Open Directory 和 SAML 身份提供商

Open Directory 和 SAML 身份提供商

我们的办公室几乎完全从 Windows 切换到 Mac OS X,我们的本地服务器也需要更换。我们使用 Active Directory 基本上只是为了进行用户身份验证。我们正在考虑用运行 OS X Server 的 Mac Mini 替换当前的 Windows Server。我对 Open Directory 还不太了解,但它是否可以代理针对 SAML v2 身份提供者的身份验证请求?我之所以问这个问题,是因为我们在能够充当 SAML 2 IdP 的管理系统中做了大量工作,并且我们已经设置了 Google Apps 来针对它进行身份验证。能够针对它对本地网络资源进行身份验证也将非常有帮助。

答案1

Open Directory 有一个 LDAP 后端,因此您可以使用类似 simplesamlphp 和 LDAP 来获取您想要的内容。

然而,也存在一些重大警告。

如果您对 Windows Server 的使用体验感到满意,那么几乎没有什么理由让您切换到 OS X 和 Open Directory。Apple 投入了大量精力来使 OS X 成为优秀的 Active Directory 客户端。有关概述,请参阅他们关于此主题的白皮书:

山狮 http://training.apple.com/pdf/wp_integrating_active_directory_ml.pdf

小牛队 http://training.apple.com/pdf/wp_integrating_active_directory_mav.pdf

从一个目录系统迁移到另一个目录系统是一个大项目,而 AD 拥有来自 Microsoft 的卓越供应商支持。我作为一名广泛使用这两种产品的系统管理员这么说。我部署的每个版本的 Open Directory 迟早都会出现重大错误。我遇到的最后一个是 Mountain Lion Server 的 LDAP 身份验证中的一个错误,它导致服务器在正常负载下每 24 小时崩溃一次。解决方法是每小时重新启动服务的脚本。真正的修复直到 Mavericks 发布才出现。Apple 从未在任何发行说明中承认该错误,普通 AppleCare 也没有。要获得任何帮助(在这种情况下,承认该错误并且我们的解决方法是正确的解决方法)都来自企业 AppleCare。

如果你真的想迁移到 Apple 服务器,那么企业支持合同是强制性的。你可以在这里获取更多信息:

http://www.apple.com/support/products/enterprise/ossupport.html

希望有所帮助。

答案2

如果您的 AD 环境使用 Kerberos 进行身份验证,那么原则上,从 AD 功能转移到 Kerberos 服务器(例如 MIT 的 krb5)和 LDAP 服务器的组合(在 Linux 上运行)是可行的。Mac OS X 客户端支持 Kerberos 身份验证和 SSO;Safari(以及 Chrome、Firefox)支持 SPNEGO 扩展,用于通过 HTTP 处理 Kerberos 身份验证。OAuth2 或 SAML IdP 是一种向外部服务提供商(例如 Google Apps)证明用户身份的机制。

相关内容