Porządki w infrastrukturze cyfrowej: LDAP/SSO

Techniczne
1

Mamy w tej chwili Single sign-on (Keycloak) postawiony na subdomenie auth.hs-ldz.pl.
O ile SSO przyda się jako wspólny login do aplikacji przeglądarkowych, to obecnie jest dostępny wyłącznie z poziomu forum. Nie jest też wykorzystywany przez większość członków.

Do zrobienia:

  1. Ustawić serwer LDAP, który byłby “źródłem” uwierzytelniania każdej wspólnej usługi spejsowej - a co za tym idzie, żeby każdy członek miał jeden login do wszystkiego.
  2. Spięcie z SSO, żeby SSO brało dane użytkowników z LDAP-a.
  3. Przemigrowanie wszystkich usług na LDAP-a lub SSO (domyślny sposób logowania na forum, obsługa w long-season).

Pytania:

  1. Jaką implementację serwera LDAP wykorzystać? OpenLDAP? FreeIPA?
  2. Co z kontami dla nie-członków na forum? Również przemigrować na LDAP/SSO z innym zbiorem uprawnień? Zostawić wbudowane logowanie przez login/hasło na forum?
2

Ad 2 – mamy jakieś inne usługi, które będą używane przez nie-członków (lub też członków społeczności, ale nie stowarzyszenia – to w sumie to samo, co nie-członek)? Jak tak, to byłbym raczej za rejestracją w LDAP-ie z jakimiś ograniczonymi uprawnieniami.

A nawet, jak teraz takich nie ma… to mogą się pojawić.