ldap - 了解具有 ldap、radius、openid 等的 SSO 交钥匙设备吗？

Question

我正在帮助一家典型的小公司，该公司从几个外包系统（谷歌应用程序、svn/trac）开始。添加了一个内部 jabber 服务器（ejabber 主要用于 iChat 客户端）。订阅了几个网络服务（例如 highrisehq）。并具有由 pfsense freebsd 防火墙提供的 vpn 服务。

所有这一切的最终结果是他们淹没在密码和帐户中。

似乎如果他们有一个统一的登录/单点登录服务，他们可以在很长的时间内将这些结合起来。例如：ldap 作为主存储库，radius 链接到它以用于 vpn、ejabber 甚至 WPA2 无线访问，用于登录谷歌应用程序的插件，以及可能用于外部网站（如 highrisehq）的 openid 服务器。

似乎所有这些工具都是单独存在的，但有谁知道将它们与漂亮的 GUI 和自动更新相结合的单个盒子？（例如，pfsense/m0n0wall 用于防火墙，freeNAS 用于存储）。它不一定是 FOSS。付费的盒子也可以。

我认为这一定存在。Microsoft 的 Active Directory 可能是一种解决方案，但如果可能，他们宁愿避免使用 Windows。ISP 使用或用于企业防火墙/路由器管理的似乎有各种“AAA”服务器，但这似乎不太正确。

我缺少任何明显的解决方案吗？谢谢！

Answer 1

自从你最初提出这个问题以来已经一年多了，所以我猜你现在已经解决了你的问题。但是，如果其他人对可能的解决方案感兴趣，我建议如下：

首先，我不知道您的问题有任何“一体化”解决方案。但是，将三种产品组合起来非常容易，它们将解决您的所有需求并为用户管理和密码存储提供单一来源。

首先要做的是安装一个 LDAP 目录来管理用户和组（以及可能超出您的问题范围的其他对象）。这可以是OpenLDAP、Apache DS、 Microsoft Active Directory 等。基本上任何 LDAP 服务器都可以。

其次，我建议安装FreeRADIUS，并将LDAP 目录配置为后端服务。

第三获得Atlassian Crowd的许可证。它提供 OpenID 和 Google Apps 身份验证。最多 50 位用户的起价为 10 美元，无限用户许可证最高可达 8000 美元。

三者的安装和配置都比较容易。您可能会将大部分工作用于创建用户和组。您可以在单个服务器上安装所有三个组件，并最终得到一个允许您验证几乎所有内容的盒子，从桌面登录、Google Apps 和其他 Web 应用程序，到 VPN，甚至交换机、WiFi 和路由器登录。

只需确保明智地配置角色和组！否则，您最终可能会有一些销售人员能够对您的防火墙和路由器进行管理:-)

Answer 2

我鼓励任何搜索此类解决方案的人查看 Gluu 服务器 ( http://gluu.org )。

每个 Gluu 服务器都包括一个用于 SAML SSO 的 SAML IDP、一个用于 OpenID Connect SSO 的 OpenID Connect 提供程序 (OP)、一个用于 Web 访问管理的 UMA 策略决策点 (PDP) 以及一个 RADIUS 和 LDAP 服务器。

Gluu Server 的所有组件都是开源的（即 Shibboleth、OX、FreeRADIUS、OpenDJ 等），包括用于管理服务器每个组件的 oxTrust Web 用户界面。

对于商业实施，Gluu 将在客户端 VM 上构建、支持和监控此软件堆栈。

Answer 3

您可能不想在这么多应用程序（尤其是外部应用程序）中标准化密码，但对于使用 LDAP 等身份验证服务的内部应用程序来说是有意义的。

您可以使用像Novell SecureLogin这样的 eSSO 解决记住密码的问题

您也可能对 Novell Access Manager和Novell Identity Manager感兴趣

Answer 4

我也可以使用这样的设备，但我唯一能找到的是来自 Infoblox 的（可能已经过时的）数据表。他们似乎从那以后专注于自动化网络管理，而我在他们当前的网站上找不到 LDAP 设备。我想用上面提到的 FOSS 东西构建一个 linux 盒子是每个人都会做的，但是没有电源、磁盘、风扇等会很棒。我想你可以使用 EEE PC 之类的东西并将配置放在闪存上卡片。

Answer 5

这也是我一直在寻找的东西，http: //www.turnkeylinux.org/openldap 看起来像解决方案：“设备”安装，它包括加密的在线备份，可以轻松恢复到新机器或替换机器。