Я управляю небольшой сетью колледжа с примерно 150 учетными записями пользователей как в моем Active Directory, так и в Google Apps. Я хочу связать AD с G-Apps. В настоящее время мои пользователи должны поддерживать отдельные пароли для каждого. Очевидно, это не совсем идеальная ситуация. Я знаю, что Google предоставляет API для такого рода вещей, но не собственно программное обеспечение. Я просмотрел несколько коммерческих продуктов и, кажется, склоняюсь к Crowd (atlassian.com). Меня также интересует возможность для пользователей сбрасывать собственные пароли или получать случайно сгенерированные пароли через сообщение TXT. Единый вход был бы хорош, но не совсем необходим, если бы у меня был просто способ синхронизации паролей.
Оптимально, когда я создаю пользователя в AD, он будет автоматически отображаться в Google Apps, а когда пользователь меняет пароль через Windows (или веб-страницу, если необходимо), это изменение будет отражено как в AD, так и в G-Apps.
Я также использую Moodle, Joomla и несколько других продуктов, которые имеют возможность аутентификации по LDAP.
У меня есть контроллеры домена Win2k3 и один веб-сервер Ubuntu. При необходимости могу добавить сервер.
Кто-нибудь еще делал это или что-то подобное? Есть ли другие продукты или технологии, на которые мне стоит обратить внимание? Я склонен тяготеть к чему-то на базе Windows с графическим интерфейсом из-за отсутствия опыта работы с Linux / CLI. Я не программист, поэтому мне нужно что-то, что будет работать «из коробки» (или как можно ближе).
Google только что выпустил новый продукт для синхронизации паролей под названием «Google Apps Password Sync (GAPS)».
http://support.google.com/a/bin/answer.py?hl=ru&answer=2611859&topic=2611858&ctx=topic
Microsoft Active Directory (MAD) поддерживает функцию, называемую фильтрами паролей. В основном это DLL, которая запускается на каждом контроллере домена, когда пользователь / администратор запрашивает смену пароля, фильтр может захватить пароль до того, как MAD зашифрует и сохранит пароль в базе данных MAD. К счастью для вас, кто-то уже написал для вас фильтр, который отлично работает (я использую его на контроллере домена Windows 2003 SP1 MAD). Посмотри на http://code.google.com/p/sha1hexfltr/wiki/installation
Он фиксирует новый пароль пользователя и сохраняет его в виде обычного текста, создает хэш пароля sha1 и сохраняет его в атрибуте «деление» в MAD. Затем Google Apps Directory Sync (GADS) может синхронизировать пароль с Google Apps. Работает для создания пользователей и каждого сообщения об изменении пароля.
Удачи
Посмотрите "Google Apps Directory Sync" от Google, он включен в образовательную версию бесплатно. Это синхронизирует только фактические учетные записи и группы: http://googleenterprise.blogspot.com/2009/04/sync-google-apps-user-accounts-with.html
Вам нужно будет поработать над чем-то вроде единого входа в Google, чтобы предоставить доступ к LDAP-серверу для аутентификации.
В Google Apps Marketplace есть несколько продуктов, которые легко устанавливаются и предоставляют то, что вы ищете. Вот несколько примеров.
Intient GConnect - http://www.google.com/enterprise/marketplace/viewListing?productListingId=4284199+8229018775854408052
SecureAuth - http://www.google.com/enterprise/marketplace/viewListing?productListingId=3806839+12543887358898980350
Надеюсь, это поможет!
Вот фильтр паролей, решающий проблему синхронизации. http://code.google.com/p/sha1hexfltr/
Мы использовали simpleSAML чтобы включить единый вход. Проблема в том, что SSO работает только для доступа через Интернет. Если вы хотите получать от клиента все pop3, imap или мгновенные сообщения, вам необходимо синхронизировать учетные записи. Чтобы заставить работать simpleSAML, требуется умеренное количество настроек.
Вы можете использовать Google Apps Directory Sync и Sun OpenSSO. Это даст вашим пользователям портал для входа в систему, используя свои учетные данные AD. Есть способ передать учетные данные автоматически, но я еще не дошел до него. Вы можете запустить OpenSSO на Glassfish, который будет работать как в Windows, так и в Linux. У меня есть пример моей настройки на моем сайте. http://edwinlandy.squarespace.com/ll/2009/7/13/active-directory-google-apps-and-sso-about-time.html
Мое окончательное решение состояло из двух частей…
Часть первая, используйте "Google Apps Directory Sync" для синхронизации пользователей из AD в Google Apps.
Часть вторая. Используйте «NetWrix Password Manager» с некоторыми индивидуальными разработками, которые они предоставили, чтобы создать веб-портал, с помощью которого мои пользователи смогут изменять там пароли.
Портал сбрасывает их пароль AD, а также пароль Google одновременно.
Это старый вопрос, для которого теперь есть более простые решения.
Такие продукты, как OneLogin и Okta, могут синхронизироваться с вашей AD и позволять вашим пользователям входить в Google (через SAML) со своими паролями AD. Эти продукты расширяют свои возможности подготовки, так что при добавлении пользователя в AD ему автоматически предоставляется учетная запись Google Apps (и учетные записи в других необходимых им облачных сервисах).