Fórum Root.cz

Hlavní témata => Server => Téma založeno: holantomas 14. 12. 2021, 12:14:16

Název: LDAP a OAuth/SAML v jednom
Přispěvatel: holantomas 14. 12. 2021, 12:14:16
Zdravím, hledám nějaké OSS rešení pro příhlášení uživatelů. Odzkoušel jsem Keycloak, ale ten neobsahuje LDAP, ale umí se na něj napojit. Já hledám ale řešení vše v jednom s grafickým "klikátkem", protože opravdu nemám čas přes CLI nebo konfiguráky přídavat uživatele.

Cílem je abych si v nějakém GUI na serveru naklikal uživatele a ti se pak mohli přihlásit do přes LDAP do Windows, mailu(dovecot, postfix) a přes OAuth/SAML/OIDC do webového systému, firemního cloudu nebo např. roundcube. Dalším cílem je aby to bylo jednoduché, prostě taková lightweight služba co pustím v dockeru. Nepotřebuji totiž nějaké super funkce, potřebuji prostě centrální databázi uživatelů, kde se jim dá změnit heslo přip. další drobné paramatry, jako jméno a mail. Nic víc. Jak jsem řekl, tak Keycloak podporuje LDAP, ale me štve, že si jen jak vetšina služeb natahuje uživatele a nikoliv oboustraná synchronizace jako změna hesla apod. Prostě jedno místo, kde spravuji uživatele a ostatní mě nezajímá.

Máte s něčím podobným zkušenosti?
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: _Tomáš_ 14. 12. 2021, 15:57:12
Aneb řečeno chceš zdarma jednoduchý IDM s web ui a podporou všeho od Windows po linux aplikace? Tak to hodně štěstí, ty open source jsou většinou pouze cli. U nás dobře funguje openLDAP a Hashicorp vault pro oauth2/saml. Pracovně všude máme Active Directory, to je dnes možné mí v pronájmu i v Azure, to je to jedno místo, které umí vše a spravuje to na jednom místě.

Mrkni třeba na https://www.ory.sh/open-source, jestli ti nebude vyhovovat. Je s tím ale také hodně práce a také to je rozdrobené na více služeb, což je logické.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: cjohn 15. 12. 2021, 02:09:14
OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: holantomas 15. 12. 2021, 07:03:38
Aneb řečeno chceš zdarma jednoduchý IDM s web ui a podporou všeho od Windows po linux aplikace?
Netusim co je zkratka IDM, nicmene zdarma to byt nemusi(Ale je to pro ~10 lidi tak s adekvatni cenou) ale nechci vendor-lock reseni a musi to bezet na linuxu. A ne nechci podporu od Windows po Linux Aplikace, chci LDAP a OAuth, to ty aplikace podporuji.

A dulezita cast je prave to ze to musi byt self-host.

Ory mi na to moje cuchtani s uzivateli prijde jako brutalni over-kill, ale diky.

OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.

No prave nezkousel, nicmene i kdyby to  fungovalo, tak v doc neni primo zminene zda tam muzu i vytvorit uzivatele ne jen editovat.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: Ondřej Kolín 15. 12. 2021, 07:36:18
V minulém zaměstnání jsme používali kombinaci openldap a fusion directory jako Frontend. Nevím jak dobře je podpora pro oauth... Nicméně můžeš rozjet keycloak který jako be bude mít tvůj ldap server.

https://mojefedora.cz/fedora-jako-ldap-server-3-prehledna-sprava-ldap-v-fusion-directory/
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: holantomas 15. 12. 2021, 08:11:42
V minulém zaměstnání jsme používali kombinaci openldap a fusion directory jako Frontend. Nevím jak dobře je podpora pro oauth...

On ten OAuth je prave dulezitejsi jak LDAP.

skusal si s Keycloakom edit mode: writable?

Tak jsem to ted zkusil. V dockeru jsem si rozjel OpenLDAP(image od bitnami) a prekvapive to funguje skvele. Keycloak se mi zacina celkem hodne libit. Stale je to trochu kanonem na komara, ale nastavil jsem aktualne to co cca potrebuji, tedy synchronizaci s LDAP, vynucene 2FA OTP. Kdyby to umelo FIDO key tak je to uplne uzasne  :)
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: schrapnel 15. 12. 2021, 08:40:29
Kedysi som laboroval s tymto - https://www.freeipa.org/page/Main_Page mrkni na specifikacie, neviem ci to plne pokryje tvoje poziadavky.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: _Tomáš_ 15. 12. 2021, 09:02:06
cituji:
IDM (Identity management) je oblast, která se zabývá řízením a správou identit. Laicky řečeno se stará o to, aby každý člověk ve společnosti měl k dispozici ty přístupy do systémů, které má mít, a to tehdy, kdy je má mít.

Nejspíš to v jednom kusu SW neuděláš, budeš mít bokem ldap a uložení uživatelů a nějakou abstrakci nad tím s web UI a přístupovými protokoly.

Nezapomeň, že sice Windows podporuje ldap, ale potřeba tam svoje předem daný struktury (např. RFC 2307bis), ldap je jen dotazovacá jazyk a uložiště, takže si podporu těhle struktur v ldap stromu pohlídej. Linux poté k tomu často potřebuje přibalit posix údaje, případně použít sssd, které si některé umí dopočítat.

Keycloak je asi nejdál z těch zdarma dostupných, takže to zkus rozchodit.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: holantomas 15. 12. 2021, 17:08:16
Je mi jasné že neseženu all-in-one jako SW, ale třeba nachystaný a nastavený docker image. Jj uz mi jeden keycloak s openLDAP. Ještě asi přidám Samba AD pro ty widle. O zbytek sluzeb se postará oauth nebo čisté LDAP
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: cjohn 16. 12. 2021, 08:29:28
Kdyby to umelo FIDO key tak je to uplne uzasne  :)

Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: holantomas 16. 12. 2021, 08:42:19
Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Jojo, nemel jsem cas to jeste projit cele nebo to konkretne hledat, neni to hlavni funkce, protoze na firme mam ten klic jen ja :D Takze mi stacila ta prednastavena podpora OTP aby tam 2FA bylo, ale diky za nasmerovani aspon vim kam kouknou  :)

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.

Vypada to fakt dobre, akorat jsem si fakt predstavoval jeste neco "tupejsiho". Kdyz ale pochopis jak to zhruba funguje tedy spise jak se co nastavuje, tak ta konfigurace neni tak slozita. Podle me ted spis prichazi ta slozitejsi cast. Nastavit vsechny sluzby aby to pouzivaly ... Dovecot, postfix, Cloud/file server, Samba AD + koncove stanice atd.
Název: Re:LDAP a OAuth/SAML v jednom
Přispěvatel: LivingLegend 16. 12. 2021, 09:10:33
Kdysi jsem si hral s 389ds, nevim ja kje natom ted. Tak jen podmet ze to existuje