms_by_api($mobile, $message) {
        $postdata = array(
    'touser' => "$mobile",
    'msgtype' => 'text',
    'agentid' => '修改用自己的',
        'text' => array(
        'content' => "$message"
        )

        );

    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, 'https://qyapi.weixin.qq.com/cgi-bin/message/send?access_token=' . get_token());
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode($postdata));
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $errmsg = json_decode(curl_exec($ch))->errmsg;
        if ($errmsg=="ok")
        {
                return 1;
        }
        else
        {
                return 0;
        }


}

?>

修改中文显示
比如把短信修改成企业微信,可直接修改语言文件

/usr/share/self-service-password/lang/zh-CN.inc.php

PHP安装redis扩展
https://www.vvave.net/archives/how-to-install-php-pecl-redis-on-centos8-official-repo-php.html

总结
简单

6
暂无标签
版权属于: 王忘杰
本文链接: https://90apt.com/3999
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权

评论

博主关闭了所有页面的评论