Me gustaría crear un SSO donde mis usuarios puedan iniciar sesión en máquinas y sitios web de wordpress (php).
Hasta ahora tengo LDAP con Kerberos funcionando. Puedo iniciar sesión con las mismas credenciales para todos los servicios, sin embargo, parece que no puedo evitar tener que volver a iniciar sesión cuando me mudo de un servicio o host a otro.
Es difícil envolver mi cabeza en torno a la autenticación y las credenciales.
Creo que están mezclando autenticación y autorización . Ser confundido por ambos es muy común, así que primero veamos qué significa SSO en estos términos.
El propósito de SSO es autenticar una vez y luego tener las credenciales correctas para autorizar en varios lugares. Esto puede ser una credencial única o varias credenciales.
Si utilizamos las vacaciones como una analogía, podríamos decir que si compras: una habitación de hotel, un automóvil y un pase al museo, puedes hacer algo como un SSO de la vida real. Si llega al hotel y el asistente, después de verificar su pasaporte, le entrega: la llave de su habitación, la llave de su auto y su boleto para el museo; luego autorizó una vez (al asistente) y obtuvo tres credenciales que autorizará a usted en tres lugares diferentes.
Tenga en cuenta que el asistente también podría darle una sola llave que funcione para los tres lugares: la sala, el automóvil y que sirva de pase al museo. En ese caso, tendría una credencial única pero lo autoriza en diferentes lugares .
Por último, tenga en cuenta los trucos anteriores: el personal del hotel debe tener en cuenta el hecho de que usted alquiló el auto y que compró el boleto para ir al museo. Además, el automóvil debe admitir el mismo tipo de llave que el museo, y el museo debe tener un acuerdo con el hotel sobre los pases.
En WP y ssh (y otras aplicaciones) las cosas funcionan de la misma manera. La aplicación debe ser consciente y configurada para autorizar a través de credenciales que un usuario recibió de autenticando a través de otra aplicación.
Si está utilizando kerberos para darle un ticket a un usuario que hará el credntial , puede configurar samba ( kerberos methos = en smb.conf ) y configurar sshd ( krb5_auth = yes ).
Si desea utilizar Shibbloleth, necesitará todas las aplicaciones a las que pueda acceder con credenciales para admitir SAML . Que yo sepa, sshd no.
Para otras aplicaciones, debe verificar su configuración a qué tipo de autenticación admiten. El soporte de Kerberos está muy extendido, encontrará formas de conectarlo casi en todas partes (aunque puede que no sean triviales).
Debes realizar el credencial haciendo malabares. Por ejemplo, si sus usuarios tienen un complemento de navegador escrito por usted en sus máquinas, es posible que pueda otorgarles un ticket kerberos para el cliente ssh de WP. Si no tiene control sobre sus computadoras, eso no es posible (si un navegador permitiría cambiar el estado del cliente ssh, o viceversa, eso sería un problema).
Pero varias aplicaciones simplemente no son compatibles con SSO y eso es todo. Si un museo específico de la ciudad que desea hacer para sus vacaciones se considera inconformista e indie, y no aceptará acuerdos con cadenas hoteleras, no hay nada que pueda hacer para obtener el pase a ese museo en la recepción del hotel.