В настоящее время я разрабатываю наши новые внутренние ИТ-услуги, включая IAM и электронную почту. В настоящее время мы более или менее используем решение без IAM или единого входа. У нас есть веб-сайт на базе WordPress, почтовый сервер на базе postfix + dovecot с отдельной базой данных пользователей MySQL, в настоящее время мы повсюду полагаемся на локальных пользователей.
Я хотел бы изменить это и реализовать решение IAM, я направляюсь к Active Directory, поскольку он имеет отличные возможности и легко поддерживает почти все, включая учетные записи уровня ОС Linux.
Для MS Active Directory мы хотели бы использовать комбинацию небольшого статического пароля для каждого пользователя (4-8 символов) + 6 числовых символов одноразового пароля Google Authenticator.
Мне было интересно, реализовал ли кто-нибудь что-то подобное и что было бы лучше всего в дальнейшем? Я могу думать о двух возможных направлениях: одно - использовать программное обеспечение, такое как AuthLite, во-вторых, реализовать FreeRADIUS, интегрированный с Google Authenticator через PAM, и настроить Active Directory для использования этого внешнего FreeRADIUS сервер для аутентификации, кто-нибудь знает, как достичь более позднего?