¿Cómo puede OS X realizar "VPN Single Sign On"?

Windows puede realizar " inicio de session único VPN " mediante el cual se inicia una connection VPN (preconfigurada) desde la pantalla de inicio de session utilizando las cnetworkingenciales de usuario proporcionadas y, una vez establecido, el usuario se autentica contra el server de directory corporativo.

Solo después de completar con éxito dicho inicio de session se puede usar un cliente remoto.

¿Cómo se puede lograr lo mismo con OS X?

Puede usar tunnelblick , como interfaz para OpenVPN. Una vez instalado, se ejecuta automáticamente cuando el usuario inicia session. También se puede configurar para conectarse automáticamente, en el cuadro de dialog Detalles de VPN :

Detalles de VPN

Parece que también funciona con OpenDirectory, a partir de la versión 3.1beta16 (actualmente estoy usando la versión 3.4.2). Tomado de las notas de la versión ( Novedades de Tunnelblick 3.1beta16 (Cambios de 3.1beta14) )

  • Soluciona problemas al usar OpenDirectory y el directory de inicio del usuario está en una plataforma que no es de Mac.

Entonces, en resumen, si bien no proporciona el inicio de session de VPN en la pantalla de inicio de session según lo solicitado, el resultado final es prácticamente el mismo: inicia session y la connection VPN ya se está ejecutando.

Espero que esto ayude.

Little Snitch solo es adecuado. Alguna combinación de Little Snitch, o con el software del Servidor de Apple logrará lo que busca. Una vez configurado, Little Snitch prohibirá / permitirá las conexiones salientes basadas en una configuration guardada (protegida con contraseña). Solo VPN se puede configurar de tal manera que ese usuario no podrá conectarse excepto a través de conexiones habilitadas. El usuario deberá iniciar session en el server VPN después de iniciar session manualmente o mediante un llavero.

configuración de reglas globales

Apple Server también es bastante versátil, y el soporte de Apple Enterprise Server es bastante bueno, especialmente dado que viene gratis con el software de server de $ 20.

Aquí hay una respuesta que proporciona Apple: http://support.apple.com/kb/PH15510

Mavericks Server Admin: authentication de inicio de session único

OS X Server utiliza Kerberos para la authentication de inicio de session único, lo que alivia a los usuarios de ingresar un nombre y una contraseña por separado para cada service. Con el inicio de session único, un usuario siempre ingresa un nombre y una contraseña en la window de inicio de session. A partir de entonces, el usuario no necesita ingresar un nombre y contraseña para el service AFP, el service de correo u otros services que usan la authentication Kerberos.

Para aprovechar el inicio de session único, los usuarios y services deben tener Kerberos configurados para la authentication de Kerberos y usar el mismo server Kerberos KDC.

Las counts de usuario que residen en un directory LDAP de un server Mac y tienen un tipo de contraseña de Open Directory usan el KDC incorporado del server. Estas counts de usuario están configuradas para Kerberos e inicio de session único. Los services Kerberized del server utilizan el KDC integrado del server y están configurados para el inicio de session único.

Este server Mac KDC también puede autenticar usuarios para services provistos por otros serveres. Tener más serveres con OS X Server usa el server Mac KDC requiere solo una configuration mínima.

Autenticación Kerberos

Kerberos se desarrolló en MIT para proporcionar authentication segura y comunicación a través de networkinges abiertas como Internet. Su nombre proviene del perro de tres cabezas que protegía la input al inframundo de la mitología griega.

Kerberos proporciona una testing de identidad para dos partes. Le permite demostrar quién es usted a los services de networking que desea usar. También demuestra a sus aplicaciones que los services de networking son genuinos, no falsos.

Al igual que otros sistemas de authentication, Kerberos no proporciona la autorización. Cada service de networking determina lo que se le permite hacer en function de su identidad comprobada.

Kerberos permite que un cliente y un server se identifiquen de forma mucho más segura que los methods típicos de authentication de contraseña de desafío y respuesta. Kerberos también proporciona un entorno de inicio de session único donde los usuarios se autentican solo una vez al día, a la semana u otro período de time, lo que facilita la frecuencia de authentication.

OS X Server ofrece soporte Kerberos integrado que prácticamente cualquier persona puede implementar. De hecho, la implementación de Kerberos es tan automática que los usuarios y administradores pueden no darse count de que está implementada.

Es la configuration pnetworkingeterminada para counts de usuario en el directory LDAP del server Mac. Otros services proporcionados por el server de directory LDAP, como AFP y el service de correo, también usan Kerberos automáticamente.

Si su networking tiene otros serveres con OS X Server, unirlos al server Kerberos es fácil, y la mayoría de sus services usan Kerberos automáticamente.

Alternativamente, si su networking tiene un sistema Kerberos como Microsoft Active Directory, puede configurar su server Mac y las computadoras Mac para usarlo para la authentication.

Internet es intrínsecamente inseguro, pero pocos protocolos de authentication ofrecen security real. Los hackers malintencionados pueden usar herramientas de software fácilmente disponibles para interceptar las passwords que se envían a través de una networking.

Muchas aplicaciones envían passwords sin cifrar, y están lists para usar tan pronto como son interceptadas. Incluso las passwords encriptadas no son completamente seguras. Con suficiente time y poder de cómputo, las passwords encriptadas pueden ser descifradas.

Para aislar las passwords en su networking privada, puede usar un firewall, pero esto no resuelve todos los problemas. Por ejemplo, un server de security no brinda security contra personas internas descontentas o malintencionadas.

Kerberos fue diseñado para resolver problemas de security de networking. Nunca transmite la contraseña del usuario a través de la networking, ni guarda la contraseña en la memory de la computadora del usuario o en el disco. Por lo tanto, incluso si las cnetworkingenciales de Kerberos están rajadas o comprometidas, el atacante no aprende la contraseña original, por lo que puede comprometer solo una pequeña parte de la networking.

Además de una administración de passwords superior, Kerberos también se autentica mutuamente. El cliente se autentica en el service y el service se autentica en el cliente. Un ataque de tipo man-in-the-middle o spoofing es imposible cuando usa services de Kerberized, y eso significa que los usuarios pueden confiar en los services a los que están accediendo.

Kerberos está disponible en todas las plataforms principales, incluidas OS X, Windows, Linux y otras variantes de UNIX.

Ir más allá de las passwords

La authentication de networking es difícil: para implementar un método de authentication de networking, el cliente y el server deben acordar el método de authentication. Si bien es posible que los processs cliente / server acuerden un método de authentication personalizado, la adopción generalizada de un set de protocolos de networking, plataforms y clientes es prácticamente imposible.

Por ejemplo, supongamos que desea implementar tarjetas inteligentes como un método de authentication de networking. Sin Kerberos, debe cambiar cada protocolo de cliente / server para admitir el nuevo método. La list de protocolos incluye SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, dominio de directory local, RPC, NFS, AFS, WebDAV y LPR, y sigue y sigue. .

Teniendo en count todo el software que hace la authentication de networking, la implementación de un nuevo método de authentication en todo el set de protocolos de networking sería una tarea desalentadora. Aunque esto podría ser factible para el software de un proveedor, es poco probable que haga que todos los proveedores cambien el software de sus clientes para usar su nuevo método. Además, probablemente también desee que su authentication funcione en múltiples plataforms (como OS X, Windows y UNIX).

Debido al layout de Kerberos, un protocolo binary cliente / server que admite Kerberos ni siquiera sabe cómo el usuario demuestra la identidad. Por lo tanto, solo necesita cambiar el cliente Kerberos y el server Kerberos para aceptar una nueva testing de identidad, como una tarjeta inteligente. Como resultado, toda su networking Kerberos ha adoptado ahora el nuevo método de testing de identidad, sin implementar nuevas versiones de software de cliente y server.

Kerberos proporciona una autoridad de authentication central para la networking. Todos los services y clientes habilitados para Kerberos usan esta autoridad central. Los administradores pueden auditar y controlar centralmente las políticas y operaciones de authentication.

Kerberos puede autenticar usuarios para los siguientes services de un server Mac:

  1. Ventana de login
  2. Servicio de correo
  3. Servicio de files AFP
  4. Servicio de files FTP
  5. Servicio de files SMB (como miembro de un dominio Kerberos de Active Directory)
  6. Servicio de VPN
  7. Servicio web Apache
  8. Servicio de directory LDAP
  9. Servicio de posts
  10. Servicio de files NFS

Estos services se han Kerberized ya sea que se estén ejecutando o no. Solo los services kerberizados pueden usar Kerberos para autenticar a un usuario. OS X Server incluye herramientas de command-line para Kerberizar otros services que son compatibles con Kerberos basado en MIT.

Experiencia de inicio de session único

Kerberos es un sistema basado en cnetworkingenciales o tickets. El usuario inicia session una vez en el sistema Kerberos y recibe un ticket con una vida útil. Durante la vida útil de este ticket, el usuario no necesita autenticarse nuevamente para acceder a un service de Kerberized.

El software de cliente Kerberized del usuario, como la aplicación de correo, presenta un vale de Kerberos válido para autenticar al usuario en un service de Kerberized. Esto proporciona una experiencia de inicio de session único.

Un boleto de Kerberos es como un pase de prensa para un festival de jazz que se celebra en múltiples clubes nocturnos durante un fin de semana de tres días. Usted demuestra su identidad una vez para get el pase. Hasta que el pase caduque, puede mostrarlo en cualquier discoteca para get un boleto para un espectáculo. Todos los clubes nocturnos participantes aceptan su pase sin ver su testing de identidad nuevamente.