ApacheとLDAPを使用したシングルサインオン
GerritとMantisBTの2つのWebアプリケーションを実行しているサーバーがあります。現在、これらのアプリケーションはLDAPサーバーに接続してユーザーを認証し、正常に機能します。ただし、ユーザーはアプリケーションごとに認証する必要があります。ユーザーに認証を1回だけ許可し(おそらくApache + LDAPを使用)、資格情報を再利用して両方のアプリケーションでユーザーに自動的にログインできるようにしたいと思います。
私のネットワークアーキテクチャ:
私が欲しいネットワークアーキテクチャ:
私はHTTP認証とサーバー管理全般に精通していないため、Googleで何を探すべきかさえわかりません。私が欲しいものへの解決策や指針をいただければ幸いです。
構成:
Ubuntuサーバー14.04 LTS
Apache2 2.4
Gerrit 2.10
Mantis BT 1.2.19
重要な注意事項:
Gerritを維持したい。
私がやりたいことを簡単に実行できるなら、別のバグトラッカーを使用できます。
Web SSOにはいくつかの標準があります。 LDAPはSSOメカニズムではなく、単なる情報検索です。ベンダーに連絡して、これらのアプリケーションがKerberos(Apacheはmod_auth_kerbを使用)またはSAML(Shibbolethなど)をサポートしているかどうかを確認してください。それぞれに、Active Directory、FreeIPA、Shibboleth、Oracle IdentityFederationなどのインフラストラクチャが必要になります。
アプリケーションにシングルサインオンが必要な場合は、Kerberos/GSSAPI認証を使用することをお勧めします。ユーザーとグループを一元化したストレージを備えたIdentity Managementサーバーを使用すると、 Apache Webアプリケーション 、gerritまたは Redmine をフックできます。 IdMサーバーの場合、無料でオープンソースである FreeIPA プロジェクトを使用できます。
あなたの場合、最新リリース(UCS 4.1)以降のSAML 2.0を介したSSOメカニズムが含まれているため、Univention Corporate Server(UCS)を使用することも理にかなっています。詳細については、 CSマニュアル をご覧ください。管理する必要のあるユーザーデータは、UCSにも含まれているopenLDAPに保存および管理されます。
niventionのWebサイト から無料でダウンロードできるUCSとそのSSO機能をテストする場合、アプリケーションは、UCSをIdPとして使用するように構成する必要があります。これについては、もう一度確認してください CSマニュアル 。
UCSもDebianに基づいているため、Ubuntuクライアントを簡単にUCSドメインに統合できます。詳細については、 CSマニュアル をご覧ください。 LDAP統合はSSSDを介して管理されます。