服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Google Apps,AD和SSO
Intereting Posts
添加用户到sudoers – 问题 在Ubuntu / Apache服务器上安装什么好的邮件服务器? Azurestream量pipe理器 – 使用自定义域进行故障转移 VPN客户端无法访问某个子网 如何使用IP 10.0.0.3访问服务器上的网页? Server 2008 – Windows Server备份到特定的文件夹? 文件级备份 Microsoft Security Essentials可以从一台中央PC远程安装到多台PC上吗? linux到linux远程桌面 将CentOS 5.5上的Perl升级到版本5.10+ 运行web服务器的多个云实例:我如何在它们之间同步虚拟主机configuration? CentOS – bash版本在升级后不会改变 为什么我的迁移的apache2-fastcgi-django解决scheme给我“AH01630:客户端拒绝服务器configuration”? 裸机configuration给客户如何使用PXE 我可以强制passwd命令使用MD5散列(而不是crypt)? 持续备份testing?

Google Apps,AD和SSO

我们是一家运营Google Apps(企业版)的小店,以满足我们的电子邮件需求。 爱它。 在内部,我们正在使用Windows AD(2003)。 那里也没有投诉。

我想在AD和Google Apps之间find一些SSO的方法,这样AD就是我们人员必须pipe理(并定期更改!)密码的唯一方法。

我过去看过google的“tfm”,但我想我不太明白。 有没有人这样做? 如果是这样,你愿意分享如何? 它可以做到没有大量的复杂性和费用?

您可以使用Google Apps做一些事情。

您可以设置连接到您的ADnetworking的SAML服务器,然后设置Google来validation您的Google Apps访问SAML服务器。 我们使用了一个名为simpleSAMLphp的PHP应用程序,因为我们已经有服务器设置来运行PHP,我们有开发人员的PHP技能。 单独使用SAML解决scheme的缺点是您只能通过networkinglogin帐户。 这意味着您无法通过imap / pop访问您的邮箱,也无法使用任何旧的XMPP客户端loginGoogle Talk。

使用SAML不会自动在Google Apps域中创build帐户。 您也可能需要一个可同步帐户的工具,以便您可以使用Google Apps目录同步工具。 这将允许您创build帐户,但默认情况下仍不会同步密码,因为Windows密码哈希值不可逆,Google无法对其执行任何操作。

可以使用诸如PasswdHk之类的东西来拦截AD中的密码更改,然后以Google目录同步实用程序可用于设置Google Apps密码的格式(shaal无格式)存储密码。 但是这确实增加了一些安全风险,因为Google只会通过Provisioning API接受未经validation的md5或sha1密码哈希,并且与Google同步,您基本上必须存储这些哈希值。 如果你要使用这个,保持这些哈希值是非常重要的。

Hmmph。 你让我对SAML感到兴奋,直到关于imap / pop。 这会杀死所有使用Windows Mobile和黑莓客户端的人,不是吗? 有什么聪明的select?

如果您愿意接受存储密码哈希的风险,则可以将SSO和同步目录结合在一起以获得工作系统。

作为另一种select,可以开发一个Intranet门户,让您的域中的用户初始化他们的Google帐户并设置Google帐户的密码。 我曾经考虑过开发这样的东西,但不能让我的同事们认同这是一条路。

基本的想法是,build立一个Web应用程序

  • 在您的Intranet上生存并根据您的活动目录进行身份validation
  • 具有将用户用于login到Intranet站点的用户名和密码以及从AD获取所需的任何其他信息的function,然后使用Google Provisioning API添加/更新用户帐户。

build立这个工具真的不应该太困难,我估计要破解一些基本的东西,只需要12-16个小时的开发时间。 这个解决scheme的优点是它可以让你100%的Google Appsfunction,缺点是对最终用户有些不便。

我也很乐意看到这个更好的答案。

我使用Google Apps Directory Sync玩弄了同步来自Active Directory用户的Google用户。 它看起来很膨胀,直到我读到AD的LDAP实现将密码保存在Google的Sync工具无法访问的encryption二进制字段中。

谷歌的另一个SSO解决scheme似乎转向了桌面,所以Google是权威的凭据来源。 我们对此不感兴趣; 如果我们的互联网访问停止,我们的局域网上会发生什么?

所以现在我的最佳解决scheme是Google Apps电子表格,其中包含用户名和密码,然后我们将其导出为CSV,并批量导入到Google Apps 。 这不处理密码更改。 到目前为止,我们所拥有的最好的方式是教育用户在Windows密码策略强制更改时将Google和Windows密码更改为相同的新密码。

这里是一个密码filter,将散列存储在广告中。 http://code.google.com/p/sha1hexfltr/它可以安全地将散列保存在广告中。 没有SSO需要,没有新的服务器需要!

嗯,没有人做的SSO的东西? 我承认我有点惊讶!

只是为了让事情滚动:我已经通过其他渠道build议PingConnect 。 任何人使用它?

你可以使用LemonLDAP :: NG来做到这一点。 请参阅http://lemonldap-ng.org/documentation/latest/applications/googleapps

某些产品(如Oracle Internet Directory + Oracle SSO(和IBM TIM / TAM)允许连接到第三方系统。 这意味着该产品被configuration为与AD同步,并将凭据存储到您想象中的每个其他产品。 您将得到一个新的login链接,将证书种植到您想要的系统(本例中为Google Apps),就是这样。

请记住,启动和运行这样的configuration是相当复杂的,也可能会花费你一些钱,所以它不适合每个组织。

看起来有谷歌应用程序密码同步(GAPS)用于同步密码与活动目录同步结合使用。 但是我还没有使用它。