我们目前在我们的组织部署了AD和OpenLDAP。
我想知道是否有人在类似的设置工作,并希望分享一些保持系统pipe理员健全的步骤。
细节:
你如何执行帐户configuration?
两个目录中是否都有帐户? 如果不是,决定哪个目录将存在一个新账户的逻辑在哪里? 如何处理exception? 如果对用户权利的更改保证在目录上创build或删除帐户,那么该怎么办?
如何同步帐户属性,包括密码更改? 其中一个目录被认为是“主”? 如果是的话,哪一个,为什么?
双目录环境的决定是什么? 是否有计划摆脱这种设置? 如果是这样的话 为了确保顺利(就像发生过的事情)那样,正在采取哪些措施?
你倾向于使用什么样的pipe理工具(账户删除,故障排除等)? 主办地点在DC,OpenLDAP服务器或者在不同的Windows或Linux机器上。
由于需要AD或OpenLDAP的专用应用程序,我们的组织别无select,只能实现这两个目录。
你如何执行帐户configuration? 我们有一个定制的内部开发的应用程序,与两个系统进行交互。 工作进入/退出过程是超详细的,只涉及技术系统的一部分。 有一个定制的供应商提供的Web应用程序来服务于实际的请求。
两个目录中是否都有帐户? 不必要。 所有用户都有一个LDAP帐户,但他们可能没有AD帐户。
如何同步帐户属性,包括密码更改? 我们拥有AD组的LDAP属性和一些其他属性,例如邮政地址,电话号码等。这些属性与一个并不复杂的自定义应用程序同步。 我们两种方式同步密码。 如果用户更改他们的AD密码,则该用户密码与LDAP环境同步,反之亦然。 只要说这两个环境应该具有相同的密码复杂性要求就足够了。 其中一个目录被认为是“主”? 没有。
双目录环境的决定是什么? 政治。 是否有计划摆脱这种设置? 不,我们有一个很大的Linux服务器基础,所有的身份validation都是针对LDAP目录执行的。
多年来,我们拥有并行的Active Directory和Novell eDirectory环境。 AD是Exchange所必需的,eDirectory是我们所有NetWare服务器所需的(现在不需要)。 所以我对这个问题很熟悉。 有一个关键的细节允许我们在两种环境下操作:
权威身份商店是第三个系统。 SCT Banner在我们的案例中,但是对于任何其他ERP系统也是如此。
人力资源stream程定义了“有资格申请帐户”所需的条件。 一旦有人在该名单上,每天一次(或两次)生成具有商定细节的CSV文件。 这个CSV文件然后被我们的账户供应过程拾取:
然后,我们让所有新用户通过启用帐户的帐户激活过程(网页),并进行初始密码设置。 由于这是一个单独的过程,因此我们在此过程中捕获其密码,并通过正常的密码更改API将其提交到两个目录。
然后,我们尽我们所能阻止用户通过本地工具更改自己的密码,迫使他们使用我们编写的密码更改网页。
所有用户都存在于这两种环境中,并具有相同的密码。
取消configuration的方式也是一样的。 人力资源stream程从符合条件的列表中删除帐户 他们不在CSV导出中,由IDM进程logging并开始删除过程。 它禁用了两个星期的帐户,并在两周后解除了一切。
对所有这些进行pipe理是混合了用于模糊操作的本地工具和我们编写的用于处理locking重置,组成员操作,打印配额操作以及其他类似事情的Webpipe理门户。