Abra o Directory e o provedor de identidade SAML

Navegue suas respostas
4

Nosso escritório mudou quase inteiramente do Windows para o Mac OS X, e nosso servidor local deve ser substituído. Usamos o Active Directory basicamente apenas para autenticação do usuário. Estamos pensando em substituir o atual Windows Server por um Mac Mini executando o OS X Server. Eu ainda não sei muito sobre o Open Directory, mas é possível para ele para proxy solicitações de autenticação contra um provedor de identidade SAML v2? Eu pergunto porque fazemos um bom trabalho em um sistema de gerenciamento que é capaz de atuar como um IdP de SAML 2 e configuramos o Google Apps para autenticar contra ele. Seria extremamente útil poder autenticar recursos de rede local também.

    
por samh 06.05.2014 / 17:40

2 respostas

2

O Open Directory tem um back-end LDAP para que você use algo como simplesamlphp com LDAP para obter o que deseja.

No entanto, algumas grandes advertências.

Se você está feliz com a sua experiência com o Windows Server, há poucos motivos convincentes para mudar para o OS X e o Open Directory. A Apple deu muito trabalho para tornar o OS X um bom cliente do Active Directory. Para uma visão geral ampla, consulte os white papers sobre o assunto:

Leão da montanha link

Mavericks link

A migração de um sistema de diretórios para outro é um grande projeto, e o AD tem suporte de fornecedor superior da Microsoft. Eu digo isso como um administrador de sistema que usou extensivamente os dois produtos. Todas as versões do Open Directory implantadas tiveram um erro significativo, mais cedo ou mais tarde. O último que eu encontrei foi um bug na autenticação LDAP do Mountain Lion Server que causou a falha do servidor a cada 24 horas quando sob carga normal. A solução alternativa era um script que reiniciava o serviço a cada hora. A correção real não veio até que o Mavericks fosse lançado. A Apple nunca reconheceu o bug em nenhuma nota de lançamento, nem fez o AppleCare normal. Para obter ajuda (neste caso, o reconhecimento do bug e que nossa solução alternativa era a solução correta) veio da AppleCare da empresa.

Se você realmente deseja migrar para um servidor da Apple, o contrato de suporte corporativo é obrigatório. Você pode obter mais informações sobre isso aqui:

link

Espero que ajude.

    
por 08.05.2014 / 20:06
1

Se o seu ambiente do AD usa Kerberos para autenticação, então, em princípio, a mudança das funções do AD para uma combinação de um servidor Kerberos (por exemplo, o krb5 do MIT) e um servidor LDAP funcionaria (rodando no Linux). Clientes Mac OS X suportam autenticação Kerberos e SSO; O Safari (e o Chrome, o Firefox) suportam a extensão SPNEGO para lidar com a autenticação Kerberos por HTTP. OAuth2 ou SAML IdP é um mecanismo para provar a identidade de seus usuários a provedores de serviços externos (por exemplo, Google Apps).

    
por 20.10.2014 / 20:55

Tags

SSH trava após a autenticação Por que o VMWare Tools pode ser reduzido após o upgrade?