Знаете ли вы о готовом устройстве SSO с ldap, radius, openid и т. д.?
Я помогаю типичной небольшой компании, которая начинала с нескольких аутсорсинговых систем (google apps, svn / trac). добавлен внутренний сервер jabber (ejabber для большинства клиентов iChat). подписывается на несколько веб-сервисов (например, highrisehq). и есть услуга VPN на pfsense межсетевой экран с FreeBSD.
И конечным результатом всего этого является то, что они тонут в паролях и учетных записях.Похоже, что если бы у них была одна унифицированная служба входа / единого входа, они могли бы пойти долгий путь к их объединению. Например, ldap в качестве главного репозитория, radius, связанный с ним для vpn, ejabber и даже беспроводного доступа WPA2, плагины для входа в приложение google и, возможно, сервер openid для внешних веб-сайтов, таких как highrisehq.
Кажется, что все эти инструменты существуют отдельно, но кто-нибудь знает об одной коробке, которая объединяет их с хорошим графическим интерфейсом и автоматическими обновлениями? (например, pfsense/m0n0wall для брандмауэров, freeNAS для хранения). Это не обязательно должен быть Фосс. Платная коробка была бы и все будет хорошо.
Я полагаю, что это должно существовать. Microsoft Active Directory, вероятно, является одним из решений, но они предпочитают избегать Windows, если это возможно. Похоже, существуют различные серверы "AAA", которые используют провайдеры или для управления корпоративным брандмауэром/маршрутизатором, но это не совсем правильно.
Каких-то очевидных решений я не вижу? Спасибо!
5 ответов:
Прошло уже больше года с тех пор, как вы впервые задали этот вопрос, так что я предполагаю, что вы уже решили свою проблему. Но если кто-то еще заинтересован в возможном решении, я предлагаю следующее:
Во-первых, я не знаю никакого "все в одном" решения вашей проблемы. Однако довольно легко объединить три продукта, которые решат все ваши потребности и обеспечат единый источник для управления пользователями и хранения паролей.Первое, что нужно сделать, это установить LDAP Каталог для управления пользователями и группами (и, возможно, другими объектами, не входящими в область вашего вопроса). Это может быть OpenLDAP, Apache DS , Microsoft Active Directory и др. В принципе, подойдет любой сервер LDAP.
Во-вторых, я рекомендую установить FreeRADIUS с каталогом LDAP, настроенным как серверная служба.
Третьи получают лицензию Атласской толпы. Он обеспечивает аутентификацию OpenID и Google Apps. Цены для до 50 пользователей начните с $ 10 и дойдите до $8000 за неограниченную лицензию пользователя.
Установка и настройка трех из них относительно проста. Вы, вероятно, вложите большую часть работы в создание своих Пользователей и групп. Вы можете установить все три компонента на одном сервере и в конечном итоге получить окно, которое позволяет вам аутентифицировать практически все, начиная с входа на рабочий стол, через Google Apps и другие веб-приложения, вплоть до VPN и даже Switch, WiFi и Router Login.
Просто убедитесь, что вы грамотно настраивайте свои роли и группы! В противном случае вы можете оказаться с каким-то продавцом, способным выполнять администрирование на ваших брандмауэрах и маршрутизаторах: -)
Я бы рекомендовал всем, кто ищет этот тип решения, проверить сервер Gluu (http://gluu.org).
Каждый сервер, отправив им текстовое включает в качестве ВПЛ для единого входа SAML, OpenID к подключить поставщика (ОП) для подключения единого входа OpenID, ОМС, политика момента принятия решения (ППР) для управления веб-доступа и Radius и LDAP-сервера.
Все компоненты сервера Gluu имеют открытый исходный код (например, Shibboleth, OX, FreeRADIUS, OpenDJ и т. д.), включая пользовательский интерфейс oxTrust web для управление каждым компонентом сервера.
Для коммерческих реализаций Gluu будет создавать, поддерживать и контролировать этот стек программного обеспечения на клиентской виртуальной машине.
Возможно, вы не захотите стандартизировать пароли в таком большом количестве приложений (особенно внешних), хотя для внутренних приложений использование службы auth, такой как LDAP, имеет смысл.
Вы можете решить проблему запоминания паролей с помощью eSSO, например Novell SecureLogin
Также вас могут заинтересовать Novell Access Manager и Novell Identity Manager
Я тоже мог бы использовать такое устройство, однако единственным, что я смог найти, был (возможно, устаревший) лист данных от Infoblox. Они, кажется, с тех пор сосредоточились на автоматизированном управлении сетью, и я не могу найти устройство LDAP на их текущем веб-сайте. Я думаю, что создание Linux-коробки с упомянутым выше материалом FOSS-это то, что делают все, но было бы здорово не иметь источников питания, дисков, вентиляторов и т. д. Я полагаю, что вы могли бы использовать что-то вроде Eee PC и поставить конфигурацию на вспышку карта.
Это то, что я тоже искал, и http://www.turnkeylinux.org/openldap выглядит как решение: установка" appliance", и она включает в себя зашифрованное онлайн-резервное копирование, которое легко восстанавливается на новой или замененной машине.