¿Conoce el dispositivo SSO llave en mano con ldap, radius, openid, etc.?

Question

Estoy ayudando a una pequeña empresa típica que comenzó con un par de sistemas subcontratados (aplicaciones de google, svn / trac). Se agregó un servidor jabber interno (ejabber para la mayoría de los clientes de iChat). se suscribe a un par de servicios web (por ejemplo, highrisehq). y tiene un servicio vpn proporcionado por un firewall pfsense freebsd.

Y el resultado neto de todo esto es que se están ahogando en contraseñas y cuentas.

Parece que si tuvieran un único servicio de inicio de sesión único / inicio de sesión único, podrían recorrer un largo camino para combinarlos. Por ejemplo: ldap como repositorio principal, radio vinculado a él para vpn, ejabber e incluso acceso inalámbrico WPA2, complementos para el inicio de sesión de la aplicación de google y quizás un servidor openid para sitios web externos como highrisehq.

Parece que todas estas herramientas existen por separado, pero ¿alguien sabe de una sola caja que las combine con una buena GUI y actualizaciones automáticas? (por ejemplo, pfsense / m0n0wall para firewalls, freeNAS para almacenamiento). No tiene que ser FOSS. Una caja pagada también estaría bien.

Me imagino que esto debe existir. El Active Directory de Microsoft es probablemente una solución, pero prefieren evitar Windows si es posible. Parece que hay varios "AAA" servidores que usan los ISP o para la administración de firewall / enrutador de la empresa, pero eso no parece correcto.

¿Alguna solución obvia que me falta? Gracias!

Answer 1

Hace más de un año que originalmente hiciste la pregunta, así que supongo que ya has resuelto tu problema. Pero si alguien más está interesado en una posible solución, sugiero lo siguiente:

En primer lugar, no sé de ninguno "todo en uno" Solución a su problema. Sin embargo, es bastante fácil combinar tres productos que resolverán todas sus necesidades y proporcionarán una fuente única para la gestión de usuarios y el almacenamiento de contraseñas.

Lo primero que debe hacer es instalar un Directorio LDAP para administrar Usuarios y Grupos (y posiblemente otros objetos fuera del alcance de su pregunta). Puede ser OpenLDAP , Apache DS , Microsoft Active Directory, etc. Básicamente cualquier servidor LDAP funcionará.

Segundo, recomiendo instalar FreeRADIUS con el Directorio LDAP configurado como su servicio backend.

En tercer lugar, obtenga una licencia de Atlassian Crowd . Proporciona autenticación OpenID y Google Apps. Los precios para hasta 50 usuarios comienzan en $ 10 y llegan hasta $ 8000 para una licencia de usuario ilimitada.

La instalación y configuración de los tres es relativamente fácil. Probablemente dedicará más trabajo a la creación de sus usuarios y grupos. Puede instalar los tres componentes en un único servidor y terminar con un cuadro que le permite autenticar casi todo, desde el inicio de sesión en el escritorio, a través de Google Apps y otras aplicaciones web, hasta VPN e incluso Switch, WiFi y enrutador.

¡Solo asegúrese de configurar sus Roles y Grupos sabiamente! De lo contrario, es posible que algún vendedor pueda administrar sus cortafuegos y enrutadores :-)

Answer 2

Animaría a cualquiera que busque este tipo de solución a revisar el Servidor Gluu ( http://gluu.org )

Cada servidor Gluu incluye un IDP de SAML para el inicio de sesión único de SAML, un proveedor de OpenID Connect (OP) para el inicio de sesión único de OpenID Connect, un punto de decisión de política (PDP) de UMA para la gestión del acceso web y un servidor RADIUS y LDAP.

Todos los componentes del Gluu Server son de código abierto (es decir, Shibboleth, OX, FreeRADIUS, OpenDJ, etc.), incluida la interfaz de usuario web oxTrust para administrar cada componente del servidor.

Para implementaciones comerciales, Gluu construirá, respaldará y supervisará esta pila de software en una VM de cliente.

Answer 3

Es posible que no desee estandarizar las contraseñas en tantas aplicaciones (especialmente las externas), aunque para las internas usar un servicio de autenticación como LDAP tiene sentido.

Podría resolver el problema de recordar contraseñas con un eSSO como Novell SecureLogin

También podría estar interesado en Novell Access Manager y Novell Identity Manager

Answer 4

Yo también podría usar dicho dispositivo, sin embargo, el único que pude encontrar fue una hoja de datos (posiblemente desactualizada) de Infoblox. Parece que se han concentrado desde entonces en la gestión automatizada de la red y no puedo encontrar el dispositivo LDAP en su sitio web actual. Supongo que construir una caja de Linux con el material FOSS mencionado anteriormente es lo que todos hacen, pero sería genial no tener fuentes de alimentación, discos, ventiladores, etc. Supongo que podría usar algo como una PC EEE y poner la configuración en un instante tarjeta.

Answer 5

Esto es algo que también estaba buscando, y http://www.turnkeylinux.org/openldap parece la solución: " aparato " instalación, e incluye una copia de seguridad en línea encriptada que se restaura fácilmente en una máquina nueva o de reemplazo.