[FSUG PD] SSO su AD Windows

IT Consulting Padova itconsultingpadova a gmail.com
Mar 26 Maggio 2015 17:32:08 CEST 

Ciao Emanuele,
l'attuale ambiende di produzione non rispecchia questo scenario. Sto 
sperimentando in un ambiente virtualizzato per ora.
La documentazione è quella ufficiale di freeipa, più quella redhat.

Volendo abbozzare una infrastruttura, direi che:
1. AD Windows da fa DNS;
2. freeIPA joina l'AD o lo mettiamo in trust one-way (ancora non so);
3. Client win (oltre che linux) accedono ai server linux che espongono 
le risorse con utenza presente in AD;
4. freeIPA deve propagare l'autenticazione, oltre che distribuire le 
password che eventualmente l'utente cambia (perchè scadute) su AD verso 
le macchine, in modo da mantenerle sincronizzate;
5. Eventualmente effettuare il setup di freeIPA via Puppet (ci provo...);
6. direi che è abbastanza per ora.

La scalabilità al momento non la considero: so che freeIPA può andare in 
HA e ci penserò a tempo debito, prima bisogna far funzionare tutto il resto.

Ciao


Il 26/05/2015 17:24, Emanuele Zamprogno ha scritto:
> Tu che approccio hai messo in produzione?
>
> Hai trovato documentazione in tal senso?
>
> Idee da dove vuoi partire? Tecnologie di riferimenti, standard da rispettare, scalabilità?
>
> Emanuele.
>
> Il 26 maggio 2015 17:05:54 CEST, IT Consulting Padova <itconsultingpadova a gmail.com> ha scritto:
>> Ciao gente,
>>
>> allo stato attuale, utilizzando strumenti free, pensiate sia matura la
>> gestione di SingleSignOn di utenti windows su Linux ?
>>
>> Descrizione estesa:
>> - Dominio aziendale gestito da AD;
>> - Utenti Windows che si loggano sui propri terminali;
>> - Server linux che espongono determinati sevizi (cluster Hadoop,
>> distrubuzioni R, H2O...).
>> Vorrei usare freeIPA per propagare gli utenti presenti in AD sulle
>> macchine linux, in modo da poter fare SSO ed al momento del login
>> creare
>> la cartella home, gestire la password eccetera.
>> Ovviamente con supporto Kerberos.
>>
>> Quali sono i vostri pensieri al riguardo ? Qualcuno ha già provato ?
>>
>> Ciao
>>
>> Bepi
>> _______________________________________________
>> fsug-pd mailing list
>> fsug-pd a lists.fsugpadova.org
>> http://lists.fsugpadova.org/listinfo/fsug-pd
> _______________________________________________
> fsug-pd mailing list
> fsug-pd a lists.fsugpadova.org
> http://lists.fsugpadova.org/listinfo/fsug-pd

Maggiori informazioni sulla lista fsug-pd