一元化された認証-推奨事項?
私の前に課題があります。それは認証を一元化することです。限目。
それは、私と私の大きな口がLDAPが好きだと言ったからです。そして、それに対して何でも認証できます。ここには、ほとんどすべての種類のデスクトップ、Mac、Windows XP最大7、UbuntuおよびFedoraベースのディストリビューションのインストール数)があります。
すべての構成作業を問題なく実行できます。実際、それはかなり楽しいはずですが、どの実装を検討すべきかについて、いくつかの推奨事項が必要です。
ありがとうございました
本来、Windowsマシンは、それが存在するADドメイン(またはそれが存在するドメインによって信頼されているドメイン)に対してのみ認証できます。代替のGINAを見つけることができますが、プレーンオールLDAP用のものがあると思います。
ただし、ADドメインを取得すると、取引の一部としてKerberosとLDAPも取得します。 ADに対してOSXを認証でき、PAMを使用してADのLDAP部分に対してLinuxマシンを認証できます。
すべてのWindowsマシンをドメインに配置すると、一元化された認証が非常に簡単になります。
MACはADに対して認証できます。
Linuxマシンの場合、SSSDを使用します。SSSDは通常Kerberosと連携して動作します。これは、適切に実装されている場合、ドメインアカウントとローカルアカウントの両方のパスワード変更を許可し、ラップトップのパスワードキャッシュを実装します。 sssdパッケージはUbuntuとFedoraですぐに利用できるはずです(Debian Squeezeで使用しており、魅力的に機能します)。
他のさまざまなアプリ、特にWebアプリの場合、ほとんどのスクリプト言語にはLDAPモジュールがあるため、LDAP認証の実装も比較的簡単です。
問題が発生するアプリケーションがいくつかあります。例:Microsoft Dynamics GPV10以前はLDAP/AD認証をサポートしていませんが、次のバージョンで約束されています。