Три буквы о главном

LDAP
Во многих странах уже давно и успешно пользуются технологиями SSO для частных нужд компаний и корпораций. У нас об SSO если и знают, то что-то совсем не то (и часто вообще путают с доменным входом в сеть Windows) и не применяют на практике, а чаще — не знают, не интересуются и знать не желают. Причины тому — безусловно, достаточно глубокие, связанные с перманентным переходным периодом в развитии нашей экономики, который может завершить только полное исчерпание запасов нефти и газа, либо резкое снижение спроса на природные ресурсы. Дело в том, что SSO — это просто некое удобство, ещё один кирпичик, помогающий строить простую и прозрачную по своей архитектуре IT-инфраструктуру, легко управляемую, легко контролируемую, максимально гибкую. Но, безусловно, внедрение SSO достаточно трудоёмко, требует затрат относительно дорогостоящего времени системных администраторов и при этом напрямую никакой прибыли не приносит. Как, впрочем, и любой другой инфраструктурный проект. А в условиях российского рынка, где главной мотивацией является «срубить бабла по быстрому и свалить, пока не началось», где в принципе не может быть ничего фундаментального, прочного, построенного века — IT-инфраструктура как таковая никому не нужна. Не нужна особо и эффективная работа IT-специалистов и каких бы то ни было других специалистов: легче нанять 50 человек непрофессионалов на низкий оклад, чем 5 эффективных специалистов на куда более высокий оклад. Потому что последние 5 нужно как-то постоянно мотивировать, а те 50 пусть «ротируются» сколько угодно — ещё наймём.

Мда, так вот на этой радостной ноте хотелось бы представить Вам интересное решение в области SSO-технологий. Решение, которое изначально создавалось для нужд государственных учреждений Франции, а сейчас является хорошо документированным программным комплексом с открытым исходным кодом, доступным любому желающему. Собственно, это WebSSO LemonLDAP::NG, проект, позволяющий пройти однократную авторизацию, получить соотв. электронный ключ/токен и дальше предоставлять его для авторизации, вместо того, чтобы каждый раз вводить логин и пароль. Заинтересовавшимся настоятельно рекомендую ознакомиться с презентацией на сайте данного проекта: lemonldap-ng.org/documentation/presentation

8 комментариев

avatar
Андрей, просветите сирого, есть ли в *nix-системах какие-нибудь решения для SSO (не WebSSO, а именно для приложений в системе), кроме Kerberos?
avatar
x509 сертификаты — многие приложения умеют идентифицировать себя по subject валидного сертификата. Кстати, если необходимо для начала расшифровать закрытый ключ сертификата, то на уровне «тактильном» будет весьма похоже на SSO с помощью Kerberos, только гораздо проще в работе и в понимании.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.