Google Apps, AD ve TOA

E-posta ihtiyaçlarımız için Google Apps (Enterprise) çalıştıran küçük bir mağazayız. Sevdim. Dahili olarak, Windows AD (2003) kullanıyoruz. Hiçbir şikayet ya da.

AD ile Google Apps arasında dolaşan bazı TOA yöntemlerini edinmek istiyorum, böylece AD ​​benim şifreleri yönetmek (ve periyodik olarak DEĞİŞTİRMEK!) Tek yer.

Ben geçmişte google'ın "tfm" ler üzerinde baktım, ama sanırım ben tam olarak anlamıyorum. Bunu yapan var mı? Eğer öyleyse, bunu nasıl paylaşmak isterdiniz? Çok fazla karmaşıklık ve masraf olmadan yapılabilir mi?

Google Apps ile yapabileceğiniz birkaç şey var.

AD ağınıza bağlı bir SAML sunucusu ayarlayabilir ve ardından Google'ı Google Apps erişiminizi SAML sunucusuna karşı doğrulayacak şekilde ayarlayabilirsiniz. SimpleSAMLphp adlı bir php uygulaması kullandık çünkü zaten PHP'yi çalıştırmak için sunucu ayarlarımız var ve php becerisine sahip geliştiricilerimiz var. Yalnızca bir SAML çözümü kullanmanın dezavantajı, hesaplara yalnızca web üzerinden giriş yapabilmenizdir. Bu, posta kutunuza imap / pop yoluyla erişemeyeceğiniz ve Google Talk’a eski bir XMPP istemcisi ile giriş yapamayacağınız anlamına gelir.

SAML kullanmak Google Apps alanında otomatik olarak hesap oluşturmaz. Ayrıca, Google Apps Directory senkronizasyon aracını kullanabileceğiniz hesapları senkronize edecek bir araca da ihtiyacınız olacaktır . Bu, hesap oluşturmanıza izin verir, ancak yine de varsayılan olarak şifreleri senkronize etmez, çünkü Windows Parola karmaları geri alınamaz ve Google bu hesaplarla hiçbir şey yapamaz.

AD'nizdeki şifre değişikliklerini durdurmak için PasswdHk gibi bir şey kullanmak ve ardından şifreyi Google dizin senkronizasyonu yardımcı programının Google Apps şifrelerini ayarlamak için kullanabileceği bir biçimde (tuzsuz sha1) saklamak mümkündür. Ancak, Google, yalnızca API'sı üzerinden tuzsuz md5 veya sha1 şifre karmaları kabul edeceğinden ve Google ile senkronize etmek için temelde bu karmaları saklamanız gerektiğinden, biraz güvenlik riski ekler . Bunu kullanacaksanız, bu karmaları güvende tutmak çok önemlidir.

Hmmph. İmap / pop ile ilgili bitene kadar beni SAML konusunda heyecanlandırdın. Windows Mobile ve böğürtlen istemcileri kullanarak tüm insanları öldürecekti, değil mi? Orada akıllı bir alternatif var mı?

Parola karmaları saklama riskini kabul etmek istiyorsanız, çalışan bir sistem elde etmek için TOA ve dizin eşitlemesini birleştirebilirsiniz.

Alternatif olarak, alan adınızdaki kullanıcıların Google hesaplarını başlatmak ve Google hesabının şifresini ayarlamak için gidecekleri bir Intranet portalı geliştirebilir. Böyle bir şey geliştirmeyi düşünmüştüm, ancak iş arkadaşlarıma bunun yolun böyle olduğunu kabul etmelerini sağlayamadım.

Temel fikir şudur, bir web uygulaması oluşturun

• İntranetinizde yaşar ve etkin dizininizde kimlik doğrulaması yapar
• Kullanıcının intranet sitesine giriş yapmak ve AD'den ihtiyacınız olan diğer bilgileri almak için kullandığı kullanıcı adını ve şifreyi alıp kullanıcı hesabını eklemek / güncellemek için Google Temel Hazırlık API'sını kullanacak bir işlevi vardır.

Aracı oluşturmak çok zor olmamalı, temel bir şeyi kesmek için tahmin etmeliydim, sadece 12-16 saat geliştirme süresi alacaktı. Bu çözümün avantajı, size% 100 Google Apps işlevselliği sağlaması, dezavantajı, son kullanıcıyı biraz rahatsız etmesidir.

Ben de buna daha iyi bir cevap görmek isterim.

Google kullanıcılarını Active Directory kullanıcılarından senkronize etmek için Google Apps Directory Sync ile oynadım . AD'nin LDAP uygulamasının şifreyi Google'ın Senkronizasyon aracının erişemediği şifrelenmiş bir ikili alanda tuttuğunu okuduğum noktaya kadar şişmiş görünüyordu.

Google'ın diğer TOA çözümü tabloları değiştiriyor gibi görünüyor, böylece Google yetkili kimlik bilgileri kaynağıdır. Bununla ilgilenmiyoruz; İnternet erişimimiz kesilirse LAN'ımızda ne olur?

Şu anda en iyi çözümüm, daha sonra CSV'ye dışa aktardığımız ve Google Apps'a toplu olarak içe aktardığımız kullanıcı adları ve şifreleri olan bir Google Apps e-tablosu . Bu şifre değişikliklerini işlemez. Şimdiye kadar sahip olduğumuz en iyi şey, Windows şifre politikası bir değişikliği zorladığında kullanıcılarımızı hem Google hem de Windows şifresini aynı yeni şifreyle değiştirmeleri konusunda eğitmektir.

İşte karmayı reklamda saklayan bir şifre filtresi. http://code.google.com/p/sha1hexfltr/ Karmaları güvenli bir şekilde reklama kaydeder. TOA gerekmez, yeni sunucu gerekmez!

Hmm, kimse SSO'yu yapmıyor? İtiraf ediyorum biraz şaşırdım!

Sadece işleri hızlandırmak için : PingConnect'in diğer kanallardan önerilmesini sağladım . Bunu kullanan var mı?

Bunu yapmak için LemonLDAP :: NG kullanabilirsiniz. Bkz. Http://lemonldap-ng.org/documentation/latest/applications/googleapps

Oracle Internet Directory + Oracle SSO (ve IBM TIM / TAM) gibi bazı ürünler, üçüncü taraf sistemlere bağlanmaya izin verir. Bu, ürünün AD ile senkronize edilecek şekilde yapılandırıldığı ve kimlik bilgilerini hayal ettiğiniz diğer tüm ürünlere depoladığı anlamına gelir. Kimlik bilgilerini istediğiniz sisteme (bu durumda - Google Apps) ekleyen yeni bir giriş bağlantısı alırsınız ve hepsi bu kadar.

Unutmayın ki böyle bir konfigürasyonu çalıştırmak ve çalıştırmak oldukça kolaydır ve ayrıca size biraz paraya mal olabilir, bu nedenle her orgranizasyona uymaz.

Aktif dizin senkronizasyonu ile birlikte kullanılacak şifreleri senkronize etmek için Google Apps Password Sync (GAPS) var gibi görünüyor . Ama henüz kullanmadım.