¿Cómo puede OS X realizar "VPN Single Sign On"?

Puede utilizar tunnelblick como un front end de OpenVPN. Una vez instalado, se ejecuta automáticamente cuando el usuario se conecta. También se puede configurar para que se conecte automáticamente, en el Detalles de la VPN diálogo:

Parece que también funciona con OpenDirectory, a partir de la versión 3.1beta16 (actualmente estoy usando la versión 3.4.2). Tomado de las notas de la versión ( Novedades de Tunnelblick 3.1beta16 (Cambios respecto a 3.1beta14) )

• Corrige problemas cuando se utiliza OpenDirectory y el directorio principal del usuario está en una plataforma que no es Mac.

Así que, en resumen, aunque no proporcione el inicio de sesión de la VPN en la pantalla de inicio de sesión como se solicita, el resultado final es prácticamente el mismo: inicias la sesión y ya tienes la conexión VPN en funcionamiento.

Espero que esto ayude.

Little Snitch es suficiente. Alguna combinación de Little Snitch, o con el software Apple Server logrará lo que buscas. Una vez configurado, Little Snitch prohibirá/permitirá las conexiones salientes basándose en una configuración guardada (protegida por contraseña). Sólo la VPN puede ser configurada de tal manera que el usuario no podrá conectarse sino a través de las conexiones habilitadas. El usuario tendrá que iniciar sesión en el servidor VPN después de conectarse manualmente o a través del llavero.

Apple Server también es bastante versátil, y el soporte de Apple Enterprise Server es bastante bueno, especialmente porque viene gratis con el software del servidor de 20 dólares.

Esta es la respuesta que ofrece Apple: http://support.apple.com/kb/PH15510

Administración de servidores Mavericks: Autenticación de inicio de sesión único

OS X Server utiliza Kerberos para la autenticación de inicio de sesión único, que que libera a los usuarios de introducir un nombre y una contraseña por separado para cada servicio. Con el inicio de sesión único, el usuario siempre introduce un nombre y una contraseña en la ventana de inicio de sesión. A partir de entonces, el usuario no necesita introducir un nombre y contraseña para el servicio AFP, el servicio Mail u otros servicios que utilizan la autenticación Kerberos.

Para aprovechar las ventajas del inicio de sesión único, los usuarios y los servicios deben estar Kerberizados -configurados para la autenticación Kerberos- y utilizar el mismo servidor KDC de Kerberos.

Las cuentas de usuario que residen en un directorio LDAP de un servidor Mac y tienen un tipo de contraseña de Open Directory utilizan el KDC integrado del servidor. Estas cuentas de usuario están configuradas para Kerberos y el inicio de sesión único. Los servicios Kerberizados del servidor utilizan el KDC integrado del servidor y están configurados para el inicio de sesión único.

Este KDC del servidor Mac también puede autenticar a los usuarios para los servicios proporcionados por otros servidores. Para que más servidores con OS X Server utilicen el KDC del servidor Mac requiere una configuración mínima.

Autenticación Kerberos

Kerberos fue desarrollado en el MIT para proporcionar autenticación segura y comunicación en redes abiertas como Internet. Se llama así por el perro de tres cabezas que custodiaba la entrada al inframundo de la de la mitología griega.

Kerberos proporciona una prueba de identidad para dos partes. Le permite demostrar quién eres a los servicios de red que quieres utilizar. También demuestra a sus aplicaciones que los servicios de red son genuinos, no suplantados.

Al igual que otros sistemas de autenticación, Kerberos no proporciona autorización. Cada servicio de red determina lo que se le permite hacer hacer basándose en su identidad probada.

Kerberos permite a un cliente y a un servidor identificarse mutuamente de forma mucho más segura que la típica de forma más segura que los métodos típicos de autenticación de contraseñas de contraseñas. Kerberos también proporciona un entorno de inicio de sesión único en el que los usuarios se autentican sólo una vez al día, a la semana o en otro periodo de tiempo, facilitando así la frecuencia de autenticación.

OS X Server ofrece soporte integrado de Kerberos que prácticamente cualquiera puede desplegar. De hecho, el despliegue de Kerberos es tan automático que los usuarios y administradores pueden no darse cuenta de que está desplegado.

Es la configuración por defecto para las cuentas de usuario en el directorio LDAP del servidor Mac del servidor Mac. Otros servicios proporcionados por el servidor de directorio LDAP, como como AFP y el servicio de correo, también utilizan Kerberos automáticamente.

Si su red tiene otros servidores con OS X Server, unirlos a al servidor Kerberos es fácil, y la mayoría de sus servicios utilizan Kerberos automáticamente.

Alternativamente, si su red tiene un sistema Kerberos como Microsoft Active Directory, puede configurar su servidor Mac y los ordenadores Mac para utilizarlo para la autenticación.

Internet es intrínsecamente inseguro, pero pocos protocolos de autenticación proporcionan una seguridad real. Los hackers malintencionados pueden utilizar herramientas de software herramientas de software fácilmente disponibles para interceptar las contraseñas que se envían a través de una red.

Muchas aplicaciones envían contraseñas sin cifrar, y éstas están listas para usar tan pronto como son interceptadas. Incluso las contraseñas cifradas no son completamente seguras. Con el tiempo y la potencia de cálculo suficientes, las contraseñas encriptadas pueden ser descifradas.

Para aislar las contraseñas en su red privada puede utilizar un cortafuegos, pero esto no resuelve todos los problemas. Por ejemplo, un cortafuegos no proporciona seguridad contra personas internas descontentas o maliciosas.

Kerberos fue diseñado para resolver los problemas de seguridad de la red. Nunca transmite la contraseña del usuario a través de la red, ni guarda la contraseña en la memoria del ordenador del usuario o en el disco. Por lo tanto, incluso si las credenciales de Kerberos son descifradas o comprometidas, el atacante no el atacante no aprende la contraseña original, por lo que puede comprometer sólo una pequeña parte de la red.

Además de una gestión superior de las contraseñas, Kerberos también se autentifica mutuamente. autenticado mutuamente. El cliente se autentica en el servicio, y el servicio se autentifica en el cliente. Un ataque de hombre en el medio o de suplantación de identidad es imposible cuando se utilizan servicios Kerberos, y eso significa que los usuarios pueden confiar en los servicios a los que acceden.

Kerberos está disponible en todas las plataformas principales, incluyendo OS X, Windows, Linux y otras variantes de UNIX.

Ir más allá de las contraseñas

La autenticación en red es difícil: para desplegar un método de red, el cliente y el servidor deben acordar el método de método de autenticación. Aunque es posible que los procesos cliente/servidor cliente/servidor se pongan de acuerdo en un método de autenticación personalizado, conseguir de autenticación personalizado, la adopción generalizada de un conjunto de protocolos de red, plataformas y y clientes de la red es prácticamente imposible.

Por ejemplo, suponga que quiere desplegar tarjetas inteligentes como un como método de autenticación en red. Sin Kerberos, debe cambiar cada protocolo cliente/servidor para soportar el nuevo método. La lista de protocolos incluye SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH QuickTime Streaming, DNS, LDAP, dominio de directorio local, RPC, NFS, AFS, WebDAV y LPR, y así sucesivamente.

Teniendo en cuenta todo el software que realiza la autenticación en red, desplegar un nuevo método de autenticación en todo el conjunto de protocolos de red sería una tarea de enormes proporciones. Aunque esto podría ser posible para el software de un proveedor, es poco probable que todos los proveedores cambien su software cliente para utilizar su nuevo método. Además, es probable que quieras que tu autenticación funcione en múltiples plataformas (como OS X, Windows y UNIX).

Debido al diseño de Kerberos, un protocolo binario cliente/servidor que soporta Kerberos ni siquiera sabe cómo el usuario demuestra su identidad. Por lo tanto, sólo tiene que cambiar el cliente Kerberos y el servidor Kerberos para que acepten una nueva prueba de identidad, como una tarjeta inteligente. Como resultado, toda su red Kerberos resultado, toda su red Kerberos ha adoptado el nuevo método de prueba de identidad, sin necesidad de desplegar nuevas versiones de software de cliente y cliente y del servidor.

Kerberos proporciona una autoridad central de autenticación para la red. Todos los servicios y clientes habilitados para Kerberos utilizan esta autoridad central. Los administradores pueden auditar y controlar centralmente las políticas de autenticación y operaciones de autenticación.

Kerberos puede autenticar usuarios para los siguientes servicios de un Mac de un servidor Mac:

1. Ventana de inicio de sesión
2. Servicio de correo
3. Servicio de archivos AFP
4. Servicio de archivos FTP
5. Servicio de archivos SMB (como miembro de un reino Kerberos de Active Directory)
6. Servicio VPN
7. Servicio web Apache
8. Servicio de directorio LDAP
9. Servicio de mensajes
10. Servicio de archivos NFS

Estos servicios han sido kerberizados tanto si se están ejecutando como si no. Sólo los servicios que están Kerberizados pueden usar Kerberos para autenticar a un usuario. OS X Server incluye herramientas de línea de comandos para Kerberizar otros servicios que son compatibles con Kerberos basado en el MIT.

Experiencia de inicio de sesión único

Kerberos es un sistema basado en credenciales o tickets. El usuario se conecta una vez al sistema Kerberos y se le emite un ticket con una vida útil. Durante durante el tiempo de vida de este ticket, el usuario no necesita autenticarse para acceder a un servicio Kerberos.

El software cliente Kerberizado del usuario, como la aplicación Mail, presenta un ticket Kerberos válido para autenticar al usuario para un servicio servicio Kerberizado. Esto proporciona una experiencia de inicio de sesión único.

Una entrada de Kerberos es como un pase de prensa para un festival de jazz que se celebra en múltiples clubes nocturnos durante un fin de semana de tres días. Usted demuestra su identidad una vez para obtener el pase. Hasta que el pase caduque, puede mostrarlo en cualquier discoteca para conseguir una entrada para una actuación. Todas las discotecas aceptan el pase sin necesidad de volver a ver el documento de identidad. de nuevo.