Назад | Перейти на главную страницу

Управление учетными записями в среде двойного каталога (Active Directory + LDAP)

В настоящее время в нашей организации развернуты AD и OpenLDAP.

Мне было интересно, работал ли кто-нибудь в подобной установке и хотел бы поделиться некоторыми шагами, предпринятыми для поддержания рассудка системных администраторов.

Особенности:

  1. Как вы выполняете подготовку учетной записи?

  2. Все ли аккаунты существуют в обоих каталогах? Если нет, то где логика для определения того, в каких каталогах будет существовать новая учетная запись? Как обрабатываются исключения? А как насчет того, что изменения прав пользователя требуют создания или удаления учетной записи в каталоге?

  3. Как вы синхронизируете атрибуты учетной записи, включая изменение пароля? Считается ли один из справочников "главным"? Если да, то какой и почему?

  4. Что повлияло на решение о создании среды с двумя каталогами? Есть ли планы отказаться от этой установки? Если да, то почему? И какие шаги предпринимаются для обеспечения плавного (такого когда-либо бывает) перехода?

  5. Какие инструменты управления вы обычно используете (для удаления учетных записей, устранения неполадок и т. Д.)? И где председательствовать - на DC, сервере OpenLDAP или, возможно, на другом компьютере с Windows или Linux.

У нашей организации нет другого выбора, кроме как реализовать оба каталога из-за специализированных приложений, требующих либо AD, либо OpenLDAP.

В течение многих лет у нас были параллельные среды Active Directory и Novell eDirectory. AD требовалась для Exchange, а eDirectory - для всех серверов NetWare, которые у нас были (а сейчас их нет). Итак, я знаком с проблемой здесь. Есть одна ключевая деталь, которая позволила нам работать в обеих средах:

Авторитетное хранилище личных данных было третьей системой. В нашем случае SCT Banner, но то же самое можно сделать и с любой другой системой ERP.

HR-процессы определяют условия, необходимые для получения «права на открытие счетов». Когда кто-то попадает в этот список, один (или два) раза в день создается файл CSV с согласованными данными. Затем этот CSV-файл обрабатывается нашими процессами подготовки учетной записи, которые:

  • Создает учетную запись eDir (теперь мертвую)
  • Создает домашний каталог
  • Создает учетную запись AD
  • Если факультет / персонал, создать почтовый ящик Exchange
  • Создает учетную запись NIS + (не работает на прошлой неделе)
  • Если студент, создайте почтовый ящик outlook @ live.
  • Устанавливает атрибуты адресной книги в обоих каталогах соответствующим образом
  • Отключает все три (четыре для студентов) учетные записи

Затем мы заставляем всех новых пользователей пройти процесс активации учетной записи (веб-страницу), который активирует их учетную запись и выполняет начальную установку пароля. Поскольку это отдельный процесс, мы фиксируем их пароль как часть этого процесса и отправляем его в оба каталога через обычный API смены пароля.

Затем мы делаем все от нас зависящее, чтобы предотвратить изменение пользователем собственного пароля с помощью собственных инструментов, заставляя их использовать написанную нами веб-страницу смены пароля.

Все пользователи существуют в обеих средах и имеют одинаковый пароль.

Деинициализация выполняется таким же образом. HR-процесс удаляет учетные записи из списка допустимых. Их отсутствие в CSV-экспорте отмечается процессами IDM и запускает процесс удаления. Он отключает учетные записи на две недели, а через две недели все деинициализирует.

Управление всем этим представляет собой смесь собственных инструментов для непонятных операций и портала веб-управления, который мы написали для обработки таких вещей, как сброс блокировки, операции членства в группах, операции квот печати и другие подобные вещи.

  1. Как вы выполняете подготовку учетной записи? У нас есть приложение собственной разработки, которое взаимодействует с обеими системами. Процесс входа / выхода работы гипер-детализирован, и только часть этого касается технологических систем. Существует настраиваемое веб-приложение, предоставляемое поставщиком, для обслуживания реальных запросов.

  2. Все ли аккаунты существуют в обоих каталогах? Не обязательно. У всех пользователей есть учетная запись LDAP, но у них может не быть учетной записи AD.

  3. Как вы синхронизируете атрибуты учетной записи, включая изменение пароля? У нас есть атрибуты LDAP для групп AD и некоторые другие, такие как почтовые адреса, номера телефонов и т. Д. Они синхронизируются с настраиваемым приложением, которое не так сложно. Мы синхронизируем пароли в обоих направлениях. Если пользователь меняет свой пароль AD, это синхронизируется со средой LDAP, и наоборот. Достаточно сказать, что обе среды должны иметь одинаковые требования к сложности пароля. Считается ли один из справочников "главным"? Нет.

  4. Что повлияло на решение о создании среды с двумя каталогами? Политика. Есть ли планы отказаться от этой установки? Нет. У нас есть значительная база серверов Linux, и вся их аутентификация выполняется в каталоге LDAP.