Conosci l'appliance chiavi in ??mano SSO con ldap, raggio, openid, ecc?
https://stackoverflow.com/questions/319874
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto aiutando una tipica piccola azienda che ha iniziato con un paio di sistemi in outsourcing (app google, svn / trac). aggiunto un server jabber interno (ejabber per la maggior parte dei client iChat). si abbona a un paio di servizi web (ad esempio highrisehq). e ha un servizio VPN fornito da un firewall pfsense freebsd.
E il risultato netto di tutto ciò è che stanno annegando in password e account.
Sembra che se avessero un unico servizio di accesso unificato / single signon potrebbero fare molto per combinarli. Ad esempio: lapap come repository principale, raggio collegato ad esso per vpn, ejabber e persino accesso wireless WPA2, plug-in per l'app google app e forse un server openid per siti Web esterni come highrisehq.
Sembra che tutti questi strumenti esistano separatamente, ma qualcuno conosce una singola casella che li combina con una bella interfaccia grafica e aggiornamenti automatici? (ad es. come pfsense / m0n0wall per firewall, freeNAS per archiviazione). Non deve essere FOSS. Anche una scatola a pagamento andrebbe bene.
Immagino che questo debba esistere. Active Directory di Microsoft è probabilmente una soluzione, ma preferirebbero evitare Windows se possibile. Sembra che ci siano vari "AAA" server che utilizzano gli ISP o per la gestione di firewall / router aziendali, ma ciò non sembra del tutto corretto.
Qualche soluzione ovvia mi manca? Grazie!
Soluzione
È passato più di un anno da quando hai originariamente posto la domanda, quindi suppongo che tu abbia risolto il tuo problema ormai. Ma se qualcun altro è interessato a una possibile soluzione, suggerisco quanto segue:
Prima di tutto, non conosco nessun "tutto in uno" soluzione al tuo problema. Tuttavia è abbastanza facile combinare tre prodotti che risolveranno tutte le tue esigenze e forniranno un'unica fonte per la gestione degli utenti e l'archiviazione delle password.
La prima cosa da fare è installare una directory LDAP per gestire utenti e gruppi (e possibilmente altri oggetti al di fuori dell'ambito della domanda). Questo può essere OpenLDAP , Apache DS , Microsoft Active Directory, ecc. Fondamentalmente qualsiasi server LDAP lo farà.
Secondo, consiglio di installare FreeRADIUS con Directory LDAP configurata come servizio back-end.
Terzo, ottiene una licenza di Atlassian Crowd . Fornisce l'autenticazione OpenID e Google Apps. I prezzi per un massimo di 50 utenti partono da $ 10 e arrivano fino a $ 8000 per una licenza utente illimitata.
L'installazione e la configurazione dei tre è relativamente semplice. Probabilmente dedicherai gran parte del lavoro alla creazione di utenti e gruppi. Puoi installare tutti e tre i componenti su un singolo server e finire con una scatola che ti consente di autenticare praticamente tutto, dall'accesso desktop, su Google Apps e altre app Web, fino a VPN e persino Switch, WiFi e accesso router.
Assicurati solo di configurare i tuoi ruoli e gruppi con saggezza! Altrimenti potresti finire con un addetto alle vendite in grado di amministrare i tuoi firewall e router :-)
Altri suggerimenti
Vorrei incoraggiare chiunque cerchi questo tipo di soluzione a consultare il Gluu Server ( http://gluu.org ).
Ogni Gluu Server include un IDP SAML per SAML SSO, un provider OpenID Connect (OP) per OpenID Connect SSO, un punto di decisione dei criteri UMA (PDP) per la gestione dell'accesso al Web e un server RADIUS e LDAP.
Tutti i componenti del Gluu Server sono open source (ovvero Shibboleth, OX, FreeRADIUS, OpenDJ, ecc.), compresa l'interfaccia utente web oxTrust per la gestione di ciascun componente del server.
Per le implementazioni commerciali, Gluu costruirà, supporterà e monitorerà questo stack di software su una VM client.
Potresti non voler standardizzare le password su così tante app (specialmente quelle esterne), anche se per quelle interne usare un servizio di autenticazione come LDAP ha senso.
Potresti risolvere il problema di ricordare le password con un eSSO come Novell SecureLogin
Potrebbe interessarti anche Novell Access Manager e Novell Identity Manager
Anch'io potrei usare un dispositivo del genere, tuttavia l'unico che ho potuto trovare era una scheda dati (probabilmente obsoleta) di Infoblox. Da allora sembrano essersi concentrati sulla gestione automatizzata della rete e non riesco a trovare l'appliance LDAP sul loro sito Web attuale. Immagino che costruire un box Linux con le cose FOSS menzionate sopra sia quello che fanno tutti, ma sarebbe bello non avere alimentatori, dischi, ventole ecc. Suppongo che potresti usare qualcosa come un PC EEE e mettere la configurazione su un flash carta.
Anche questo è qualcosa che stavo cercando, e http://www.turnkeylinux.org/openldap sembra la soluzione: " appliance " installazione e include un backup online crittografato che può essere facilmente ripristinato su una macchina nuova o sostitutiva.
