Kennen Sie die schlüsselfertige SSO-Appliance mit LDAP, Radius, OpenID usw.?

Question

Ich helfe einem typischen kleinen Unternehmen, das mit ein paar ausgelagerten Systemen (Google Apps, SVN/Trac) begann.Ein interner Jabber-Server wurde hinzugefügt (Ejabber für die meisten iChat-Clients).Abonniert einige Webdienste (z. B.Hochhaushq).und verfügt über einen VPN-Dienst, der von einer Pfsense-FreeBSD-Firewall bereitgestellt wird.

Und das Endergebnis all dessen ist, dass sie in Passwörtern und Konten ertrinken.

Es scheint, dass sie mit einem einzigen einheitlichen Login-/Single-Sign-On-Dienst viel dazu beitragen könnten, diese zu kombinieren.Z.B.:LDAP als Master-Repository, damit verbundener Radius für VPN-, Ejabber- und sogar WPA2-Wireless-Zugriff, Plugins für die Google-App-Anmeldung und möglicherweise ein OpenID-Server für externe Websites wie highrisehq.

Es scheint, dass alle diese Tools separat existieren, aber kennt jemand eine einzige Box, die sie mit einer schönen Benutzeroberfläche und automatischen Updates kombiniert?(z.B.wie pfsense/m0n0wall für Firewalls, freeNAS für Speicher).Es muss nicht FOSS sein.Eine kostenpflichtige Box wäre auch in Ordnung.

Ich denke, das muss existieren.Microsofts Active Directory ist wahrscheinlich eine Lösung, aber sie würden Windows nach Möglichkeit lieber meiden.Es scheint verschiedene „AAA“-Server zu geben, die ISPs oder für die Unternehmens-Firewall-/Router-Verwaltung verwenden, aber das scheint nicht ganz richtig zu sein.

Gibt es offensichtliche Lösungen, die mir fehlen?Danke!

Answer 1

Es ist über ein Jahr her, seit Sie die Frage ursprünglich gestellt haben. Ich vermute also, dass Sie Ihr Problem inzwischen gelöst haben.Aber wenn jemand anderes an einer möglichen Lösung interessiert ist, schlage ich Folgendes vor:

Zunächst einmal kenne ich keine All-in-One-Lösung für Ihr Problem.Es ist jedoch ganz einfach, drei Produkte zu kombinieren, die alle Ihre Anforderungen erfüllen und eine einzige Quelle für die Benutzerverwaltung und Passwortspeicherung bieten.

Als Erstes müssen Sie ein LDAP-Verzeichnis installieren, um Benutzer und Gruppen (und möglicherweise andere Objekte außerhalb des Rahmens Ihrer Frage) zu verwalten.Das kann sein OpenLDAP, Apache DS, Microsoft Active Directory usw.Grundsätzlich reicht jeder LDAP-Server aus.

Zweitens empfehle ich die Installation FreeRADIUS mit dem LDAP-Verzeichnis konfiguriert da es sich um einen Backend-Dienst handelt.

Drittens erhalten Sie eine Lizenz von Atlassian Crowd.Es bietet OpenID- und Google Apps-Authentifizierung.Die Preise für bis zu 50 Benutzer beginnen bei 10 $ und reichen bis zu 8.000 $ für eine unbegrenzte Benutzerlizenz.

Die Installation und Konfiguration der drei ist relativ einfach.Die meiste Arbeit werden Sie wahrscheinlich in die Erstellung Ihrer Benutzer und Gruppen stecken.Sie können alle drei Komponenten auf einem einzigen Server installieren und erhalten am Ende eine Box, mit der Sie praktisch alles authentifizieren können, von der Desktop-Anmeldung über Google Apps und andere Web-Apps bis hin zu VPN und sogar Switch-, WLAN- und Router-Anmeldung.

Stellen Sie einfach sicher, dass Sie Ihre Rollen und Gruppen mit Bedacht konfigurieren!Andernfalls kann es passieren, dass ein Vertriebsmitarbeiter die Verwaltung Ihrer Firewalls und Router übernimmt :-)

Answer 2

Ich würde gerne empfehlen für diese Art von Lösung Durchsuchen des Gluu Server zu überprüfen ( http://gluu.org ).

Jeder Gluu Server enthält ein SAML IDP für SAML SSO, eine OpenID Connect Provider (OP) für OpenID Connect SSO, eine UMA Policy Decision Point (PDP) für Web Access Management und einen RADIUS und LDAP-Server.

Alle Komponenten des Gluu Server sind Open Source (das heißt Shibboleth, OX, Freeradius, OpenDJ, etc.), einschließlich der oxTrust Web-Benutzeroberfläche für jede Komponente des Servers zu verwalten.

Für kommerzielle Implementierungen wird Gluu bauen, unterstützen und überwachen diese Stapel von Software auf einer Kunden-VM.

Answer 3

Sie können nicht wollen, Passwörter über so viele Anwendungen zu standardisieren (vor allem externe), obwohl für die internen diejenigen einen Auth-Dienst wie LDAP sinnvoll ist.

Sie könnten das Problem der Erinnerung von Passwörtern mit einem eSSO wie Novell Securelogin

Auch könnten Sie interessieren könnten Novell Access Manager und Novell Identity Manager

Answer 4

Auch ich ein solches Gerät verwenden könnte, aber das einzige, das ich war eine (möglicherweise veraltet) Datenblatt von Infoblox finden konnten. Sie scheinen da auf automatisiertes Netzmanagement konzentriert zu haben, und ich kann nicht das LDAP-Gerät auf ihrer aktuellen Website. Ich denke, den Aufbau einer Linux-Box mit dem Zeug FOSS oben erwähnt ist, was jeder tut, aber es wäre toll, nicht Stromversorgungen zu haben, Platten, Lüfter usw. Ich nehme an, Sie so etwas wie ein EEE PC nutzen könnten und setzen die Config auf einem Flash Karte.

Answer 5

Das ist etwas, das ich wurde auch suchen, und http://www.turnkeylinux.org/openldap sieht aus wie die Lösung: „Gerät“ Installation und enthält verschlüsselten Online-Backup, die leicht zu einer neuen oder Ersatzmaschine wieder hergestellt wird.