Active-Directory

雙目錄(Active Directory + LDAP)環境中的帳戶管理

  • October 20, 2010

我們目前在我們的組織中部署了 AD 和 OpenLDAP。

我想知道是否有人在類似的設置中工作過,並想分享一些為保持系統管理員理智而採取的步驟。

細節:

  1. 您如何執行帳戶配置?
  2. 所有帳戶都存在於兩個目錄中嗎?如果不是,那麼決定新帳戶將存在於哪些目錄的邏輯在哪裡?異常是如何處理的?如果對使用者權利的更改需要在目錄中創建或刪除帳戶,那又如何呢?
  3. 您如何同步包括密碼更改在內的帳戶屬性?目錄之一是否被視為“主”?如果是這樣,是哪一個?為什麼?
  4. 決定使用雙目錄環境的原因是什麼?是否有計劃擺脫這種設置?如果是,為什麼?以及正在採取哪些步驟來確保順利(就像曾經發生過的那樣)過渡?
  5. 您傾向於使用哪種管理工具(用於帳戶刪除、故障排除等)?主持在哪裡——在 DC、OpenLDAP 伺服器上,或者可能在不同的 Windows 或 Linux 機器上。

由於需要 AD 或 OpenLDAP 的專用應用程序,我們的組織別無選擇,只能實現這兩個目錄。

  1. 您如何執行帳戶配置?我們有一個定制的內部開發的應用程序,可以與這兩個系統互動。工作進入/退出過程非常詳細,其中只有一部分涉及技術系統。有一個定制的供應商提供的 Web 應用程序用於服務實際請求。
  2. 所有帳戶都存在於兩個目錄中嗎?不必要。所有使用者都有一個 LDAP 帳戶,但他們可能沒有 AD 帳戶。
  3. 您如何同步包括密碼更改在內的帳戶屬性?我們為 AD 組和其他一些屬性設置了 LDAP 屬性,例如郵政地址、電話號碼等。這些屬性與並不復雜的自定義應用程序同步。我們以兩種方式同步密碼。如果使用者更改其 AD 密碼,則將同步到 LDAP 環境,反之亦然。可以說兩種環境都應該具有相同的密碼複雜性要求。目錄之一是否被視為“主”?不。
  4. 決定使用雙目錄環境的原因是什麼?政治。是否有計劃擺脫這種設置?不,我們有大量的 linux 伺服器基礎,並且它們的所有身份驗證都是針對 LDAP 目錄執行的。

引用自:https://serverfault.com/questions/192728