LDAP a OAuth/SAML v jednom

[holantomas]

Zdravím, hledám nějaké OSS rešení pro příhlášení uživatelů. Odzkoušel jsem Keycloak, ale ten neobsahuje LDAP, ale umí se na něj napojit. Já hledám ale řešení vše v jednom s grafickým "klikátkem", protože opravdu nemám čas přes CLI nebo konfiguráky přídavat uživatele.

Cílem je abych si v nějakém GUI na serveru naklikal uživatele a ti se pak mohli přihlásit do přes LDAP do Windows, mailu(dovecot, postfix) a přes OAuth/SAML/OIDC do webového systému, firemního cloudu nebo např. roundcube. Dalším cílem je aby to bylo jednoduché, prostě taková lightweight služba co pustím v dockeru. Nepotřebuji totiž nějaké super funkce, potřebuji prostě centrální databázi uživatelů, kde se jim dá změnit heslo přip. další drobné paramatry, jako jméno a mail. Nic víc. Jak jsem řekl, tak Keycloak podporuje LDAP, ale me štve, že si jen jak vetšina služeb natahuje uživatele a nikoliv oboustraná synchronizace jako změna hesla apod. Prostě jedno místo, kde spravuji uživatele a ostatní mě nezajímá.

Máte s něčím podobným zkušenosti?

[Reklama]

[_Tomáš_]

Aneb řečeno chceš zdarma jednoduchý IDM s web ui a podporou všeho od Windows po linux aplikace? Tak to hodně štěstí, ty open source jsou většinou pouze cli. U nás dobře funguje openLDAP a Hashicorp vault pro oauth2/saml. Pracovně všude máme Active Directory, to je dnes možné mí v pronájmu i v Azure, to je to jedno místo, které umí vše a spravuje to na jednom místě.

Mrkni třeba na https://www.ory.sh/open-source, jestli ti nebude vyhovovat. Je s tím ale také hodně práce a také to je rozdrobené na více služeb, což je logické.

[🇺🇦 cjohn]

OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.

[holantomas]

Aneb řečeno chceš zdarma jednoduchý IDM s web ui a podporou všeho od Windows po linux aplikace?

Netusim co je zkratka IDM, nicmene zdarma to byt nemusi(Ale je to pro ~10 lidi tak s adekvatni cenou) ale nechci vendor-lock reseni a musi to bezet na linuxu. A ne nechci podporu od Windows po Linux Aplikace, chci LDAP a OAuth, to ty aplikace podporuji.

A dulezita cast je prave to ze to musi byt self-host.

Ory mi na to moje cuchtani s uzivateli prijde jako brutalni over-kill, ale diky.

OT: skusal si s Keycloakom edit mode: writable? Redhat doc: https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html/server_administration_guide/user-storage-federation

Tipnem ze OSS Keycloak doc ma v tejto cast preklep lebo tvrdi, ze aj writable edit mod nemeni LDAP.

No prave nezkousel, nicmene i kdyby to  fungovalo, tak v doc neni primo zminene zda tam muzu i vytvorit uzivatele ne jen editovat.

[Ondřej Kolín]

V minulém zaměstnání jsme používali kombinaci openldap a fusion directory jako Frontend. Nevím jak dobře je podpora pro oauth... Nicméně můžeš rozjet keycloak který jako be bude mít tvůj ldap server.

https://mojefedora.cz/fedora-jako-ldap-server-3-prehledna-sprava-ldap-v-fusion-directory/

[Reklama]

[holantomas]

V minulém zaměstnání jsme používali kombinaci openldap a fusion directory jako Frontend. Nevím jak dobře je podpora pro oauth...

On ten OAuth je prave dulezitejsi jak LDAP.

skusal si s Keycloakom edit mode: writable?

Tak jsem to ted zkusil. V dockeru jsem si rozjel OpenLDAP(image od bitnami) a prekvapive to funguje skvele. Keycloak se mi zacina celkem hodne libit. Stale je to trochu kanonem na komara, ale nastavil jsem aktualne to co cca potrebuji, tedy synchronizaci s LDAP, vynucene 2FA OTP. Kdyby to umelo FIDO key tak je to uplne uzasne 

[schrapnel]

Kedysi som laboroval s tymto - https://www.freeipa.org/page/Main_Page mrkni na specifikacie, neviem ci to plne pokryje tvoje poziadavky.

[_Tomáš_]

cituji:
IDM (Identity management) je oblast, která se zabývá řízením a správou identit. Laicky řečeno se stará o to, aby každý člověk ve společnosti měl k dispozici ty přístupy do systémů, které má mít, a to tehdy, kdy je má mít.

Nejspíš to v jednom kusu SW neuděláš, budeš mít bokem ldap a uložení uživatelů a nějakou abstrakci nad tím s web UI a přístupovými protokoly.

Nezapomeň, že sice Windows podporuje ldap, ale potřeba tam svoje předem daný struktury (např. RFC 2307bis), ldap je jen dotazovacá jazyk a uložiště, takže si podporu těhle struktur v ldap stromu pohlídej. Linux poté k tomu často potřebuje přibalit posix údaje, případně použít sssd, které si některé umí dopočítat.

Keycloak je asi nejdál z těch zdarma dostupných, takže to zkus rozchodit.

[holantomas]

Je mi jasné že neseženu all-in-one jako SW, ale třeba nachystaný a nastavený docker image. Jj uz mi jeden keycloak s openLDAP. Ještě asi přidám Samba AD pro ty widle. O zbytek sluzeb se postará oauth nebo čisté LDAP

[🇺🇦 cjohn]

Kdyby to umelo FIDO key tak je to uplne uzasne 

Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.

[holantomas]

Ja si myslim, ze aj FIDO je dostupne. Teda ak FIDO = Webauthn https://www.keycloak.org/docs/latest/server_admin/index.html#_webauthn

Jojo, nemel jsem cas to jeste projit cele nebo to konkretne hledat, neni to hlavni funkce, protoze na firme mam ten klic jen ja Takze mi stacila ta prednastavena podpora OTP aby tam 2FA bylo, ale diky za nasmerovani aspon vim kam kouknou 

Keycloak je kanon, ale v oblasti autentifikacie je to asi najlepsi open source, ktory je dostupny, co sa tyka sirky podporovanych SSO technologii.

Vypada to fakt dobre, akorat jsem si fakt predstavoval jeste neco "tupejsiho". Kdyz ale pochopis jak to zhruba funguje tedy spise jak se co nastavuje, tak ta konfigurace neni tak slozita. Podle me ted spis prichazi ta slozitejsi cast. Nastavit vsechny sluzby aby to pouzivaly ... Dovecot, postfix, Cloud/file server, Samba AD + koncove stanice atd.

[LivingLegend]

Kdysi jsem si hral s 389ds, nevim ja kje natom ted. Tak jen podmet ze to existuje