我目前正在重新开展我公司的IT基础设施。 现在到处都是,所以我试图从头开始重新组织一切。 我认为我要处理的第一件事是中央用户pipe理和authentication,以及良好的密码安全和pipe理。
我们有不到10名员工,大多数使用的是苹果电脑,但只有less数Windows PC。 我们有一个SAN用作中央文件共享。 目前,每个用户只有一个密码,他们login到他们的计算,用户名和密码login到文件共享。 此外,我们的密码安全和pipe理可以做升级,因为我们目前不使用密码pipe理器或任何其他类似的系统。
经过大量的研究,我计划推出以下内容:
这样,我们就可以获得一个网站的密码pipe理器,这样我们就可以执行良好的密码pipe理和安全性,强大的身份validation措施来访问密码pipe理器,以及pipe理用户帐户和从中央位置访问所有login名和密码。
首先,这听起来像一个好的计划? 还有其他的select可以考虑吗?
其次,我有点卡在连接第三方Web应用程序到OpenLDAP。 我知道大多数提供商(包括LastPass)使用SAML进行SSO /联合访问,但是我不知道如何设置。 OpenLDAP是否支持SAML身份validation? 如果我想启用MFA(可能包括移动身份validation器和/或Yubikeys),该怎么办?
我猜测我可能需要OpenLDAP之前的另一个软件来处理SAML / MFA / Yubikey /等,然后只是从OpenLDAP查找用户详细信息,但我不知道我在寻找什么并没有发现任何东西。
编辑:当然,我的search发现后马上发现了一些东西! 我应该使用CAS( https://apereo.github.io/cas )进行基于Web的SAML身份validation吗? 它看起来像这将允许我处理基于Web的login,并通过LDAP目录进行身份validation。
你可以看看Univention公司服务器 。 这是一个基于Linux的发行版,提供LDAP,Active Directory(通过Samba 4),SAML和许多其他第三方应用程序。 在Univention Corporate Server上使用privacyIDEA ,您还可以在networking中设置2FA。
由于UCS提供了一个Active Directory,您可以连接所有的Windows客户端。 因此你不需要注册pGina。 由于UCS还提供了simpleSAMLphp,所以即使使用2FA,也可以在外部应用程序中使用SSO / SAML。
我在德国为Univntion工作。
首先,这听起来像一个好的计划? 还有其他的select可以考虑吗?
原则上是好的。 但是我不确定值得这么less用户的努力。 尝试UCS核心版(与社区支持 )。
其次,我有点卡在连接第三方Web应用程序到OpenLDAP。 我知道大多数提供商(包括LastPass)使用SAML进行SSO /联合访问,但是我不知道如何设置。 OpenLDAP是否支持SAML身份validation? 如果我想启用MFA(可能包括移动身份validation器和/或Yubikeys),该怎么办?
不直接。 你可以使用SimpleSAMLphp之类的东西。