Connaissez SSO clé en main Appliance avec LDAP, rayon, OpenID, etc?

Question

J'aide une petite entreprise typique qui a démarré avec deux systèmes externalisés (Google Apps, svn / trac). ajout d’un serveur interne Jabber (ejabber pour la plupart des clients iChat). s'abonne à quelques services Web (par exemple, highrisehq). et dispose d’un service vpn fourni par un pare-feu pfsense freebsd.

Et le résultat net de tout cela est qu’ils se noient dans les mots de passe et les comptes.

Il semble que s’ils disposaient d’un seul service de connexion unifiée / d’authentification unique, ils pourraient faire beaucoup pour les combiner. Exemple: LDAP en tant que référentiel maître, radius lié à celui-ci pour vpn, ejabber et même accès sans fil WPA2, plug-ins pour la connexion à Google app et peut-être un serveur openid pour les sites Web externes tels que highrisehq.

Il semble que tous ces outils existent séparément, mais est-ce que quelqu'un connaît un seul boîtier qui les combine avec une belle interface graphique et des mises à jour automatiques? (par exemple, comme pfsense / m0n0wall pour les pare-feu, freeNAS pour le stockage). Il n'est pas nécessaire que ce soit un logiciel libre. Une boîte payée serait bien aussi.

Je suppose que cela doit exister. Active Directory de Microsoft est probablement une solution mais ils préfèrent éviter Windows si possible. Il semble y avoir divers "AAA". serveurs que les FAI utilisent ou pour la gestion de pare-feu / routeur d’entreprise, mais cela ne semble pas tout à fait correct.

Des solutions évidentes me manquent-elles? Merci!

Answer 1

Cela fait plus d’un an que vous avez posé la question, alors je suppose que vous avez déjà résolu votre problème. Mais si quelqu'un d'autre est intéressé par une solution possible, je suggère ce qui suit:

Tout d’abord, je ne connais aucun "tout en un". solution à votre problème. Cependant, il est assez facile de combiner trois produits qui répondent à tous vos besoins et constituent une source unique pour la gestion des utilisateurs et le stockage des mots de passe.

La première chose à faire est d’installer un annuaire LDAP pour gérer les utilisateurs et les groupes (et éventuellement d’autres objets ne relevant pas de votre question). Cela peut être OpenLDAP , Apache DS , Microsoft Active Directory, etc. Tout serveur LDAP suffira.

Deuxièmement, je recommande d'installer FreeRADIUS avec Répertoire LDAP configuré en tant que service principal.

Troisièmement, obtenez une licence de Atlassian Crowd . Il fournit une authentification OpenID et Google Apps. Les prix pour un maximum de 50 utilisateurs commencent à 10 $ et vont jusqu'à 8 000 $ pour une licence d'utilisation illimitée.

L'installation et la configuration des trois est relativement facile. Vous aurez probablement à faire plus pour créer vos utilisateurs et vos groupes. Vous pouvez installer les trois composants sur un seul serveur et créer une boîte de dialogue qui vous permet d'authentifier à peu près tout, depuis la connexion au bureau, via Google Apps et d'autres applications Web, en passant par le VPN et même les connexions via Switch, WiFi et routeur.

Assurez-vous simplement de configurer vos rôles et vos groupes avec sagesse! Sinon, vous pourriez vous retrouver avec un vendeur capable de faire l’administration de vos pare-feu et routeurs: -)

Answer 2

J'encourage toutes les personnes cherchant ce type de solution à consulter le serveur Gluu ( http://gluu.org ). ).

Chaque serveur Gluu comprend un IDP SAML pour l'authentification unique SAML, un fournisseur OpenID Connect (OP) pour OpenID Connect SSO, un point de décision de stratégie UMA (PDP) pour la gestion de l'accès Web, ainsi qu'un serveur RADIUS et LDAP.

Tous les composants du serveur Gluu sont des logiciels à source ouverte (Shibboleth, OX, FreeRADIUS, OpenDJ, etc.), y compris l’interface utilisateur Web oxTrust permettant de gérer chaque composant du serveur.

Pour les implémentations commerciales, Gluu construira, supportera et surveillera cette pile de logiciels sur une VM cliente.

Answer 3

Vous pouvez ne pas vouloir normaliser les mots de passe pour autant d'applications (surtout les externes), bien que les applications internes utilisant un service d'authentification tel que LDAP aient un sens.

Vous pourriez résoudre le problème de la mémorisation des mots de passe avec un eSSO tel que Novell SecureLogin

Vous pouvez également être intéressé par Novell Access Manager et Novell Identity Manager

Answer 4

Moi aussi, je pourrais utiliser un tel appareil, mais le seul que j'ai pu trouver était une fiche technique (peut-être obsolète) d'Infoblox. Ils semblent s'être depuis concentrés sur la gestion automatisée du réseau et je ne trouve pas l'appliance LDAP sur leur site Web actuel. Je suppose que tout le monde fait la construction d’une machine Linux avec les logiciels libres mentionnés ci-dessus, mais ce serait bien de ne pas avoir d’alimentations, de disques, de ventilateurs, etc. Je suppose que vous pourriez utiliser quelque chose comme un PC EEE et mettre la configuration sur un flash. carte.

Answer 5

C’est quelque chose que je recherchais également et http://www.turnkeylinux.org/openldap ressemble à la solution: " appliance " installation, et il inclut une sauvegarde en ligne cryptée qui est facilement restaurée sur une nouvelle machine ou une machine de remplacement.