Perguntas sobre estratégias de autenticação de usuários

1

Atualmente estou refazendo a infraestrutura de TI da minha empresa. Atualmente está em todo lugar, então estou tentando reorganizar tudo do zero. A primeira coisa que pensei em abordar foi o gerenciamento e autenticação centralizados de usuários e a boa segurança e gerenciamento de senhas.

Temos menos de 10 funcionários, a maioria usando Mac, mas alguns PCs com Windows. Temos uma SAN que usamos como um compartilhamento de arquivos central. Atualmente, cada usuário tem apenas uma senha com a qual faz login e um nome de usuário e senha para fazer o logon no compartilhamento de arquivos. Além disso, nossa segurança e gerenciamento de senhas poderia fazer com uma atualização, pois atualmente não usamos um gerenciador de senhas ou qualquer outro sistema semelhante.

Depois de fazer muitas pesquisas, planejei o seguinte:

  • Configure o OpenLDAP em nosso servidor no local para gerenciar o gerenciamento e a autenticação de usuários.
  • Configure os computadores da equipe para autenticar usando o LDAP. Parece que isso é embutido no OSX, e eu deveria usar o link para Windows.
  • Configure o LastPass para toda a equipe, apenas permita o login via SSO e passe a autenticação de volta ao nosso servidor local.

Dessa forma, obtemos um gerenciador de senhas para sites, para que possamos impor um bom gerenciamento e segurança de senhas, medidas de autenticação strongs para acessar o gerenciador de senhas e gerenciar contas de usuário e acesso a todos os logins e senhas de um local central.

Primeiro, isso soa como um bom plano? Existem outras opções a considerar?

Em segundo lugar, estou um pouco preso ao conectar aplicativos da Web de terceiros ao OpenLDAP. Eu sei que a maioria dos provedores (incluindo o LastPass) usa o SAML para SSO / acesso federado, mas eu não sei como configurar isso. O OpenLDAP suporta autenticação SAML? E se eu quiser ativar o MFA (possivelmente incluindo autenticadores móveis e / ou Yubikeys)?

Eu estou supondo que eu possa precisar de outro software na frente do OpenLDAP para lidar com SAML / MFA / Yubikey / etc, e então basta procurar os detalhes do usuário do OpenLDAP, mas eu não sei o que eu ' estou procurando e não encontrei nada.

Edit: Claro que a minha pesquisa encontrou algo imediatamente depois de postar isso! Devo estar usando o CAS ( link ) para autenticação SAML baseada na web? Parece que isso me permitirá lidar com logins baseados na web e autenticá-los através do diretório LDAP.

    
por Andrew Kilham 02.07.2017 / 08:03

2 respostas

0

Você deve dar uma olhada no Univention Corporate Server . Esta é uma distribuição baseada em Linux que fornece LDAP, Active Directory (via Samba 4), SAML e muitos outros aplicativos de terceiros. Usando o privacyIDEA no Univention Corporate Server, você também pode configurar o 2FA em sua rede.

Como o UCS fornece um Active Directory, você pode conectar todos os seus clientes Windows. Assim você não precisa cadastrar o pGina. Como o UCS também fornece o simpleSAMLphp, você também pode usar o SSO / SAML com os aplicativos externos - mesmo com 2FA.

    
por 03.07.2017 / 19:06
0

Eu trabalho para a Univention na Alemanha.

First, does this sound like a good plan? Are there any other options to consider?

Em princípio, está bem. Mas não tenho certeza se vale a pena o esforço para uma quantidade tão pequena de usuários. Experimente a edição principal do UCS (com o suporte à comunidade ).

  • O UCS tem um pacote LDAP-Kerberos (leia-se: diretório corporativo) ao qual você pode se associar a clientes OSX (Windows e Linux também)
  • Se você instalá-lo com o Samba AD, ele adicionará esse suporte a compartilhamentos de arquivos, além da funcionalidade de um diretório MS Active.
  • Existe um aplicativo UCS chamado Provedor de identidade SAML para logon único na Web.
  • Como disse cornelius, PrivacyIdea (também como App) irá ajudá-lo com autenticação de dois fatores

Second, I'm a bit stuck on connecting third party web apps to OpenLDAP. I know that most providers (including LastPass) use SAML for SSO/federated access, but I don't know how to set that up. Does OpenLDAP support SAML authentication? What if I want to enable MFA (possibly including mobile authenticators and/or Yubikeys)?

Não diretamente. Você pode usar algo como SimpleSAMLphp no meio.

    
por 06.07.2017 / 16:06