LDAP實施實戰

LDAP實施實戰

文章作者:劉漢華,貝聊高級運維工程師

什麼是「LDAP」, 英文全稱是Lightweight Directory Access Protocol,一般都簡稱為

LDAP, 輕量目錄訪問協議;

通過LDAP我們可以實現:

1、所有相關係統都能接入

2、統一用戶身份及安全管理

3、所有系統一個賬號及密碼

同時我們的上線實施操作,必須首先保證所有人工作不受影響。

下面是我們實施步驟介紹:

步驟一、 LDAP服務方案選擇

選openldap ? 還是域控器AD呢?

1、Openldap 是ldap自由和開源的實現,但是我們在配置及使用發現很多不成熟,線上應用風險很大

2、LDAP實施工期緊,最後決定選用比較成熟的域控AD,來接入服務

下面是我選擇域控的原因:

1、 域控便捷統一的管理

2、 成熟安全策略

3、 良好的冗餘備份機制,支持主從冗餘及備份快照

步驟二、域控LDAP接入的各種方案整理及完善

一句話就是要讓我們用到的 sso、svn、cwiki、squid、vpn、maven、git、zabbix 等等能獲取到ldap用戶及組,並且保持原有許可權不發生變化;

測試過程中我們採取另外部署的方式,避免影響線上用戶。

不同的系統的LDAP接入方式

Oss後台系統是採用java代碼支持,這裡不再介紹,

下面僅介紹一下我們用到幾種LDAP接入配置

Confluence wiki支持ldap接入配置,範例如下

Apache的支持,用於svn認證

Git的ldap支持

配置文件/etc/gitlab/gitlab.rb

pptp VPN支持ldap

Squid代理支持ldap

步驟三、 域控AD錄入所有員工賬號、密碼及相應資料

1、 批量導入用戶列表及用戶密碼初始化

A、 hr提供到的賬號數據處理

B、 轉換為命令行導入

域控支持Csvde –f 命令的方式

步驟四,繼續按列表推進直至完成.

下面是實施過程進度安排表

實施過程的兩要點:

1、 Confluence wiki等用戶使用較多的系統,採取何種策略切換:

A、用戶完全無感知,採用雙軌制,新增賬號接入ldap,原有賬號不變

B、徹底一次性切換, 所有用戶一切性切換為LDAP賬號

讓用戶測試及驗證,體會到LDAP接入統一化管理的好處

最終: 選擇B策略

2、 SSO接入時各功能核對及測試

A、 為避免上線時用戶體驗不好,我們就把所有可能問題集中羅列、集中測試,確保無遺漏

回看整個實施過程,有不少風險與隱患, 這裡對有價值實施部分作歸納,分享給大家:

1、 表格化的整體實施進度排期, 這方便我們對整個LDAP實施實戰有了統一計劃與管理

2、 技術備用方案是否充足? 這是實施順利與否的關鍵,因為意外情況會導致整個實施受阻

3、 實施過程採用「灰度策略」, 這裡我們是先小範圍再大範圍實施,最終能減少不良體驗範圍,讓更多人有更好的體驗

4、上線及發布文告

A、 文告內容不易懂或不清晰, 這會造成上線後會有大量用戶同時找你溝通或求助

B、 文告內容展現,決定了在所有人心中印象與感知, 寫好了就所謂畫龍點晴的效果

推薦閱讀:

TAG:运维自动化 | LDAP | AD |