web-dev-qa-db-ja.com

一元化された認証-推奨事項?

私の前に課題があります。それは認証を一元化することです。限目。

それは、私と私の大きな口がLDAPが好きだと言ったからです。そして、それに対して何でも認証できます。ここには、ほとんどすべての種類のデスクトップ、Mac、Windows XP最大7、UbuntuおよびFedoraベースのディストリビューションのインストール数)があります。

すべての構成作業を問題なく実行できます。実際、それはかなり楽しいはずですが、どの実装を検討すべきかについて、いくつかの推奨事項が必要です。

ありがとうございました

7
Mister IT Guru

本来、Windowsマシンは、それが存在するADドメイン(またはそれが存在するドメインによって信頼されているドメイン)に対してのみ認証できます。代替のGINAを見つけることができますが、プレーンオールLDAP用のものがあると思います。

ただし、ADドメインを取得すると、取引の一部としてKerberosとLDAPも取得します。 ADに対してOSXを認証でき、PAMを使用してADのLDAP部分に対してLinuxマシンを認証できます。

7
mfinni

すべてのWindowsマシンをドメインに配置すると、一元化された認証が非常に簡単になります。

MACはADに対して認証できます。

Linuxマシンの場合、SSSDを使用します。SSSDは通常Kerberosと連携して動作します。これは、適切に実装されている場合、ドメインアカウントとローカルアカウントの両方のパスワード変更を許可し、ラップトップのパスワードキャッシュを実装します。 sssdパッケージはUbuntuとFedoraですぐに利用できるはずです(Debian Squeezeで使用しており、魅力的に機能します)。

他のさまざまなアプリ、特にWebアプリの場合、ほとんどのスクリプト言語にはLDAPモジュールがあるため、LDAP認証の実装も比較的簡単です。

問題が発生するアプリケーションがいくつかあります。例:Microsoft Dynamics GPV10以前はLDAP/AD認証をサポートしていませんが、次のバージョンで約束されています。

2
wolfgangsz