Мы предоставляем управляемые ИТ-услуги для ряда предприятий малого и среднего бизнеса. Я ищу решение для масштабируемого управления нашим доступом к лесам AD наших клиентов.
Прямо сейчас мы вручную создаем собственный логин в AD с достаточными правами. Как вы понимаете, это не очень хорошо масштабируется, поскольку мы получаем сотрудников и необходимость иметь возможность отзывать пароли и т. Д. Включает в себя ручной вход в каждый клиент для обновления AD.
Практически для всех наших клиентов мы управляем всей их ИТ-инфраструктурой, включая AD, все серверы, сеть и т. Д. Поэтому, если мы сможем получить надежное решение, мы должны иметь разумную возможность изменять конфигурацию AD клиентов для достижения нашей цели. .
Мы также предоставляем услуги хостинга, поэтому у нас есть надежные средства для размещения собственной инфраструктуры, с которой клиенты могут синхронизироваться.
Способ централизованного управления учетными записями AD для нескольких клиентов на разных сайтах / лесах и т. Д.
Желательно, чтобы мы переключились на создание собственных учетных записей для каждого из наших технических специалистов в AD клиента, чтобы у нас была определенная степень ответственности, а политики доступа могли быть более детализированными.
Очевидно, что вышеупомянутый пункт вызывает опасения по поводу загрязнения клиентской AD (хотя у нас сейчас не так много людей), поэтому мы хотели бы попытаться избежать того, чтобы клиент постоянно видел наших пользователей. Это, конечно, непросто, но, возможно, простое выделение наших пользователей в отдельное подразделение частично решит эту проблему.
Наша основная цель - упростить процессы найма / увольнения и снизить вероятность человеческой ошибки (например, пропущенное отключение доступа для клиента X во время декомпозиции доступа). Таким образом, такие вещи, как сброс пароля, отключенные пользователи, должны в некоторой степени синхронизироваться. Я полагаю, что разрешения - меньшая проблема, поскольку они в любом случае могут быть индивидуальными для каждого клиента.
Мультиплатформенность - тоже цель. Нам также нужно иметь возможность управлять маршрутизаторами и машинами Linux, RADIUS кажется очевидным выбором.
Серверы - это в основном Windows 2008 R2 с некоторым оборудованием Windows 2012, Linux, Cisco и Juniper.
Я должен добавить, что RADIUS и т. Д. Не должен быть единственным источником для AD. Цель состоит в том, чтобы существующие учетные записи AD клиента соответствовали их потребностям, а затем импортировать наши собственные из RADIUS.
До сих пор я сосредотачивался на интеграции учетных записей RADIUS в AD, но все, что я нашел, больше касается использования AD в качестве основного источника для интеграции AD, тогда как мне бы хотелось большего.
Я думаю, что RAIDUS имеет для нас смысл, поскольку большая часть нашей инфраструктуры хостинга не является Windows, хотя наши клиенты в основном основаны на Windows. И мы в любом случае надеемся предоставить RADIUS-аутентификацию для наших хвостов DSL. Было бы разумно иметь единый источник правды для всех счетов сотрудников.
Очень интересно услышать, как люди в подобной ситуации смогли решить эту проблему, так как я не нашел много в Интернете.
Спасибо.
Вы когда-нибудь слышали о доверительных отношениях? Пусть клиентские домены доверяют вашему домену. Или конкретный домен обслуживающего персонала.
Само по себе доверие не дает никаких прав. Вам все равно нужно добавить пользователей в соответствующие группы - доверие разрешает только это и «доверяет», что пользователь A из домена X ЯВЛЯЕТСЯ пользователем A из DOmain X (и, оказывается, имеет права в моей группе).