В настоящее время у меня есть офисная сеть, в основном состоящая из трех сервисов, все они размещены под Linux:
Все они фактически размещены в наборе управляемых виртуальных машин.
Клиенты могут быть локальными, подключенными к Интернету (для веб-служб) или удаленными через VPN.
Клиенты - это либо Windows (большинство), либо Linux.
В настоящее время все сервисы имеют независимое управление пользователями / проходами, и это, вкупе с необходимостью периодически менять пароли, быстро приводит к кошмару по мере увеличения пользовательской базы (в настоящее время у меня ~ 100 пользователей).
Есть ли способ управлять системой единого входа для этих (немногочисленных, немного разных) служб?
Оптимальным было бы иметь один сервер аутентификации, где каждый пользователь мог бы управлять паролем для всех служб, а администратор мог бы назначать пользователям (довольно специфические, по крайней мере, в отношении Samba и Git) привилегии.
Такая система существует?
Я знаю, что некоторые очень большие сервисы (например, google) могут обеспечивать аутентификацию для других (в основном веб) сервисов, но я не уверен, можно ли уменьшить масштаб до одного (относительно) небольшого офиса.
Univention Corporate Server (UCS) - это серверная ОС на базе Debian для корпоративных сред, которая объединяет централизованное управление идентификацией (IDM) на основе OpenLDAP. Им можно управлять через веб-интерфейс, и он предлагает различные приложения, такие как Zimbra, почтовый сервер, Samba, Redmine, через Центр приложений Univention. Эти приложения уже интегрированы в домен UCS и поэтому могут использовать управление идентификацией.
Это видео дает краткий обзор UCS: https://www.youtube.com/watch?v=A4JvLyaZfTA
Если вы хотите попробовать UCS, скачайте бесплатную и неограниченную версию Core Edition: https://www.univention.com/downloads/ucs-download/
Полное раскрытие информации: я работаю в отделе профессиональных услуг @ Univention в Бремене, не стесняйтесь задавать дополнительные вопросы!
Если у вас есть домен Windows, вы можете разработать аутентификацию единого входа, используя проверку активного каталога.
Если у вас нет домена Windows, вы можете использовать ldap, предустановленный на zimbra, или (я предпочитаю) реализовать свой собственный сервер аутентификации LDAP для управления всем этим сценарием.