Знаете устройство SSO под ключ с ldap, radius, openid и т. Д.?
https://stackoverflow.com/questions/319874
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я помогаю типичной небольшой компании, которая начинала с нескольких сторонних систем (google apps, svn / trac). добавлен внутренний jabber-сервер (ejabber для большинства клиентов iChat). подписывается на пару веб-сервисов (например, highrisehq). и имеет службу vpn, предоставляемую межсетевым экраном pfsense freebsd.
И общий результат всего этого заключается в том, что они тонут в паролях и учетных записях.
Похоже, что если бы у них была единая служба единого входа / единого входа, они могли бы в значительной степени объединить их. Например: ldap как главный репозиторий, радиус, связанный с ним для беспроводного доступа vpn, ejabber и даже WPA2, плагины для входа в приложение google и, возможно, сервер openid для внешних веб-сайтов, таких как highrisehq.
Кажется, что все эти инструменты существуют отдельно, но кто-нибудь знает об одном блоке, который объединяет их с хорошим графическим интерфейсом и автообновлениями? (например, как pfsense / m0n0wall для брандмауэров, freeNAS для хранилища). Это не должно быть FOSS. Платная коробка тоже подойдет.
Я полагаю, это должно существовать. Active Directory от Microsoft, вероятно, является одним из решений, но они предпочли бы избегать Windows, если это возможно. Кажется, существуют различные «AAA» серверы, которые используют интернет-провайдеры или для управления корпоративным брандмауэром / маршрутизатором, но это не совсем правильно.
Какие-нибудь очевидные решения, которые мне не хватает? Спасибо!
Решение
Прошло уже больше года с тех пор, как вы изначально задали вопрос, поэтому, я думаю, вы уже решили свою проблему. Но если кто-то заинтересован в возможном решении, я предлагаю следующее:
Прежде всего, я не знаю ни одного " все в одном " Решение вашей проблемы. Однако довольно легко объединить три продукта, которые удовлетворят все ваши потребности и предоставят единый источник для управления пользователями и хранения паролей.
Первое, что нужно сделать, это установить каталог LDAP для управления пользователями и группами (и, возможно, другими объектами, выходящими за рамки вашего вопроса). Это может быть OpenLDAP , Apache DS , Microsoft Active Directory и т. д. В основном подойдет любой сервер LDAP.
Во-вторых, я рекомендую установить FreeRADIUS с помощью каталог LDAP, настроенный как его внутренняя служба.
В-третьих, получите лицензию Atlassian Crowd . Он обеспечивает OpenID и Google Apps аутентификацию. Цены до 50 пользователей начинаются от 10 долларов и до 8000 долларов за неограниченную пользовательскую лицензию.
Установка и настройка этих трех программ относительно просты. Вы, вероятно, вложите большую часть работы в создание пользователей и групп. Вы можете установить все три компонента на одном сервере и в конечном итоге получить коробку, позволяющую аутентифицировать практически все: от входа в систему с рабочего стола, через Google Apps и другие веб-приложения, вплоть до VPN и даже через коммутатор, WiFi и логин маршрутизатора.
Просто убедитесь, что вы правильно настроили свои роли и группы! В противном случае у вас может оказаться, что какой-то специалист по продажам сможет администрировать ваши брандмауэры и маршрутизаторы: -)
Другие советы
Я бы посоветовал всем, кто ищет решение такого типа, проверить сервер Gluu ( http://gluu.org ).
Каждый сервер Gluu включает SAML IDP для единого входа SAML, поставщика OpenID Connect (OP) для единого входа OpenID Connect, точки принятия решений о политике UMA (PDP) для управления веб-доступом, а также сервера RADIUS и LDAP.
Все компоненты сервера Gluu имеют открытый исходный код (например, Shibboleth, OX, FreeRADIUS, OpenDJ и т. д.), включая веб-интерфейс пользователя oxTrust для управления каждым компонентом сервера.
Для коммерческих реализаций Gluu будет создавать, поддерживать и контролировать этот стек программного обеспечения на виртуальной машине клиента.
Возможно, вы не захотите стандартизировать пароли во многих приложениях (особенно внешних), хотя для внутренних из них использование службы аутентификации, такой как LDAP, имеет смысл.
Вы можете решить проблему запоминания паролей с помощью eSSO, например Novell SecureLogin
Также вас могут заинтересовать Novell Access Manager и Novell Identity Manager
Я тоже мог использовать такое устройство, однако единственное, что я смог найти, - это (возможно, устаревший) лист данных от Infoblox. С тех пор они, похоже, сосредоточились на автоматическом управлении сетью, и я не могу найти устройство LDAP на их текущем веб-сайте. Я полагаю, что создание Linux-бокса с использованием упомянутой выше системы FOSS - это то, что делают все, но было бы замечательно, если бы не было блоков питания, дисков, вентиляторов и т. Д. карта.
Это то, что я тоже искал, и http://www.turnkeylinux.org/openldap выглядит как решение: " устройство " установка, и она включает в себя зашифрованное онлайн-резервное копирование, которое легко восстанавливается на новом или замененном компьютере.
