Вопросы о стратегиях аутентификации пользователей
В настоящее время я переделываю ИТ-инфраструктуру в своей компании. Сейчас это повсюду, поэтому я пытаюсь все реорганизовать с нуля. Первое, чем я решил заняться, это централизованное управление пользователями и аутентификация, а также хорошая защита паролей и управление.
У нас меньше 10 сотрудников, большинство из которых используют Mac, но несколько компьютеров с Windows. У нас есть SAN, которую мы используем как центральный файловый ресурс. В настоящее время у каждого пользователя есть только пароль, с которым он входит в свой компьютер, а также имя пользователя и пароль для входа в общую папку. Кроме того, наша защита паролей и управление ими могут быть обновлены, поскольку в настоящее время мы не используем диспетчер паролей или какую-либо другую подобную систему.
Проведя много исследований, я планировал развернуть следующее:
- Настройте OpenLDAP на нашем локальном сервере для управления пользователями и аутентификацией.
- Настройте компьютеры персонала для аутентификации с использованием LDAP. Похоже, это встроено в OSX, и я должен использовать http://pgina.org/ для Windows.
- Настройте LastPass для всех сотрудников, разрешите вход только через SSO и пройдите аутентификации обратно на наш локальный сервер.
Таким образом, мы получаем менеджер паролей для веб-сайтов, чтобы мы могли обеспечить хорошее управление паролями и безопасность, строгие меры аутентификации для доступа к диспетчеру паролей, а также управлять учетными записями пользователей и доступом ко всем логинам и пароли из центра.
Во-первых, это хороший план? Есть ли другие варианты, которые следует рассмотреть?
Во-вторых, я немного застрял в подключении сторонних веб-приложений к OpenLDAP. Я знаю, что большинство провайдеров (включая LastPass) используют SAML для SSO / федеративного доступа, но я не знаю, как это настроить. Поддерживает ли OpenLDAP аутентификацию SAML? Что, если я захочу включить MFA (возможно, включая мобильные аутентификаторы и / или Yubikeys)?
Я предполагаю, что мне может понадобиться другое программное обеспечение перед OpenLDAP для обработки SAML / MFA / Yubikey / и т. Д., А затем просто пусть они посмотрят информацию о пользователе в OpenLDAP, но я не знаю, что ищу, и ничего не нашел.
Изменить: Конечно, мой поиск нашел что-то сразу после публикации этого сообщения! Следует ли использовать CAS ( https://apereo.github.io/cas ) для аутентификации SAML через Интернет? Похоже, это позволит мне обрабатывать входы в систему через Интернет и аутентифицировать их через каталог LDAP.
Вы должны взглянуть на Корпоративный сервер Univention . Это дистрибутив на основе Linux, обеспечивающий LDAP, Active Directory (через Samba 4), SAML и многие другие сторонние приложения. Используя privacyIDEA на корпоративном сервере Univention, вы также можете настроить 2FA в своей сети.
Поскольку UCS предоставляет Active Directory, вы можете подключать все свои клиенты Windows. Таким образом, вам не нужно регистрировать pGina. Поскольку UCS также предоставляет simpleSAMLphp, вы также можете использовать SSO / SAML с внешними приложениями - даже с 2FA.
Я работаю в Univention в Германии.
Во-первых, это хороший план? Есть ли другие варианты считать?
В принципе нормально. Но я не уверен, что это стоит усилий для такого небольшого количества пользователей. Попробуйте базовую версию UCS (с поддержкой сообщества ).
- UCS имеет пакет LDAP-Kerberos (читай: корпоративный каталог), к которому вы можете присоединиться к клиентам OSX (Windows и Linux тоже)
- Если вы установите его с Samba AD, это добавит поддержку общих файловых ресурсов, а также функциональность каталога MS Active Directory.
- Существует приложение UCS под названием SAML Identity Provider для веб-единого входа.
- ] Как сказал Корнелиус, PrivacyIdea (также как приложение) поможет вам с двухфакторной аутентификацией
Во-вторых, я немного застрял в подключении сторонних веб-приложений к OpenLDAP. Я знаю, что большинство провайдеров (включая LastPass) используют SAML для SSO / федеративный доступ, но я не знаю, как это настроить. Делает OpenLDAP поддерживает аутентификацию SAML? Что, если я хочу включить MFA (возможно, включая мобильные аутентификаторы и / или Yubikeys)?
Не напрямую. Вы можете использовать что-то вроде SimpleSAMLphp между ними.