Intranet aziendale SSO per webapps contro Active Directory

Sto provando a pianificare e implementare una soluzione SSO in un ambiente aziendale che utilizza applicazioni web Intranet in esecuzione su CentOS:

  • Portale aziendale (Drupal backend)
  • Gestione del progetto (Project.NET)
  • Sistema di collaborazione documentale (Alfresco)
  • Helpdesk (Redmine)
  • Tracciamento delle emissioni (Atlassian Jira)

L'authentication viene implementata con successo con Active Directory tramite LDAP in quanto il supporto per queste applicazioni è fuori dal box o da un plugin.

  • Login root disabilitato per SSH in Centos 5.9, login chiave non funziona più
  • Yum (CentOS 6.4) - Rimuovi tutti i pacchetti installati
  • Come disinstallare git installato dalla sorgente?
  • Driver Linux per Dell PowerEdge Server?
  • dd oflag = diretto 5x veloce
  • Implementare misure sul lato server (CentOS) per impedire che le cassette postali ospitate inviino un carico di spam
  • Dato che non esiste un plugin o un module SSO nativo stabile per tutti i webapps sopra indicati, mi appoggio verso una distribuzione di Shibboleth come provider di identity framework; e soluzione SSO. Poiché non sono sicuro se questo sia adatto alla situazione specifica vorrei chiedere quanto segue:

    • Shibboleth è adatto per agire come intermedi per fornire un login SSO in questo schema:

    Active Directory <= credenziali di dominio <= Shibboleth => Identity => login di applicazione

    • Per quanto ne so, l'authentication fornita da Shibboleth all'applicazione viene effettivamente raggiunta tramite la configuration del server web (Apache, Tomcat, ecc.). Questo tipo di authentication fornisce solo l'authorization per visualizzare il contenuto di una determinata pagina o può integrarsi completamente con l'authentication delle applicazioni (come funziona l'authorization LDAP)?
    • Se il login di identity framework; di cui sopra effettivamente funziona, le funzionalità dell'applicazione per un utente autenticato continueranno a funzionare come se l'utente era normalmente connesso con le credenziali di dominio? (ad esempio Redmine support la creazione dell'account per un login di dominio di dominio di prima volta).

  • Perché ci sono tanti file in / var / spool / postfix / maildrop
  • risoluzione di errore (networking irraggiungibile)
  • Posso utilizzare un tunnel SSH per accedere a un server web che sta ascoltando su un IP / Port diverso sullo stesso server?
  • couchdb 1.6.0 dalla sorgente - jsapi.h: presente ma non può essere compilato
  • Come utilizzare correttamente kexec con systemd su CentOS 7?
  • Server SMTP per centOS, diverso da Postfix?
  • One Solution collect form web for “Intranet aziendale SSO per webapps contro Active Directory”

    Un Identity Provider (IdP) gestisce l'authentication contro un database o un server LDAP e passa le informazioni utente a un'applicazione = Service Provider (SP).

    Suppongo che intendi usare l'implementazione del Provider del servizio fornite dai creatori di Shibboleth (soprannominato shibboleth-sp) parlando con un Shibboleth IdP.

    Questo funziona specificando le risorse da proteggere nella configuration del server web e aumentando i parametri passati all'applicazione dagli attributi richiesti dall'IDP da parte della SP. Questi attributi devono essere rilasciati dall'IDP al richiedente SP (attribute-filter.xml) e deve significare qualcosa all'applicazione. L'IdP non esegue il controllo di accesso, l'applicazione deve decidere in che modo interpreta i parametri ricevuti dall'IDP.

    Quindi hai un'applicazione che può parlare direttamente con un IDP (tramite SAML2, ad es. Liferay EE) oppure utilizzi shibboleth-sp e utilizza gli attributi per mappare un utente al model di ruoli dell'applicazione.

    Un caso di base sarebbe simile all'uso dell'authentication HTTP, disabilitando l'authentication nell'applicazione e utilizzando il parametro REMOTE_USER per identificare l'utente. Ulteriori dati potrebbero essere recuperati dall'applicazione nei propri store di dati.

    Panoramica: http://predic8.com/shibboleth-web-services-sso-en.htm

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.