Gerenciando o acesso à conta do Active Directory em várias florestas / clientes

1

Nós gerenciamos serviços de TI para várias pequenas e médias empresas. Estou procurando uma solução para gerenciar nosso acesso às florestas de AD dos nossos clientes de maneira escalável.

Agora, criamos manualmente nosso próprio login no AD, com direitos suficientes. Como você pode imaginar, isso não se adapta bem à medida que ganhamos funcionários e a necessidade de revogar senhas, etc. Envolve fazer login manualmente em cada cliente para atualizar o AD.

Para quase todos os nossos clientes, gerenciamos toda a sua infra-estrutura de TI, incluindo AD, todos os servidores, rede, etc ... Portanto, se pudermos obter uma solução confiável, poderemos modificar a configuração do AD dos clientes para alcançar nosso objetivo.

Também fazemos serviços hospedados, por isso temos um meio confiável de hospedar nossa própria infraestrutura para a sincronização dos clientes.

O que eu gostaria de

  • Uma maneira de gerenciar centralmente as contas do AD para vários clientes, entre sites / florestas, etc.

  • De preferência, mudaríamos para criar nossas próprias contas, para cada um de nossos técnicos no AD do cliente, para que tenhamos um grau de responsabilidade e as políticas de acesso possam ser mais granulares.

  • Obviamente, o ponto acima levanta a preocupação de poluir o AD do cliente (embora não tenhamos muitas pessoas agora), então gostaríamos de tentar evitar que o cliente tenha que ver nossos usuários constantemente. Isso é complicado, é claro, mas talvez simplesmente colocar nossos usuários em uma UO separada resolva parcialmente isso.

  • Nosso principal objetivo é simplificar os processos de contratação / demissão e reduzir a possibilidade de erro humano (por exemplo, perda de acesso ao cliente X durante a desativação do acesso). Então, coisas como redefinições de senha, usuários desabilitados, devem ser sincronizadas em algum grau. Imagino que as permissões sejam menos problemáticas, já que poderiam ser feitas por cliente.

  • A multiplataforma também é um objetivo. Precisamos ser capazes de gerenciar roteadores e máquinas Linux também, o RADIUS parece ser uma escolha óbvia.

  • Os servidores são principalmente o Windows 2008 R2 com algum Windows 2012, alguns Linux, Cisco e Juniper Equipment.

  • Devo acrescentar que o RADIUS etc ... não deve ser a única fonte para o AD. O objetivo seria ter as contas do AD existentes do cliente para suas necessidades e, em seguida, importar as nossas próprias do RADIUS.

O que eu tentei

Até agora eu tenho focado em alguma forma integrar as contas RADIUS no AD - mas tudo que eu encontrei é mais sobre o uso do AD como uma fonte mestra para a integração do AD, enquanto eu quero mais do oposto.

Acho que o RAIDUS faz sentido para nós, pois grande parte da nossa infraestrutura de hospedagem não é Windows, embora nossos clientes sejam principalmente baseados no Windows. E também estamos procurando fornecer autenticação RADIUS para nossas caudas DSL. Faz sentido ter uma única fonte de verdade para todas as contas de funcionários.

Estou muito interessado em saber como as pessoas em situação semelhante conseguiram resolver esse problema, pois não encontrei muita coisa online.

Obrigado.

    
por Geekman 11.12.2013 / 13:13

1 resposta

2

Já ouviu falar de relações de confiança? Os domínios dos clientes devem confiar no seu domínio. Ou um domínio pessoal de serviço específico.

A confiança em si não dá nenhum direito. Você ainda tem que adicionar os usuários aos grupos de resposta - a confiança só permite isso e "confia" no usuário A do usuário do domínio X IS A do DOmain X (e por acaso tem direitos no meu grupo).

    
por 11.12.2013 / 13:35