在我们公司,我们使用多个系统,这些系统彼此之间没有关联。例如,我们使用 CRM 系统、PasswordManager、Microsoft 365 等在线系统,但也使用 NAS 等内部系统和支持票务系统。(注意:我们不使用目录,如 AD)
我们的员工可以通过在这些系统上创建的账户访问大多数系统。每个员工可以担任不同的角色,拥有不同的权限。麻烦的是记账:谁有权访问什么?现在它被记录在 Excel 文件中(当然)。
所以我的问题是:操作系统中是否存在软件包或命令,允许我管理系统、系统用户及其角色?它不应该询问系统,它需要使管理对我来说更容易。
一个更广泛的问题是:如何跟踪不同系统上的所有用户、组、角色和权限?
答案1
您可以为此创建一个数据库...或者简单地使用 Excel 但是...
- 保留一份主文档,其中包含所有用户及其唯一密钥的列表。
- 为每项服务保留单独的页面/文档,但不允许添加第 1 点主文档中不存在的用户。也在此文档中报告唯一密钥。
- 为每个用户创建一个摘要,用于在单一服务文档中搜索唯一键。
我们说的是数据库……
但是总是备份。
请注意,*nix 系统上的用户和组级访问机制旨在处理此类情况。您的情况更广泛,但理念是相似的。
答案2
“管理”这个问题的常用方法是使用 Excel、(Access 等)并创建冗长的列表。这是一个非常糟糕的想法,无论如何最终都注定会失败:
文档(你想要的基本上是,你想知道发生了什么)应该自行生成,或者至少是可生成的来自实际数据:例如,如果您传输文件并使用某种列表(Excel 或其他)记录所有传输的文件,那么很有可能,有一天您会忘记写下传输的文件,导致您的列表错误(最终毫无用处)。或者写下一个条目,但忘记传输文件。错误会累积,因为传输文件和将条目写入列表是两个不同的活动,彼此之间没有直接关系。现在,想象一下从一个新的空白 Excel 表开始:检索每个必要的条目需要多长时间,这个新列表将保持多长时间的准确性?
另一方面,如果你将传输的文件移动到某个目录作为该过程的一部分,“列表”就会自行构建,并且始终可以重现(执行ls,dir等)并且始终准确。
话虽如此:使用目录服务某种程度上,因为您始终可以从其数据库创建活动权限列表,因此始终拥有准确的信息。您可以使用 Active Directory,但它基本上是一个简化的 LDAP,具有固定(且不太复杂)的结构,使用 Kerberos V 作为身份验证机制。
自己创建一个 LDAP 域,您将从中获得更多好处,尽管制定一个适合您需求的结构将是一项不简单的设计任务。我的建议是从 LDAP 专家那里获得外部帮助来设置它,因为您很可能不会在第一次(甚至第二次)就做对。