Сейчас я переделываю ИТ-инфраструктуру в своей компании. Сейчас это повсюду, поэтому я пытаюсь все реорганизовать с нуля. Первое, чем я решил заняться, - это централизованное управление пользователями и аутентификация, а также хорошая защита паролей и управление.
У нас менее 10 сотрудников, большинство из которых используют Mac, но несколько компьютеров с Windows. У нас есть SAN, которую мы используем в качестве центрального файлового ресурса. В настоящее время у каждого пользователя есть только пароль для входа в систему, а также имя пользователя и пароль для входа в общий файловый ресурс. Кроме того, наша защита паролей и управление ими могут быть обновлены, поскольку в настоящее время мы не используем менеджер паролей или какую-либо другую подобную систему.
Проведя много исследований, я планировал развернуть следующее:
Таким образом, мы получаем диспетчер паролей для веб-сайтов, чтобы мы могли обеспечить хорошее управление паролями и безопасность, строгие меры аутентификации для доступа к диспетчеру паролей, а также управлять учетными записями пользователей и доступом ко всем логинам и паролям из центра.
Во-первых, это хороший план? Есть ли другие варианты, которые стоит рассмотреть?
Во-вторых, я немного застрял в подключении сторонних веб-приложений к OpenLDAP. Я знаю, что большинство провайдеров (включая LastPass) используют SAML для SSO / федеративного доступа, но я не знаю, как это настроить. Поддерживает ли OpenLDAP аутентификацию SAML? Что, если я хочу включить MFA (возможно, включая мобильные аутентификаторы и / или Yubikeys)?
Я предполагаю, что мне может понадобиться другое программное обеспечение перед OpenLDAP для обработки SAML / MFA / Yubikey / и т. Д., А затем просто поискать данные пользователя из OpenLDAP, но я не знаю, что ищу и ничего не нашел.
Изменить: Конечно, мой поиск нашел что-то сразу после публикации этого! Должен ли я использовать CAS (https://apereo.github.io/cas) для аутентификации SAML через Интернет? Похоже, это позволит мне обрабатывать входы в систему через Интернет и аутентифицировать их через каталог LDAP.
Я работаю в Univention в Германии.
Во-первых, это хороший план? Есть ли другие варианты, которые стоит рассмотреть?
В принципе нормально. Но я не уверен, что это стоит усилий для такого небольшого количества пользователей. Попробуйте базовую версию UCS (с поддержка сообщества).
Во-вторых, я немного застрял в подключении сторонних веб-приложений к OpenLDAP. Я знаю, что большинство провайдеров (включая LastPass) используют SAML для SSO / федеративного доступа, но я не знаю, как это настроить. Поддерживает ли OpenLDAP аутентификацию SAML? Что, если я хочу включить MFA (возможно, включая мобильные аутентификаторы и / или Yubikeys)?
Не прямо. Вы можете использовать что-то вроде SimpleSAMLphp между ними.
Вы должны взглянуть на Корпоративный Сервер Univention. Это дистрибутив на основе Linux, обеспечивающий LDAP, Active Directory (через Samba 4), SAML и многие другие сторонние приложения. С помощью конфиденциальность на корпоративном сервере Univention вы также можете настроить 2FA в своей сети.
Поскольку UCS предоставляет Active Directory, вы можете подключить все свои клиенты Windows. Таким образом, вам не нужно регистрировать pGina. Поскольку UCS также предоставляет simpleSAMLphp, вы также можете использовать SSO / SAML с внешними приложениями - даже с 2FA.