Atualmente estou refazendo a infraestrutura de TI da minha empresa. Atualmente está em todo lugar, então estou tentando reorganizar tudo do zero. A primeira coisa que pensei em abordar foi o gerenciamento e autenticação centralizados de usuários e a boa segurança e gerenciamento de senhas.
Temos menos de 10 funcionários, a maioria usando Mac, mas alguns PCs com Windows. Temos uma SAN que usamos como um compartilhamento de arquivos central. Atualmente, cada usuário tem apenas uma senha com a qual faz login e um nome de usuário e senha para fazer o logon no compartilhamento de arquivos. Além disso, nossa segurança e gerenciamento de senhas poderia fazer com uma atualização, pois atualmente não usamos um gerenciador de senhas ou qualquer outro sistema semelhante.
Depois de fazer muitas pesquisas, planejei o seguinte:
- Configure o OpenLDAP em nosso servidor no local para gerenciar o gerenciamento e a autenticação de usuários.
- Configure os computadores da equipe para autenticar usando o LDAP. Parece que isso é embutido no OSX, e eu deveria usar o link para Windows.
- Configure o LastPass para toda a equipe, apenas permita o login via SSO e passe a autenticação de volta ao nosso servidor local.
Dessa forma, obtemos um gerenciador de senhas para sites, para que possamos impor um bom gerenciamento e segurança de senhas, medidas de autenticação strongs para acessar o gerenciador de senhas e gerenciar contas de usuário e acesso a todos os logins e senhas de um local central.
Primeiro, isso soa como um bom plano? Existem outras opções a considerar?
Em segundo lugar, estou um pouco preso ao conectar aplicativos da Web de terceiros ao OpenLDAP. Eu sei que a maioria dos provedores (incluindo o LastPass) usa o SAML para SSO / acesso federado, mas eu não sei como configurar isso. O OpenLDAP suporta autenticação SAML? E se eu quiser ativar o MFA (possivelmente incluindo autenticadores móveis e / ou Yubikeys)?
Eu estou supondo que eu possa precisar de outro software na frente do OpenLDAP para lidar com SAML / MFA / Yubikey / etc, e então basta procurar os detalhes do usuário do OpenLDAP, mas eu não sei o que eu ' estou procurando e não encontrei nada.
Edit: Claro que a minha pesquisa encontrou algo imediatamente depois de postar isso! Devo estar usando o CAS ( link ) para autenticação SAML baseada na web? Parece que isso me permitirá lidar com logins baseados na web e autenticá-los através do diretório LDAP.