smallstep so với teleport thế nào bác nhỉ, cũng quản lý bằng certificate và support mfa là fido2 thì phải
khoe Yubikey ... tèo
Trang 4/5
đợt setup thằng teleport mãi ko ổn nên mình bỏ , lâu rồi ko thử lại
Tùy mục đích sử dụng, nhưng theo m thì những con đỉnh thích hợp cho homelab hiện giờ là:
Làm SSO :
- Authentik
- Zitadel
- Auth0
Làm PKI:
- smallstep
- scepman
pki m ko thử nhiều lắm chỉ biết 2 con trên
có 1c usb type A, ship từ JAV lâu lắc rồi về dùng được mấy lần test vứt xó đó giờ.
Thím nào múc ko
Thím nào múc ko
con nào écó 1c usb type A, ship từ JAV lâu lắc rồi về dùng được mấy lần test vứt xó đó giờ.
Thím nào múc ko
Giờ mới biết anh em xài yubikey nhiều nhỉ. Mình tận 3 cái trong đó cái xanh biển chuối nhất không có TOTP lưu trên key. Còn 2 cái đợt vent CF nó bán rẻ 2 cái 30 đô nên tậu nó xài. Cũng ngót 5 năm xài vẫn ngon.
Nạp Smart Card vào yubikey lưu đó mã hóa file trong windows cũng tiện. Mà thằng windows hơi kì không nhận smartcard chạy bằng RSA mà nó chấp nhận ECC gì đó thôi mới hài
Nạp Smart Card vào yubikey lưu đó mã hóa file trong windows cũng tiện. Mà thằng windows hơi kì không nhận smartcard chạy bằng RSA mà nó chấp nhận ECC gì đó thôi mới hài
mình vẫn dùng nhưng rất ít khi lưu , chủ yếu để login win cho nhanh với 2,3 tk nữa thôi , chủ yếu giờ dùng 1Pass
sinh tồn mà. k xài mới lạ và khó hiểu ah
ah nhiu bạn
Gần 100 đô kkkk
Key đang sale usb A còn 36 đô
lâu rồi tui k follow vụ này cũng k bít nhiu. cũng đang có 4 keysMình ko biết bán nhiêu thím
trc mua VN mãi ko đc, đành nhờ người xách bên JAV về.
Reactions:
l372un
sso: con zitadel thì nó nặng + require setup acc với external provider lằng nhằng quá, con auth0 thì close source. Mình đang dùng Caddy + plugin để sso qua bên google luôn (homelab).
mà mình k hiểu vì sao cần làm pki ở trong internal network của homelab, làm để xác thực với external facing với internet thì ok, nhưng lại có let's encrypt tls rồi dùng sso tiện lợi + dễ setup dễ dùng hơn nhiều
có 1c usb type A, ship từ JAV lâu lắc rồi về dùng được mấy lần test vứt xó đó giờ.
Thím nào múc ko
gg authy 2fa fre miễn fee đầy ra mà sao phải mua cái này lại rất dễ hư hỏng nữa vậy các bác nhỉ,hic?
) Thật ra mình gom lại nói cho gọn chứ mấy thằng trên vai trò khác nhau.
Nhóm 1 là Authentik , Zitadel, Auth0: nó là IdP ( Identity Provider), có thằng kiêm luôn IAM ( identity managment) , tức nó ko chỉ làm mỗi việc xác thực ( Authentication) , nó còn là nơi cấp quyền ( Authorization) nữa.
Ví như bạn dùng yubikey , microsoft/google authenticator: tụi này làm 1 việc là xác thực. Ví như bạn dùng tụi này để xác thực cho 10 tài khoản khác nhau , thì thực tế , 10 tài khoản này vẫn là 10 tk riêng lẻ.
Còn với bọn nhóm 1: bạn chỉ cần tạo tài khoản và cấp quyền ở 1 chỗ thôi, sau đó dùng cho 10 service khác nhau. Lúc này , 10 services này tự biết tài khoản nào là quyền admin, tài khoản nào là user, power user ( lấy thông tin quyền từ database của nhóm 1 gán vào).
Còn nhóm 2 : scepman , Microsoft PKI, Windows CA, smallstep: Bọn này chức năng chính là PKI ( public key infra), nó quản lí life cycle của key. Dùng khi bạn cần cấp key cho nhiều người , nhiều service ,và có nhu cầu xoay vòng key. Nếu làm thủ công thì mất thời gian, PKI sẽ lo vụ này cho bạn.
P/s: nói thêm tí về nhóm 1, idP, Vì ko phải idp nào cũng giống nhau. Ví dụ Microsoft Cloud PKI để ra là để xác thực cho azure, onprem ko dùng dc.
Authentik: thằng này thì đúng kiểu all in one , chơi đủ thể loại, từ SAML , oidc, rac proxy., . Có điều ko phải ai cũng biết, authentik nó built in Guacamole luôn lolz , nên nó dùng xác thực luôn cho rdp, ssh. Nó chơi dc cho cả đám legacy ko dùng modern authn ( WebAuth, Fido2) luôn thông qua proxy.
Còn thằng Auth0 nó đi theo hướng khác hẳn , nó ko kiểu nhà nào cũng chơi , nhạc nào cũng nhảy , nhưng nó là thằng dc developer rất thích , nhúng vào web app , làm automation thì miễn chê. Nói chung authentik focus xác thực cho người , còn auth chuyên xác thực cho machine, service lolz
Reactions:
anhyeuviolet, ppptran and SoulEvilX
Chức năng chính nó là khóa cứng xác thực 2FA thôi. Mà để hỏng nó hơi bị khó đấy bro. Trừu khi lấy búa đập
qdiem mình
Auth : Software -> Risk
- Server họ bị exploit thì sao ?
- Phone mình bị ăn cắp thì sao ?
- Con vợ nó mở phone được thì sao ?
Hardware vẫn hơn
dạo này thầy trốn đâu rồi, network thầy ngon lành chưa, lâu quá không thấy show gì hết thầy
Reactions:
ppptran and l372un