أعرف SSO تسليم المفتاح الأجهزة مع LDAP، دائرة نصف قطرها، رض، وما إلى ذلك؟

Question

وأنا مساعدة شركة صغيرة نموذجية التي بدأت مع اثنين من أنظمة الاستعانة بمصادر خارجية (Google Apps أو إس / تراك). وأضاف خادم جابر الداخلي (ejabber للعملاء في الغالب يشات). يشترك في بضعة خدمات ويب (على سبيل المثال highrisehq). ولديه خدمة الشبكات الافتراضية الخاصة التي يقدمها جدار الحماية pfsense فري.

والنتيجة الصافية من كل ذلك هو انهم الغرق في كلمات المرور والحسابات.

ويبدو أنه إذا كان لديهم تسجيل الدخول / الخدمة يشترك واحدة موحدة أنها يمكن أن تقطع شوطا طويلا في الجمع بين هذه. على سبيل المثال: LDAP كمستودع رئيسي، دائرة نصف قطرها المرتبطة به لفبن، ejabber وحتى وصول لاسلكية WPA2، والإضافات لبرنامج جوجل التوقيع عليها، وربما خادم رض للمواقع خارجية مثل highrisehq.

ويبدو أن كل هذه الأدوات موجودة بشكل منفصل، ولكن لا أحد يعرف من صندوق واحد أن يجمع بينهما مع واجهة المستخدم الرسومية لطيفة وصناعة السيارات في التحديثات؟ (على سبيل المثال مثل pfsense / m0n0wall لجدران الحماية، freeNAS للتخزين). فإنه ليس من الضروري أن تكون هذه البرمجيات. ومن شأن مربع دفعت على ما يرام أيضا.

وأنا هذا الرقم يجب أن يكون موجودا. هو خدمة Active Directory مايكروسوفت المرجح حل واحد لكنها تفضل تجنب ويندوز إذا كان ذلك ممكنا. ويبدو أن هناك العديد من خوادم "AAA" التي تستخدم مزودي خدمات الإنترنت أو إدارة المشاريع جدار الحماية / جهاز التوجيه، ولكن هذا لا يبدو صحيحا تماما.

وأي حلول واضحة أنا في عداد المفقودين؟ شكرا!

Answer 1

ولقد كان أكثر من سنة منذ كنت في الأصل طرح السؤال، لذلك أنا التخمين كنت قد تحل مشكلتك الآن. ولكن إذا كان شخص آخر يرغب في حل ممكن أقترح ما يلي:

وأولا وقبل كل شيء، وأنا لا أعرف من أي "الكل في واحد" الحل لمشكلتك. ومع ذلك فإنه من السهل جدا أن الجمع بين ثلاثة منتجات من شأنها أن تحل جميع احتياجاتك وتوفير مصدر واحد لإدارة المستخدمين وتخزين كلمة المرور.

وأول شيء يجب القيام به هو تثبيت دليل LDAP لإدارة المستخدمين والمجموعات (وأشياء أخرى محتملة خارج نطاق سؤالك). هذا يمكن أن يكون ب OpenLDAP و <لأ href = "http://directory.apache.org/" يختلط = "نوفولو noreferrer"> أباتشي DS و Microsoft Active Directory و الخ الأساس فإن أي خادم LDAP القيام به.

والثانية أوصي تركيب FreeRADIUS باستخدام في دليل LDAP تكوينه كما انها خدمة الخلفية.

والثالث الحصول على ترخيص من Atlassian الحشد . ويوفر المصادقة رض وتطبيقات Google. الأسعار لمدة تصل إلى 50 المستخدمين تبدأ من 10 $ ويذهب كل وسيلة تصل إلى 8000 $ للحصول على ترخيص المستخدم غير محدود.

والتركيب والتكوين من ثلاثة من السهل نسبيا. وربما كنت سوف تضع معظم العمل في إنشاء المستخدمين والمجموعات. يمكنك تثبيت كافة المكونات الثلاثة على خادم واحد وينتهي مع المربع الذي يسمح لك لمصادقة كل شيء تقريبا من سطح المكتب الدخول، على تطبيقات Google وغيرها من تطبيقات الانترنت، وصولا الى VPN وحتى التبديل، واي فاي وجهاز التوجيه تسجيل الدخول.

وفقط للتأكد من تكوين الأدوار والمجموعات بحكمة! وإلا قد ينتهي بك الأمر مع بعض المبيعات شخص أن تكون قادرة على القيام به الإدارة على الجدران النارية والموجهات الخاصة بك: -)

Answer 2

وأود أن أشجع أي شخص يبحثون عن هذا النوع من الحل للتحقق من Gluu خادم ( http://gluu.org ).

وكل خادم Gluu يتضمن IDP SAML لSAML SSO، موفر رض الاتصال (OP) لرض الاتصال SSO، وهو القرار بوينت سياسة UMA (PDP) لإدارة الوصول إلى شبكة الإنترنت، وخادم RADIUS وLDAP.

وجميع مكونات خادم Gluu هي المصدر المفتوح (أي لغو، OX، FreeRADIUS، OpenDJ، وما إلى ذلك)، بما في ذلك واجهة المستخدم على شبكة الإنترنت oxTrust لإدارة كل مكون من مكونات الخادم.

لتطبيقات تجارية، وGluu بناء ودعم ورصد هذا كومة من البرنامج على عملاء VM.

Answer 3

وأنت قد لا ترغب في توحيد كلمات المرور عبر العديد من التطبيقات (وخاصة الخارجية منها)، على الرغم من لنزاعات داخلية باستخدام خدمة المصادقة مثل LDAP معنى.

هل يمكن حل قضية كلمات السر تذكر مع إسو مثل نوفيل SecureLogin

وأيضا قد تكون مهتمة في نوفيل وصول مدير و <لأ href = "HTTP : //www.novell.com/products/identitymanager/ "يختلط =" نوفولو noreferrer "> نوفيل إدارة الهوية

Answer 4

وأنا أيضا يمكن استخدام مثل هذا الجهاز، واحد فقط يمكن أن تجد لي كان ذلك (ربما قديمة) ورقة البيانات من Infoblox. يبدو أن لديها منذ تتركز على الأدارة شبكة الآلي وأنا لا يمكن العثور على جهاز LDAP على موقعه على الانترنت الحالي. أعتقد أن بناء مربع لينكس مع الاشياء البرمجيات المذكورة أعلاه هو ما يفعل الجميع، ولكن سيكون أمرا رائعا ليس لديهم إمدادات الطاقة، والأقراص، والمراوح وما أنا افترض أنك يمكن استخدام شيء مثل PC EEE ووضع التكوين في ومضة البطاقة.

Answer 5

وهذا شيء كنت أبحث عنه كذلك، و http://www.turnkeylinux.org/openldap يبدو وكأنه الحل: تركيب "الأجهزة"، ويشمل احتياطية مشفرة على الانترنت التي يتم استعادة بسهولة إلى جهاز جديد أو الاستبدال.