Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?

Zdravím,
chystám se unifikovat přihlášení v rámci naší firmy.
Chtěl bych používat WPA Enterprise na přihlášení k WiFi.
Dále máme některé služby, které umožňují přihlášení pomocí SAML SSO.
Bohužel některé služby toto nepodporují, ale i tam jde zapojit alespoň LDAP.
Nechce se mi ale rozjíždět pro autorizaci uživatelů tolik služeb. Navíc se budou muset nějak synchronizovat, protože uživatelé budou mít stejné přístupy všude.
Dá se to nějak vyřešit elegantně v rámci all-in-one řešení?
Momentálně mě jako nejjednodušší napadá, že budu mít nějakou aplikaci, která bude připojená na databáze těch služeb a bude jim tam dělat CRUD operace pro uživatele...


mhepp

Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?
« Odpověď #1 kdy: 05. 05. 2021, 23:54:35 »
V minulé práci jsme řešili podobný problém. Nakonec to vykrystalizovalo v řešení, kde byla centrální databáze uživatelů a k dispozici 3 autentizační mechanizmy - LDAP, RADIUS a SSO (a možná ještě AD pro Win stanice). Takže jediná výhoda byla v centrální databázi uživatelů, stejně těch autentizačních mechanizmů bylo potřeba více...

Třeba už z principu věci pro WPA enterprise potřebuješ Radius, bez toho to nejde. Potom spousta služeb není webová, tak tam použiješ LDAP (třeba pro přihlášení na pracovní stanice). A ty webové, které to podporují, mohou použít SSO. Pro zjednodušení (uživatelům) ještě můžeš použít Kerberos - jakmile se přihlásí na stanici, dostanou kerberos lístek a ten můžeš použít pro ověření při použití služby.

Jak to tam reálně vypadá, to nevím, protože jsem v době nasazování odešel.

Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?
« Odpověď #2 kdy: 06. 05. 2021, 07:53:48 »
Jak Radius tak Shibboleth podporuji LDAP jako backend, takze se sice ani jednoho nezbavis, ale muzes je propojit a mit LDAP jako centralni databazi.

M Z

Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?
« Odpověď #3 kdy: 06. 05. 2021, 07:55:18 »
Asi nejbliz tomu co by jsi chtel je IPA. V IPA mas Kerberos+LDAP a k tomu budes muset doinstalovat Radius pro WIFI a napr. Shibboleth pro SSO. Radius i Shibboleth napojis pres LDAP na IPA a mas hotovo ;-). Vyhodou IPA je, ze ma master-master replikaci a take ipa-client  pro napojeni linux serveru na centralni identitu neni k zahozeni. Mame v IPA cca. 600 uzivatelu, pres ipa-clienta napojenych necelou stovku serveru a nepocitane sluzeb ruzne pres ldap/kerberos/SSO, vse funguje. Cisco WIFI pres freeradius take funguje bez problemu.
Nepocitej s ti ze to das za tyden. Napojeni Apache a ruznych WWW aplikaci na LDAP je jednoduche, ale s radiusem a SSO si budes muset pohrat ;-).

Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?
« Odpověď #4 kdy: 06. 05. 2021, 14:13:12 »
Díky za info.
Ta FreeIPA vypadá dost slibně, tak to s tím vyzkouším.
Ještě budu muset sehnat něco na Oauth2 jsem zjistil, protože to někde podporujou místo SAMLu.
Koukal jsem, že snad FreeIPA umí SAML sama o sobě s modulem?


cjohn

Re:Autorizační služby(RADIUS/LDAP/SAML) a sjednocení do jedné?
« Odpověď #5 kdy: 06. 05. 2021, 22:34:05 »
Na SSO by som dal Keycloak (napojeny na LDAP) - zvlada SAML aj OIDC (OAuth) protokol a dalsie SSO chutovky ako TOTP, WebAuthn, PKCE flow, social logins, brokering, .... Teoreticky s trochu zaspinenymi rukami od kodovania by Keycloak mohol byt aj auth backend pre RADIUS (https://github.com/thomasdarimont/keycloak-freeradius-demo).