双目录 (Active Directory + LDAP) 环境中的帐户管理

双目录 (Active Directory + LDAP) 环境中的帐户管理

我们目前已在我们的组织中部署了 AD 和 OpenLDAP。

我想知道是否有人曾在类似的设置下工作过,并愿意分享一些为保持系统管理员理智而采取的步骤。

细节:

  1. 如何进行帐户配置?

  2. 所有账户是否都存在于两个目录中?如果不是,那么决定新账户将存在于哪些目录中的逻辑在哪里?如何处理异常?如果用户权限的更改导致在目录中创建或删除账户,该怎么办?

  3. 如何同步帐户属性(包括密码更改)?其中一个目录是否被视为“主”目录?如果是,是哪一个?为什么?

  4. 决定采用双目录环境的原因是什么?是否有计划放弃这种设置?如果有,原因是什么?正在采取哪些步骤来确保平稳过渡(就像曾经发生过的那样)?

  5. 您倾向于使用哪种管理工具(用于删除帐户、故障排除等)?管理工具放在哪里——DC、OpenLDAP 服务器或者其他 Windows 或 Linux 机器上。

由于专门的应用程序需要 AD 或 OpenLDAP,我们的组织别无选择,只能实施这两个目录。

答案1

  1. 您如何执行帐户配置?我们有一个自定义的内部开发应用程序,可与两个系统交互。工作进入/退出流程非常详细,其中只有一部分涉及技术系统。有一个由供应商提供的定制 Web 应用程序用于处理实际请求。

  2. 所有帐户是否都存在于两个目录中?不一定。所有用户都有 LDAP 帐户,但他们可能没有 AD 帐户。

  3. 如何同步帐户属性(包括密码更改)?我们有 AD 组和其他一些属性的 LDAP 属性,例如邮政地址、电话号码等。这些属性与不太复杂的自定义应用程序同步。我们双向同步密码。如果用户更改其 AD 密码,则会同步到 LDAP 环境,反之亦然。可以说,两个环境应该具有相同的密码复杂性要求。其中一个目录被视为“主”目录吗?不是。

  4. 决定采用双目录环境的原因是什么?政治原因。是否有计划放弃这种设置?没有。我们拥有大量的 Linux 服务器,并且所有身份验证都是针对 LDAP 目录执行的。

答案2

多年来,我们一直拥有并行的 Active Directory 和 Novell eDirectory 环境。Exchange 需要 AD,而我们拥有的所有 NetWare 服务器(现在不再需要)都需要 eDirectory。所以我对这里的问题很熟悉。有一个关键细节使我们能够同时运行这两个环境:

权威身份存储是第三个系统。在我们的案例中是 SCT Banner,但任何其他 ERP 系统都可以做到这一点。

人力资源流程定义了“有资格获得帐户”所需的条件。一旦某人被列入该名单,就会每天一次(或两次)生成一个包含商定细节的 CSV 文件。然后,我们的帐户配置流程会获取此 CSV 文件,以便:

  • 生成 eDir 帐户(现已失效)
  • 生成主目录
  • 生成 AD 帐户
  • 如果是教职员工,请生成 Exchange 邮箱
  • 生成 NIS+ 账户(上周已失效)
  • 如果是学生,生成outlook@live邮箱。
  • 根据需要设置两个目录中的地址簿属性
  • 禁用所有三个(学生为四个)帐户

然后,我们让所有新用户完成一个帐户激活流程(一个网页),以启用他们的帐户并进行初始密码设置。由于这是一个单独的流程,因此我们会在此过程中捕获他们的密码,并通过常规密码更改 API 将其提交给两个目录。

然后,我们尽力阻止用户通过本机工具更改自己的密码,迫使他们使用我们编写的密码更改网页。

所有用户都存在于两个环境中,并具有相同的密码。

取消配置的方式相同。HR 流程从合格列表中删除帐户。IDM 流程会注意到 CSV 导出中没有帐户,并启动删除流程。它会禁用帐户两周,两周后取消所有帐户的配置。

管理所有这些的是用于模糊操作的本机工具和我们编写的 Web 管理门户的混合,用于处理诸如锁定重置、组成员身份操作、打印配额操作和其他此类事情。

相关内容