雙目錄（Active Directory + LDAP）環境中的帳戶管理

我們目前在我們的組織中部署了 AD 和 OpenLDAP。

我想知道是否有人在類似的設置中工作過，並想分享一些為保持系統管理員理智而採取的步驟。

細節：

1. 您如何執行帳戶配置？
2. 所有帳戶都存在於兩個目錄中嗎？如果不是，那麼決定新帳戶將存在於哪些目錄的邏輯在哪裡？異常是如何處理的？如果對使用者權利的更改需要在目錄中創建或刪除帳戶，那又如何呢？
3. 您如何同步包括密碼更改在內的帳戶屬性？目錄之一是否被視為“主”？如果是這樣，是哪一個？為什麼？
4. 決定使用雙目錄環境的原因是什麼？是否有計劃擺脫這種設置？如果是，為什麼？以及正在採取哪些步驟來確保順利（就像曾經發生過的那樣）過渡？
5. 您傾向於使用哪種管理工具（用於帳戶刪除、故障排除等）？主持在哪裡——在 DC、OpenLDAP 伺服器上，或者可能在不同的 Windows 或 Linux 機器上。

由於需要 AD 或 OpenLDAP 的專用應用程序，我們的組織別無選擇，只能實現這兩個目錄。

1. 您如何執行帳戶配置？我們有一個定制的內部開發的應用程序，可以與這兩個系統互動。工作進入/退出過程非常詳細，其中只有一部分涉及技術系統。有一個定制的供應商提供的 Web 應用程序用於服務實際請求。
2. 所有帳戶都存在於兩個目錄中嗎？不必要。所有使用者都有一個 LDAP 帳戶，但他們可能沒有 AD 帳戶。
3. 您如何同步包括密碼更改在內的帳戶屬性？我們為 AD 組和其他一些屬性設置了 LDAP 屬性，例如郵政地址、電話號碼等。這些屬性與並不復雜的自定義應用程序同步。我們以兩種方式同步密碼。如果使用者更改其 AD 密碼，則將同步到 LDAP 環境，反之亦然。可以說兩種環境都應該具有相同的密碼複雜性要求。目錄之一是否被視為“主”？不。
4. 決定使用雙目錄環境的原因是什麼？政治。是否有計劃擺脫這種設置？不，我們有大量的 linux 伺服器基礎，並且它們的所有身份驗證都是針對 LDAP 目錄執行的。

引用自：https://serverfault.com/questions/192728