Příspěvky

16

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 16. 12. 2021, 08:42:19 »

Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Jojo, nemel jsem cas to jeste projit cele nebo to konkretne hledat, neni to hlavni funkce, protoze na firme mam ten klic jen ja Takze mi stacila ta prednastavena podpora OTP aby tam 2FA bylo, ale diky za nasmerovani aspon vim kam kouknou 

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.

Vypada to fakt dobre, akorat jsem si fakt predstavoval jeste neco "tupejsiho". Kdyz ale pochopis jak to zhruba funguje tedy spise jak se co nastavuje, tak ta konfigurace neni tak slozita. Podle me ted spis prichazi ta slozitejsi cast. Nastavit vsechny sluzby aby to pouzivaly ... Dovecot, postfix, Cloud/file server, Samba AD + koncove stanice atd.

17

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 15. 12. 2021, 17:08:16 »

Je mi jasné že neseženu all-in-one jako SW, ale třeba nachystaný a nastavený docker image. Jj uz mi jeden keycloak s openLDAP. Ještě asi přidám Samba AD pro ty widle. O zbytek sluzeb se postará oauth nebo čisté LDAP

18

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 15. 12. 2021, 08:11:42 »

V minulém zaměstnání jsme používali kombinaci openldap a fusion directory jako Frontend. Nevím jak dobře je podpora pro oauth...

On ten OAuth je prave dulezitejsi jak LDAP.

skusal si s Keycloakom edit mode: writable?

Tak jsem to ted zkusil. V dockeru jsem si rozjel OpenLDAP(image od bitnami) a prekvapive to funguje skvele. Keycloak se mi zacina celkem hodne libit. Stale je to trochu kanonem na komara, ale nastavil jsem aktualne to co cca potrebuji, tedy synchronizaci s LDAP, vynucene 2FA OTP. Kdyby to umelo FIDO key tak je to uplne uzasne 

19

Server / Re:LDAP a OAuth/SAML v jednom

« kdy: 15. 12. 2021, 07:03:38 »

Aneb řečeno chceš zdarma jednoduchý IDM s web ui a podporou všeho od Windows po linux aplikace?

Netusim co je zkratka IDM, nicmene zdarma to byt nemusi(Ale je to pro ~10 lidi tak s adekvatni cenou) ale nechci vendor-lock reseni a musi to bezet na linuxu. A ne nechci podporu od Windows po Linux Aplikace, chci LDAP a OAuth, to ty aplikace podporuji.

A dulezita cast je prave to ze to musi byt self-host.

Ory mi na to moje cuchtani s uzivateli prijde jako brutalni over-kill, ale diky.

OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.

No prave nezkousel, nicmene i kdyby to  fungovalo, tak v doc neni primo zminene zda tam muzu i vytvorit uzivatele ne jen editovat.

20

Server / LDAP a OAuth/SAML v jednom

« kdy: 14. 12. 2021, 12:14:16 »

Zdravím, hledám nějaké OSS rešení pro příhlášení uživatelů. Odzkoušel jsem Keycloak, ale ten neobsahuje LDAP, ale umí se na něj napojit. Já hledám ale řešení vše v jednom s grafickým "klikátkem", protože opravdu nemám čas přes CLI nebo konfiguráky přídavat uživatele.

Cílem je abych si v nějakém GUI na serveru naklikal uživatele a ti se pak mohli přihlásit do přes LDAP do Windows, mailu(dovecot, postfix) a přes OAuth/SAML/OIDC do webového systému, firemního cloudu nebo např. roundcube. Dalším cílem je aby to bylo jednoduché, prostě taková lightweight služba co pustím v dockeru. Nepotřebuji totiž nějaké super funkce, potřebuji prostě centrální databázi uživatelů, kde se jim dá změnit heslo přip. další drobné paramatry, jako jméno a mail. Nic víc. Jak jsem řekl, tak Keycloak podporuje LDAP, ale me štve, že si jen jak vetšina služeb natahuje uživatele a nikoliv oboustraná synchronizace jako změna hesla apod. Prostě jedno místo, kde spravuji uživatele a ostatní mě nezajímá.

Máte s něčím podobným zkušenosti?