Wie kann OS X "VPN Single Sign On" durchführen?

Sie könnten tunnelblick als Frontend für OpenVPN verwenden . Einmal installiert, wird es automatisch ausgeführt, wenn sich der Benutzer anmeldet. Es kann im Dialogfeld VPN-Details auch so konfiguriert werden, dass es automatisch eine Verbindung herstellt :

Es scheint auch mit OpenDirectory zu funktionieren, beginnend mit Version 3.1beta16 (ich verwende derzeit Version 3.4.2). Entnommen aus den Versionshinweisen ( What's New in Tunnelblick 3.1beta16 (Changes from 3.1beta14) )

• Behebt Probleme, wenn OpenDirectory verwendet wird und sich das Home-Verzeichnis des Benutzers auf einer Nicht-Mac-Plattform befindet.

Kurz gesagt, obwohl die VPN-Anmeldung auf dem Anmeldebildschirm nicht wie angefordert bereitgestellt wird, ist das Endergebnis ziemlich gleich – Sie melden sich an und die VPN-Verbindung läuft bereits.

Hoffe das hilft.

Kleiner Schnatz allein ist ausreichend. Eine Kombination von Little Snitch oder mit Apple Server-Software wird das erreichen, was Sie suchen. Einmal eingestellt, verbietet/erlaubt Little Snitch ausgehende Verbindungen basierend auf einer gespeicherten (passwortgeschützten) Konfiguration. Nur VPN kann so konfiguriert werden, dass dieser Benutzer nur über aktivierte Verbindungen eine Verbindung herstellen kann. Der Benutzer muss sich nach der Anmeldung manuell oder per Schlüsselbund beim VPN-Server anmelden.

Apple Server ist auch ziemlich vielseitig, und der Support für Apple Enterprise Server ist ziemlich gut, zumal er kostenlos mit der 20-Dollar-Server-Software geliefert wird.

Hier ist eine Antwort, die Apple bereitstellt: http://support.apple.com/kb/PH15510

Mavericks Server Admin: Single-Sign-On-Authentifizierung

OS X Server verwendet Kerberos für die Single-Sign-On-Authentifizierung, was Benutzern die separate Eingabe eines Namens und Passworts für jeden Dienst erspart. Beim Single Sign-On gibt ein Benutzer im Anmeldefenster immer einen Namen und ein Passwort ein. Danach muss der Benutzer keinen Namen und kein Kennwort für den AFP-Dienst, den Mail-Dienst oder andere Dienste eingeben, die die Kerberos-Authentifizierung verwenden.

Um Single Sign-On nutzen zu können, müssen Benutzer und Dienste kerberisiert – für die Kerberos-Authentifizierung konfiguriert – sein und denselben Kerberos-KDC-Server verwenden.

Benutzerkonten, die sich in einem LDAP-Verzeichnis eines Mac-Servers befinden und den Kennworttyp „Open Directory“ haben, verwenden das integrierte KDC des Servers. Diese Benutzerkonten sind für Kerberos und Single Sign-On konfiguriert. Die kerberisierten Dienste des Servers verwenden das integrierte KDC des Servers und sind für einmaliges Anmelden konfiguriert.

Dieses Mac-Server-KDC kann Benutzer auch für Dienste authentifizieren, die von anderen Servern bereitgestellt werden. Wenn mehrere Server mit OS X Server das Mac-Server-KDC verwenden, ist nur eine minimale Konfiguration erforderlich.

Kerberos-Authentifizierung

Kerberos wurde am MIT entwickelt, um eine sichere Authentifizierung und Kommunikation über offene Netzwerke wie das Internet bereitzustellen. Es ist nach dem dreiköpfigen Hund benannt, der den Eingang zur Unterwelt der griechischen Mythologie bewachte.

Kerberos bietet einen Identitätsnachweis für zwei Parteien. Es ermöglicht Ihnen, zu beweisen, wer Sie für Netzwerkdienste sind, die Sie verwenden möchten. Es beweist Ihren Anwendungen auch, dass Netzwerkdienste echt und nicht gefälscht sind.

Wie andere Authentifizierungssysteme bietet Kerberos keine Autorisierung. Jeder Netzwerkdienst bestimmt, was Sie tun dürfen, basierend auf Ihrer nachgewiesenen Identität.

Kerberos ermöglicht es einem Client und einem Server, sich gegenseitig viel sicherer zu identifizieren als typische Challenge-Response-Kennwortauthentifizierungsmethoden. Kerberos bietet auch eine Single-Sign-On-Umgebung, in der sich Benutzer nur einmal am Tag, in der Woche oder in einem anderen Zeitraum authentifizieren, wodurch die Authentifizierungshäufigkeit verringert wird.

OS X Server bietet integrierte Kerberos-Unterstützung, die praktisch jeder einsetzen kann. Tatsächlich erfolgt die Kerberos-Bereitstellung so automatisch, dass Benutzer und Administratoren möglicherweise nicht bemerken, dass sie bereitgestellt wird.

Dies ist die Standardeinstellung für Benutzerkonten im LDAP-Verzeichnis des Mac-Servers. Andere vom LDAP-Verzeichnisserver bereitgestellte Dienste wie AFP und der Mail-Dienst verwenden Kerberos ebenfalls automatisch.

Wenn Ihr Netzwerk über andere Server mit OS X Server verfügt, ist es einfach, sie mit dem Kerberos-Server zu verbinden, und die meisten ihrer Dienste verwenden Kerberos automatisch.

Wenn Ihr Netzwerk über ein Kerberos-System wie Microsoft Active Directory verfügt, können Sie alternativ Ihren Mac-Server und Ihre Mac-Computer so einrichten, dass es für die Authentifizierung verwendet wird.

Das Internet ist von Natur aus unsicher, aber nur wenige Authentifizierungsprotokolle bieten wirkliche Sicherheit. Böswillige Hacker können leicht verfügbare Softwaretools verwenden, um Passwörter abzufangen, die über ein Netzwerk gesendet werden.

Viele Anwendungen senden Passwörter unverschlüsselt, und diese sind sofort einsatzbereit, wenn sie abgefangen werden. Auch verschlüsselte Passwörter sind nicht ganz sicher. Mit genügend Zeit und Rechenleistung können verschlüsselte Passwörter geknackt werden.

Um Passwörter in Ihrem privaten Netzwerk zu isolieren, können Sie eine Firewall verwenden, aber das löst nicht alle Probleme. Eine Firewall bietet beispielsweise keinen Schutz vor verärgerten oder böswilligen Insidern.

Kerberos wurde entwickelt, um Netzwerksicherheitsprobleme zu lösen. Es überträgt niemals das Passwort des Benutzers über das Netzwerk, noch speichert es das Passwort im Computerspeicher des Benutzers oder auf der Festplatte. Selbst wenn die Kerberos-Anmeldeinformationen geknackt oder kompromittiert werden, erfährt der Angreifer daher nicht das ursprüngliche Kennwort, sodass er möglicherweise nur einen kleinen Teil des Netzwerks kompromittieren kann.

Neben der überlegenen Passwortverwaltung wird Kerberos auch gegenseitig authentifiziert. Der Client authentifiziert sich beim Dienst und der Dienst authentifiziert sich beim Client. Ein Man-in-the-Middle- oder Spoofing-Angriff ist unmöglich, wenn Sie kerberisierte Dienste verwenden, und das bedeutet, dass Benutzer den Diensten vertrauen können, auf die sie zugreifen.

Kerberos ist auf allen wichtigen Plattformen verfügbar, einschließlich OS X, Windows, Linux und anderen UNIX-Varianten.

Gehen Sie über Passwörter hinaus

Die Netzwerkauthentifizierung ist schwierig: Um eine Netzwerkauthentifizierungsmethode bereitzustellen, müssen sich Client und Server auf die Authentifizierungsmethode einigen. Obwohl es für Client/Server-Prozesse möglich ist, sich auf eine benutzerdefinierte Authentifizierungsmethode zu einigen, ist es praktisch unmöglich, eine umfassende Akzeptanz über eine Reihe von Netzwerkprotokollen, Plattformen und Clients hinweg zu erreichen.

Angenommen, Sie möchten Smartcards als Netzwerkauthentifizierungsmethode bereitstellen. Ohne Kerberos müssen Sie jedes Client/Server-Protokoll ändern, um die neue Methode zu unterstützen. Die Liste der Protokolle umfasst SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, lokale Verzeichnisdomäne, RPC, NFS, AFS, WebDAV und LPR und geht weiter und weiter .

Angesichts der ganzen Software, die Netzwerkauthentifizierung durchführt, wäre die Bereitstellung einer neuen Authentifizierungsmethode für die gesamte Suite von Netzwerkprotokollen eine entmutigende Aufgabe. Obwohl dies für Software von einem Anbieter machbar sein könnte, werden Sie wahrscheinlich nicht alle Anbieter dazu bringen, ihre Client-Software zu ändern, um Ihre neue Methode zu verwenden. Außerdem möchten Sie wahrscheinlich, dass Ihre Authentifizierung auf mehreren Plattformen (wie OS X, Windows und UNIX) funktioniert.

Aufgrund des Designs von Kerberos weiß ein Client/Server-Binärprotokoll, das Kerberos unterstützt, nicht einmal, wie der Benutzer seine Identität nachweist. Daher müssen Sie nur den Kerberos-Client und den Kerberos-Server ändern, um einen neuen Identitätsnachweis wie eine Smartcard zu akzeptieren. Infolgedessen hat Ihr gesamtes Kerberos-Netzwerk jetzt die neue Identitätsnachweismethode übernommen, ohne dass neue Versionen von Client- und Serversoftware bereitgestellt werden müssen.

Kerberos stellt eine zentrale Authentifizierungsstelle für das Netzwerk bereit. Alle Kerberos-fähigen Dienste und Clients verwenden diese zentrale Autorität. Administratoren können Authentifizierungsrichtlinien und -vorgänge zentral prüfen und steuern.

Kerberos kann Benutzer für die folgenden Dienste eines Mac-Servers authentifizieren:

1. Anmeldefenster
2. Mail-Dienst
3. AFP-Dateidienst
4. FTP-Dateidienst
5. SMB-Dateidienst (als Mitglied eines Active Directory-Kerberos-Realms)
6. VPN-Dienst
7. Apache-Webdienst
8. LDAP-Verzeichnisdienst
9. Nachrichtendienst
10. NFS-Dateidienst

Diese Dienste wurden kerberisiert, unabhängig davon, ob sie ausgeführt werden oder nicht. Nur kerberisierte Dienste können Kerberos verwenden, um einen Benutzer zu authentifizieren. OS X Server enthält Befehlszeilentools zum Kerberisieren anderer Dienste, die mit MIT-basiertem Kerberos kompatibel sind.

Single-Sign-On-Erfahrung

Kerberos ist ein auf Anmeldeinformationen oder Tickets basierendes System. Der Benutzer meldet sich einmalig am Kerberos-System an und erhält ein Ticket mit einer Gültigkeitsdauer. Während der Lebensdauer dieses Tickets muss sich der Benutzer nicht erneut authentifizieren, um auf einen kerberisierten Dienst zuzugreifen.

Die kerberisierte Clientsoftware des Benutzers, z. B. die E-Mail-Anwendung, präsentiert ein gültiges Kerberos-Ticket, um den Benutzer für einen kerberisierten Dienst zu authentifizieren. Dies bietet eine Single-Sign-On-Erfahrung.

Ein Kerberos-Ticket ist wie ein Presseausweis für ein Jazzfestival, das an einem dreitägigen Wochenende in mehreren Nachtclubs stattfindet. Sie müssen sich einmal ausweisen, um den Pass zu erhalten. Bis der Pass abläuft, können Sie ihn in jedem Nachtclub vorzeigen, um eine Eintrittskarte für eine Aufführung zu erhalten. Alle teilnehmenden Nachtclubs akzeptieren Ihren Pass, ohne Ihren Identitätsnachweis erneut zu sehen.