Single sign on com Apache e LDAP

4

Eu tenho um servidor executando dois aplicativos da web: Gerrit e Mantis BT. Agora, esses aplicativos se conectam a um servidor LDAP para autenticar usuários e funciona bem. Mas o usuário precisa autenticar para cada aplicativo; Gostaria de permitir que o usuário autentique apenas uma vez (possivelmente usando Apache + LDAP) e reutilize as credenciais para fazer login automaticamente no usuário em ambos os aplicativos.

Minha arquitetura de rede agora:

Aarquiteturaderedequeeuquero:

Eu nem sei o que procurar no Google, pois não estou familiarizado com a autenticação HTTP e a administração do servidor em geral. Qualquer solução ou ponteiros para o que eu quero seria apreciada.

Configuração:
Servidor Ubuntu 14.04 LTS
Apache2 2,4
Gerrit 2,10
Mantis BT 1.2.19

Notas importantes:
Eu quero manter o Gerrit.
Eu posso usar outro rastreador de bugs se ele fizer o que eu quero facilmente.

    
por Julien-L 17.04.2015 / 03:38

3 respostas

4

Existem vários padrões para o SSO na web. O LDAP não é um mecanismo de SSO, apenas pesquisa de informações. Entre em contato com seus fornecedores para descobrir se esses aplicativos suportam o Kerberos (o Apache usa o mod_auth_kerb) ou o SAML (como o Shibboleth). Cada um exigirá alguma infraestrutura, como o Active Directory, o FreeIPA, o Shibboleth, o Oracle Identity Federation, etc.

    
por 19.04.2015 / 12:11
2

Eu sugeriria usar a autenticação Kerberos / GSSAPI se você quiser o logon único para seus aplicativos. Com um servidor de gerenciamento de identidades com armazenamento centralizado para seus usuários e grupos, você pode conectar seus aplicativos da web Apache , gerrit ou Redmine . Para o servidor IdM, você pode usar o projeto FreeIPA que é gratuito e é de código aberto.

    
por 19.04.2015 / 11:30
1

No seu caso, também faria sentido usar o Univention Corporate Server (UCS), porque ele inclui um mecanismo SSO via SAML 2.0 desde a última versão (UCS 4.1). Mais sobre isso no manual do UCS . Os dados do usuário que você precisa gerenciar são armazenados e administrados no openLDAP, que também está incluído no UCS.

No caso de você testar o UCS, que pode ser baixado gratuitamente no site da Univention , e seu recurso SSO, seu aplicativo deve ser configurado apenas para usar o UCS como o IdP. Para isso, verifique novamente o manual do UCS .

Como o UCS também é baseado no Debian, seus clientes do Ubuntu podem ser facilmente integrados ao domínio do UCS. Mais detalhes sobre isso novamente no manual do UCS . A integração do LDAP é gerenciada via SSSD.

    
por 05.01.2016 / 10:43