是否了解使用ldap、radius、openid等的SSO统包设备？

Question

我正在帮助一家典型的小公司，它最初只有几个外包系统(google apps，svn/trac)。添加了内部jabber服务器(ejabber主要用于iChat客户端)。订阅了几个e.g.服务(例如highrisehq)。并且具有由pfsense freebsd防火墙提供的vpn服务。

所有这一切的最终结果是，他们被密码和账户淹没了。

看来，如果他们有一个单一的统一登录/单一登录服务，他们可以走很长一段路来结合这些服务。例如: ldap作为主存储库，用于vpn、ejabber甚至WPA2无线接入的radius，用于google app sign on的插件，以及用于诸如highrisehq等外部网站的openid服务器。

似乎所有这些工具都是独立存在的，但有没有人知道有一个单独的盒子将它们与一个漂亮的GUI和自动更新结合在一起？(例如，用于防火墙的pfsense/m0n0wall，用于存储的freeNAS )。不一定非得是自由/开源软件。付费包厢也可以。

我想这肯定存在。微软的Active Directory可能是一种解决方案，但如果可能的话，他们宁愿避免使用Windows。似乎有各种各样的"AAA“服务器，ISP使用或用于企业防火墙/路由器管理，但这似乎不太正确。

我遗漏了什么明显的解决方案吗？谢谢!

Answer 1

你最初问这个问题已经一年多了，所以我猜你现在已经解决了你的问题。但如果其他人对可能的解决方案感兴趣，我建议如下：

首先，我不知道你的问题有什么“一体化”的解决方案。但是，将三个产品组合在一起非常容易，这三个产品将解决您的所有需求，并为用户管理和密码存储提供单一来源。

首先要做的是安装LDAP目录来管理用户和组(可能还有您的问题范围之外的其他对象)。这可以是OpenLDAP、Apache DS、Microsoft Active Directory等，基本上任何LDAP服务器都可以。

其次，我建议在LDAP Directory configured中安装FreeRADIUS作为它的后端服务。

第三，获得Atlassian Crowd的许可。它提供OpenID和Google Apps身份验证。最多50个用户的价格从10美元开始，一直到8000美元的无限用户许可证。

三者的安装和配置相对容易。您可能会将大部分工作放在创建用户和组上。你可以在一台服务器上安装所有这三个组件，最终得到一个盒子，它允许你验证几乎所有的东西，从桌面登录，通过谷歌应用程序和其他网络应用程序，到虚拟专用网，甚至交换机，WiFi和路由器登录。

只需确保您明智地配置您的角色和组！否则，您可能最终会有一些销售人员能够管理您的防火墙和路由器:-)

Answer 2

我鼓励任何寻找这类解决方案的人去看看Gluu Server (http://gluu.org)。

每个Gluu服务器包括一个用于SAML SSO的SAML IDP、一个用于OpenID连接SSO的OpenID连接提供程序(OP)、一个用于web访问管理的UMA策略决策点(PDP)，以及一个RADIUS和OpenID服务器。

Gluu服务器的所有组件都是开源的(即Shibboleth、OX、FreeRADIUS、OpenDJ等)，包括用于管理服务器每个组件的oxTrust web用户界面。

对于商业实现，Gluu将在客户端VM上构建、支持和监控此软件堆栈。

Answer 3

你可能不想标准化这么多应用程序的密码(特别是外部应用程序)，尽管对于内部应用程序来说，使用像LDAP这样的身份验证服务是有意义的。

您可以使用像Novell SecureLogin这样的eSSO来解决记住密码的问题

此外，您可能对Novell Access Manager和Novell Identity Manager感兴趣