В настоящее время в нашей организации развернуты AD и OpenLDAP.
Мне было интересно, работал ли кто-нибудь в подобной установке и хотел бы поделиться некоторыми шагами, предпринятыми для поддержания рассудка системных администраторов.
Особенности:
Как вы выполняете подготовку учетной записи?
Все ли аккаунты существуют в обоих каталогах? Если нет, то где логика для определения того, в каких каталогах будет существовать новая учетная запись? Как обрабатываются исключения? А как насчет того, что изменения прав пользователя требуют создания или удаления учетной записи в каталоге?
Как вы синхронизируете атрибуты учетной записи, включая изменение пароля? Считается ли один из справочников "главным"? Если да, то какой и почему?
Что повлияло на решение о создании среды с двумя каталогами? Есть ли планы отказаться от этой установки? Если да, то почему? И какие шаги предпринимаются для обеспечения плавного (такого когда-либо бывает) перехода?
Какие инструменты управления вы обычно используете (для удаления учетных записей, устранения неполадок и т. Д.)? И где председательствовать - на DC, сервере OpenLDAP или, возможно, на другом компьютере с Windows или Linux.
У нашей организации нет другого выбора, кроме как реализовать оба каталога из-за специализированных приложений, требующих либо AD, либо OpenLDAP.
В течение многих лет у нас были параллельные среды Active Directory и Novell eDirectory. AD требовалась для Exchange, а eDirectory - для всех серверов NetWare, которые у нас были (а сейчас их нет). Итак, я знаком с проблемой здесь. Есть одна ключевая деталь, которая позволила нам работать в обеих средах:
Авторитетное хранилище личных данных было третьей системой. В нашем случае SCT Banner, но то же самое можно сделать и с любой другой системой ERP.
HR-процессы определяют условия, необходимые для получения «права на открытие счетов». Когда кто-то попадает в этот список, один (или два) раза в день создается файл CSV с согласованными данными. Затем этот CSV-файл обрабатывается нашими процессами подготовки учетной записи, которые:
Затем мы заставляем всех новых пользователей пройти процесс активации учетной записи (веб-страницу), который активирует их учетную запись и выполняет начальную установку пароля. Поскольку это отдельный процесс, мы фиксируем их пароль как часть этого процесса и отправляем его в оба каталога через обычный API смены пароля.
Затем мы делаем все от нас зависящее, чтобы предотвратить изменение пользователем собственного пароля с помощью собственных инструментов, заставляя их использовать написанную нами веб-страницу смены пароля.
Все пользователи существуют в обеих средах и имеют одинаковый пароль.
Деинициализация выполняется таким же образом. HR-процесс удаляет учетные записи из списка допустимых. Их отсутствие в CSV-экспорте отмечается процессами IDM и запускает процесс удаления. Он отключает учетные записи на две недели, а через две недели все деинициализирует.
Управление всем этим представляет собой смесь собственных инструментов для непонятных операций и портала веб-управления, который мы написали для обработки таких вещей, как сброс блокировки, операции членства в группах, операции квот печати и другие подобные вещи.
Как вы выполняете подготовку учетной записи? У нас есть приложение собственной разработки, которое взаимодействует с обеими системами. Процесс входа / выхода работы гипер-детализирован, и только часть этого касается технологических систем. Существует настраиваемое веб-приложение, предоставляемое поставщиком, для обслуживания реальных запросов.
Все ли аккаунты существуют в обоих каталогах? Не обязательно. У всех пользователей есть учетная запись LDAP, но у них может не быть учетной записи AD.
Как вы синхронизируете атрибуты учетной записи, включая изменение пароля? У нас есть атрибуты LDAP для групп AD и некоторые другие, такие как почтовые адреса, номера телефонов и т. Д. Они синхронизируются с настраиваемым приложением, которое не так сложно. Мы синхронизируем пароли в обоих направлениях. Если пользователь меняет свой пароль AD, это синхронизируется со средой LDAP, и наоборот. Достаточно сказать, что обе среды должны иметь одинаковые требования к сложности пароля. Считается ли один из справочников "главным"? Нет.
Что повлияло на решение о создании среды с двумя каталогами? Политика. Есть ли планы отказаться от этой установки? Нет. У нас есть значительная база серверов Linux, и вся их аутентификация выполняется в каталоге LDAP.