Gerenciamento de contas em um ambiente de diretório duplo (Active Directory + LDAP)

Navegue suas respostas
2

Atualmente, temos o AD e o OpenLDAP implantados em nossa organização.

Eu queria saber se alguém já trabalhou em uma configuração semelhante e gostaria de compartilhar algumas das medidas tomadas para manter os sysadmins são.

Detalhes:

  1. Como você realiza o provisionamento de contas?

  2. Todas as contas existem nos dois diretórios? Se não, onde a lógica para decidir em quais diretórios uma nova conta existirá residirá? Como as exceções são tratadas? E se as alterações nos direitos de um usuário justificarem a criação ou a exclusão de uma conta em um diretório?

  3. Como você sincroniza os atributos da conta, incluindo alterações de senha? Um dos diretórios é considerado "mestre"? Se sim, qual e por quê?

  4. O que aconteceu na decisão de ter um ambiente de diretório duplo? Existem planos para se afastar dessa configuração? Se sim porque? E quais medidas estão sendo tomadas para garantir uma transição suave (como se isso acontecesse)?

  5. Que tipo de ferramentas de gerenciamento você costuma usar (para exclusões de contas, solução de problemas, etc.)? E onde é que o preside --- em um DC, um servidor OpenLDAP ou talvez em uma caixa diferente do Windows ou Linux.

Nossa organização não tem escolha a não ser implementar os dois diretórios por causa de aplicativos especializados que exigem AD ou OpenLDAP.

    
por Belmin Fernandez 20.10.2010 / 00:56

2 respostas

0

  1. Como você realiza o provisionamento de contas? Temos um aplicativo customizado desenvolvido internamente que faz interface com os dois sistemas. O processo de entrada / saída de trabalho é hiper-detalhado e apenas parte disso diz respeito aos sistemas de tecnologia. Existe um aplicativo da Web personalizado fornecido pelo fornecedor para atender às solicitações reais.

  2. Todas as contas existem nos dois diretórios? Não necessariamente. Todos os usuários têm uma conta LDAP, mas podem não ter uma conta do AD.

  3. Como você sincroniza os atributos da conta, incluindo alterações de senha? Temos atributos LDAP para os grupos do AD e alguns outros, como endereços postais, números de telefone, etc. Eles são sincronizados com um aplicativo personalizado que não é tão complicado. Nós sincronizamos senhas nos dois sentidos. Se um usuário alterar sua senha do AD, isso será sincronizado com o ambiente LDAP e vice-versa. Basta dizer que os dois ambientes devem ter os mesmos requisitos de complexidade de senha. Um dos diretórios é considerado "mestre"? Não.

  4. O que aconteceu na decisão de ter um ambiente de diretório duplo? Política. Existem planos para se afastar dessa configuração? Não. Temos uma base substancial de servidores linux e toda a sua autenticação é realizada no diretório LDAP.

por 20.10.2010 / 05:03
4

Durante anos e anos, tivemos ambientes paralelos do Active Directory e do Novell eDirectory. O AD era necessário para o Exchange e o eDirectory era necessário para todos os servidores NetWare que tínhamos (e agora não o são). Então estou familiarizado com o problema aqui. Há um detalhe importante que nos permitiu operar os dois ambientes:

O armazenamento de identidades autoritativo era um terceiro sistema. SCT Banner no nosso caso, mas o mesmo poderia ser feito com qualquer outro sistema ERP.

Os processos de RH definem as condições necessárias para serem 'elegíveis para contas'. Uma vez que alguém estava nessa lista, uma vez (ou duas) por dia, um arquivo CSV é gerado com os detalhes acordados. Esse arquivo CSV é então selecionado pelos nossos processos de provisionamento de contas, que:

  • Gera a conta do eDir (agora inativa)
  • Gera o diretório inicial
  • Gera a conta do AD
  • Se o corpo docente / pessoal, gerar caixa de correio do Exchange
  • Gera a conta NIS + (morta na semana passada)
  • Se for Aluno, gere o outlook @ live mailbox.
  • Define os atributos do catálogo de endereços nos dois diretórios conforme apropriado
  • Desativa todas as três (quatro para estudantes) contas

Em seguida, todos os novos usuários passam por um processo de Ativação de Conta (uma página da Web) que ativa sua conta e faz a configuração inicial da senha. Como esse é um processo separado, capturamos sua senha como parte desse processo e a enviamos para os dois diretórios por meio da API normal de alteração de senha.

Em seguida, fazemos o possível para impedir que o usuário altere sua própria senha por meio de ferramentas nativas, forçando-as a usar uma página da web de alteração de senha que escrevemos.

Todos os usuários existem nos dois ambientes e têm a mesma senha.

O desprovisionamento é feito da mesma maneira. O processo de RH remove contas da lista elegível. Sua ausência nas exportações de CSV é observada pelos processos do IDM e inicia o processo de exclusão. Ele desativa as contas por duas semanas e, após duas semanas, deprova tudo.

Gerenciar tudo isso é uma mistura de ferramentas nativas para operações obscuras e um portal de gerenciamento da Web que escrevemos para lidar com coisas como reinicializações de bloqueio, operações de associação a grupos, operações de cota impressa e outras coisas do tipo.

    
por 20.10.2010 / 01:08

Tags

Posso limitar a área de trabalho remota a uma placa de rede específica? Como configurar o postfix + dovecot para copiar e encaminhar?