Знаете устройство SSO под ключ с ldap, radius, openid и т. Д.?

Question

Я помогаю типичной небольшой компании, которая начинала с нескольких сторонних систем (google apps, svn / trac). добавлен внутренний jabber-сервер (ejabber для большинства клиентов iChat). подписывается на пару веб-сервисов (например, highrisehq). и имеет службу vpn, предоставляемую межсетевым экраном pfsense freebsd.

И общий результат всего этого заключается в том, что они тонут в паролях и аккаунтах.

Похоже, что если бы у них была единая служба единого входа / единого входа, они могли бы значительно их объединить. Например: ldap как главный репозиторий, радиус, связанный с ним для беспроводного доступа vpn, ejabber и даже WPA2, плагины для входа в приложение google и, возможно, сервер openid для внешних веб-сайтов, таких как highrisehq.

Кажется, что все эти инструменты существуют отдельно, но кто-нибудь знает об одном блоке, который объединяет их с хорошим графическим интерфейсом и автообновлениями? (например, как pfsense / m0n0wall для брандмауэров, freeNAS для хранилища). Это не должно быть FOSS. Платная коробка тоже подойдет.

Я полагаю, это должно существовать. Active Directory от Microsoft, вероятно, является одним из решений, но они предпочли бы избегать Windows, если это возможно. Кажется, существуют различные «AAA» -серверы, которые используют интернет-провайдеры или для управления межсетевым экраном / маршрутизатором предприятия, но это не совсем верно.

Какие-нибудь очевидные решения, которые мне не хватает? Спасибо!

Answer 1

Прошло уже больше года с тех пор, как вы изначально задали вопрос, так что, полагаю, вы уже решили свою проблему. Но если кто-то заинтересован в возможном решении, я предлагаю следующее:

Прежде всего, я не знаю ни одного решения "все в одном" для вашей проблемы. Однако довольно легко объединить три продукта, которые удовлетворят все ваши потребности и предоставят единый источник для управления пользователями и хранения паролей.

Первое, что нужно сделать, это установить каталог LDAP для управления пользователями и группами (и, возможно, другими объектами, выходящими за рамки вашего вопроса). Это может быть OpenLDAP , Apache DS , Microsoft Active Directory и т. Д. В основном подойдет любой сервер LDAP.

Во-вторых, я рекомендую установить FreeRADIUS с каталогом LDAP , настроенным в качестве внутренней службы.

Третий получит лицензию Атласская толпа . Он обеспечивает OpenID и Google Apps аутентификацию. Цены до 50 пользователей начинаются от 10 долларов и до 8000 долларов за неограниченную пользовательскую лицензию.

Установка и настройка трех относительно проста. Вы, вероятно, вложите большую часть работы в создание своих пользователей и групп. Вы можете установить все три компонента на одном сервере и в конечном итоге получить коробку, позволяющую аутентифицировать практически все: от входа в систему с рабочего стола, через Google Apps и другие веб-приложения, вплоть до VPN и даже через Switch, WiFi и Router.

Просто убедитесь, что вы правильно настроили свои роли и группы! В противном случае у вас может получиться, что какой-нибудь специалист по продажам сможет администрировать ваши брандмауэры и маршрутизаторы: -)

Answer 2

Я бы рекомендовал всем, кто ищет решение такого типа, проверить Gluu Server (http://gluu.org).

Каждый сервер Gluu включает в себя SAML IDP для единого входа SAML, поставщика OpenID Connect (OP) для единого входа OpenID Connect, точки принятия решений о политике UMA (PDP) для управления веб-доступом, а также сервер RADIUS и LDAP.

Все компоненты сервера Gluu имеют открытый исходный код (например, Shibboleth, OX, FreeRADIUS, OpenDJ и т. Д.), Включая веб-интерфейс пользователя oxTrust для управления каждым компонентом сервера.

Для коммерческих реализаций Gluu будет создавать, поддерживать и контролировать этот стек программного обеспечения на клиентской виртуальной машине.

Answer 3

Я тоже мог бы использовать такое устройство, однако единственное, что я смог найти, - это (возможно, устаревший) лист данных от Infoblox. С тех пор они, похоже, сосредоточились на автоматическом управлении сетью, и я не могу найти устройство LDAP на их текущем веб-сайте. Я полагаю, что создание Linux-бокса с использованием упомянутого выше материала FOSS - это то, что делают все, но было бы замечательно, если бы не было блоков питания, дисков, вентиляторов и т. Д. карта.

Answer 4

Возможно, вы не захотите стандартизировать пароли во многих приложениях (особенно внешних), хотя для внутренних из них использование службы аутентификации, такой как LDAP, имеет смысл.

Вы можете решить проблему запоминания паролей с помощью eSSO, например Novell SecureLogin

Также вас могут заинтересовать Novell Access Manager и Novell Identity Manager

Answer 5

Это то, что я тоже искал, и http://www.turnkeylinux.org/openldap выглядит как решение: установка «устройства» и включает в себя зашифрованное онлайн-резервное копирование, которое легко восстанавливается на новом или замененном компьютере.