Знаете устройство SSO под ключ с ldap, radius, openid и т. Д.?
-
11-07-2019 - |
Вопрос
Я помогаю типичной небольшой компании, которая начинала с нескольких сторонних систем (google apps, svn / trac). добавлен внутренний jabber-сервер (ejabber для большинства клиентов iChat). подписывается на пару веб-сервисов (например, highrisehq). и имеет службу vpn, предоставляемую межсетевым экраном pfsense freebsd.
И общий результат всего этого заключается в том, что они тонут в паролях и учетных записях. Р>
Похоже, что если бы у них была единая служба единого входа / единого входа, они могли бы в значительной степени объединить их. Например: ldap как главный репозиторий, радиус, связанный с ним для беспроводного доступа vpn, ejabber и даже WPA2, плагины для входа в приложение google и, возможно, сервер openid для внешних веб-сайтов, таких как highrisehq.
Кажется, что все эти инструменты существуют отдельно, но кто-нибудь знает об одном блоке, который объединяет их с хорошим графическим интерфейсом и автообновлениями? (например, как pfsense / m0n0wall для брандмауэров, freeNAS для хранилища). Это не должно быть FOSS. Платная коробка тоже подойдет.
Я полагаю, это должно существовать. Active Directory от Microsoft, вероятно, является одним из решений, но они предпочли бы избегать Windows, если это возможно. Кажется, существуют различные «AAA» серверы, которые используют интернет-провайдеры или для управления корпоративным брандмауэром / маршрутизатором, но это не совсем правильно.
Какие-нибудь очевидные решения, которые мне не хватает? Спасибо!
Решение
Прошло уже больше года с тех пор, как вы изначально задали вопрос, поэтому, я думаю, вы уже решили свою проблему. Но если кто-то заинтересован в возможном решении, я предлагаю следующее:
Прежде всего, я не знаю ни одного " все в одном " Решение вашей проблемы. Однако довольно легко объединить три продукта, которые удовлетворят все ваши потребности и предоставят единый источник для управления пользователями и хранения паролей.
Первое, что нужно сделать, это установить каталог LDAP для управления пользователями и группами (и, возможно, другими объектами, выходящими за рамки вашего вопроса). Это может быть OpenLDAP , Apache DS , Microsoft Active Directory и т. д. В основном подойдет любой сервер LDAP.
Во-вторых, я рекомендую установить FreeRADIUS с помощью каталог LDAP, настроенный как его внутренняя служба.
В-третьих, получите лицензию Atlassian Crowd . Он обеспечивает OpenID и Google Apps аутентификацию. Цены до 50 пользователей начинаются от 10 долларов и до 8000 долларов за неограниченную пользовательскую лицензию. Р>
Установка и настройка этих трех программ относительно просты. Вы, вероятно, вложите большую часть работы в создание пользователей и групп. Вы можете установить все три компонента на одном сервере и в конечном итоге получить коробку, позволяющую аутентифицировать практически все: от входа в систему с рабочего стола, через Google Apps и другие веб-приложения, вплоть до VPN и даже через коммутатор, WiFi и логин маршрутизатора. р>
Просто убедитесь, что вы правильно настроили свои роли и группы! В противном случае у вас может оказаться, что какой-то специалист по продажам сможет администрировать ваши брандмауэры и маршрутизаторы: -)
Другие советы
Я бы посоветовал всем, кто ищет решение такого типа, проверить сервер Gluu ( http://gluu.org ). Р>
Каждый сервер Gluu включает SAML IDP для единого входа SAML, поставщика OpenID Connect (OP) для единого входа OpenID Connect, точки принятия решений о политике UMA (PDP) для управления веб-доступом, а также сервера RADIUS и LDAP. Р>
Все компоненты сервера Gluu имеют открытый исходный код (например, Shibboleth, OX, FreeRADIUS, OpenDJ и т. д.), включая веб-интерфейс пользователя oxTrust для управления каждым компонентом сервера. Р>
Для коммерческих реализаций Gluu будет создавать, поддерживать и контролировать этот стек программного обеспечения на виртуальной машине клиента. Р>
Возможно, вы не захотите стандартизировать пароли во многих приложениях (особенно внешних), хотя для внутренних из них использование службы аутентификации, такой как LDAP, имеет смысл.
Вы можете решить проблему запоминания паролей с помощью eSSO, например Novell SecureLogin р>
Также вас могут заинтересовать Novell Access Manager и Novell Identity Manager
Я тоже мог использовать такое устройство, однако единственное, что я смог найти, - это (возможно, устаревший) лист данных от Infoblox. С тех пор они, похоже, сосредоточились на автоматическом управлении сетью, и я не могу найти устройство LDAP на их текущем веб-сайте. Я полагаю, что создание Linux-бокса с использованием упомянутой выше системы FOSS - это то, что делают все, но было бы замечательно, если бы не было блоков питания, дисков, вентиляторов и т. Д. карта.
Это то, что я тоже искал, и http://www.turnkeylinux.org/openldap выглядит как решение: " устройство " установка, и она включает в себя зашифрованное онлайн-резервное копирование, которое легко восстанавливается на новом или замененном компьютере. Р>