Vorrei creare un SSO in cui i miei utenti possano accedere a macchine e siti web wordpress (php).
Finora ho LDAP con Kerberos funzionante. Posso accedere con le stesse credenziali ad ogni servizio, tuttavia non riesco a evitare di dover effettuare nuovamente l'accesso quando passo da un servizio o un host al successivo.
È difficile comprendere le credenziali e l'autenticazione.
Penso che tu stia mescolando insieme autenticazione e autorizzazione . Essere confusi da entrambi è molto comune, quindi esaminiamo innanzitutto cosa significa SSO in questi termini.
Lo scopo di SSO è quello di autenticare una volta e quindi avere le credenziali corrette per autorizzare te stesso in più punti. Questa potrebbe essere una singola credenziale o più credenziali.
Se usiamo una vacanza come un'analogia, potremmo dire che se acquisti: una camera d'albergo, un'auto e passi al museo potresti fare qualcosa come un vero e proprio SSO. Se arrivi in hotel e l'inserviente, dopo aver controllato il tuo passaporto, ti dà: la chiave della camera, la chiave della macchina e il biglietto per il museo; quindi hai autorizzato una volta (all'operatore) e ottenuto tre credenziali che ti ti autorizzano in tre diversi posti.
Nota che l'addetto potrebbe anche darti una chiave singola che funzionerebbe per tutti e tre i luoghi: la stanza, l'auto e servire come pass per il museo. In tal caso avresti una singola credenziale ma ti ti autorizza in diversi luoghi .
Nota infine i trucchi sopra: lo staff dell'hotel deve essere consapevole del fatto che hai noleggiato l'auto e che hai acquistato il biglietto per il museo. Inoltre, l'auto deve supportare lo stesso tipo di chiave del museo, e il museo deve avere un accordo con l'hotel sui pass.
Nelle cose WP e ssh (e altre app) le cose funzionano allo stesso modo. L'applicazione deve essere consapevole e configurata per autorizzare tramite le credenziali che un utente ha ricevuto da autenticare tramite un'altra app.
Se stai usando Kerberos per dare un ticket ad un utente che farà per credntial , puoi impostare samba ( kerberos methos = in smb.conf ) e configurare sshd ( krb5_auth = yes ).
Se vuoi utilizzare Shibbloleth avrai bisogno di tutte le app con cui accedere alle credenziali per supportare SAML . Per quanto ne so, sshd no.
Per le altre app devi controllare la loro configurazione sul tipo di autenticazione che supportano. Il supporto Kerberos è molto diffuso, troverai dei modi per agganciarti ovunque (potrebbero non essere banali).
Devi eseguire la giocoleria credenziale . Ad esempio, se i tuoi utenti hanno un componente aggiuntivo del browser scritto da te sui loro computer, potresti essere in grado di fornire loro un ticket kerberos per il client ssh da WP. Se non hai il controllo sui loro computer che non è possibile (se un browser consentirebbe di cambiare lo stato del client ssh, o viceversa, sarebbe un problema).
Ma molte app semplicemente non supportano SSO e basta. Se un museo specifico nella città che desideri rendere la tua vacanza si considera hipster e indie, e non accetterà accordi con catene alberghiere, non c'è niente che tu possa fare per ottenere il pass per quel museo alla reception dell'hotel.