我目前正在重新设计公司的 IT 基础设施。目前,它到处都是,所以我正试图从头开始重新组织一切。我想解决的第一件事是集中用户管理和身份验证,以及良好的密码安全和管理。
我们有不到 10 名员工,大多数使用 Mac,但也有少数使用 Windows PC。我们有一个用作中央文件共享的 SAN。目前,每个用户只有一个密码,他们使用该密码登录他们的计算机,以及一个用户名和密码来登录文件共享。此外,我们的密码安全性和管理可能需要升级,因为我们目前不使用密码管理器或任何其他类似系统。
经过大量研究后,我计划推出以下内容:
- 在我们的现场服务器上设置 OpenLDAP 来处理用户管理和身份验证。
- 设置员工计算机使用 LDAP 进行身份验证。这似乎是 OSX 的内置功能,我应该使用http://pgina.org/对于 Windows。
- 为所有员工设置 LastPass,仅允许通过 SSO 登录并将身份验证传回我们的现场服务器。
这样,我们就得到了一个网站密码管理器,因此我们可以实施良好的密码管理和安全性、强大的身份验证措施来访问密码管理器,并从中心位置管理用户帐户和访问所有登录名和密码。
首先,这听起来是个好计划吗?还有其他选择可以考虑吗?
其次,我在将第三方 Web 应用连接到 OpenLDAP 方面有点困惑。我知道大多数提供商(包括 LastPass)都使用 SAML 进行 SSO/联合访问,但我不知道如何设置。OpenLDAP 是否支持 SAML 身份验证?如果我想启用 MFA(可能包括移动身份验证器和/或 Yubikeys)怎么办?
我猜我可能需要在 OpenLDAP 前面安装另一个软件来处理 SAML/MFA/Yubikey/等等,然后只需从 OpenLDAP 中查找用户详细信息,但我不知道我在搜索什么,也没有找到任何东西。
编辑:当然,我在发布这篇文章后立即找到了一些结果!我应该使用 CAS (https://apereo.github.io/cas) 用于基于 Web 的 SAML 身份验证?看起来这将允许我处理基于 Web 的登录并通过 LDAP 目录对其进行身份验证。
答案1
你应该看看Univention 企业服务器。这是一个基于 Linux 的发行版,提供 LDAP、Active Directory(通过 Samba 4)、SAML 和许多其他第三方应用程序。使用隐私理念在 Univention 公司服务器上,您还可以在您的网络中设置 2FA。
由于 UCS 提供了 Active Directory,因此您可以连接所有 Windows 客户端。因此您无需注册 pGina。由于 UCS 还提供了 simpleSAMLphp,因此您还可以将 SSO/SAML 与外部应用程序一起使用 - 甚至使用 2FA。
答案2
我在德国的 Univention 工作。
首先,这听起来是个好计划吗?还有其他选择可以考虑吗?
原则上是可以的。但我不确定对于如此少的用户来说是否值得付出努力。尝试 UCS 核心版本(带社区支持)。
- UCS 有一个 LDAP-Kerberos 包(即企业目录),您可以将 OSX 客户端(Windows 和 Linux 也一样)加入其中
- 如果您使用 Samba AD 安装它,它将添加对文件共享的支持,以及 MS Active 目录的功能。
- 有一款 UCS APP 叫SAML 身份提供商用于 Web 单点登录。
- 正如 cornelius 所说,PrivacyIdea(也是应用程序)将帮助您进行双因素身份验证
其次,我在将第三方 Web 应用连接到 OpenLDAP 方面有点困惑。我知道大多数提供商(包括 LastPass)都使用 SAML 进行 SSO/联合访问,但我不知道如何设置。OpenLDAP 是否支持 SAML 身份验证?如果我想启用 MFA(可能包括移动身份验证器和/或 Yubikeys)怎么办?
不是直接的。您可以在两者之间使用类似 SimpleSAMLphp 的东西。