LDAP實施實戰
LDAP實施實戰
文章作者:劉漢華,貝聊高級運維工程師
什麼是「LDAP」, 英文全稱是Lightweight Directory Access Protocol,一般都簡稱為
LDAP, 輕量目錄訪問協議;
通過LDAP我們可以實現:
1、所有相關係統都能接入
2、統一用戶身份及安全管理
3、所有系統一個賬號及密碼
同時我們的上線實施操作,必須首先保證所有人工作不受影響。
下面是我們實施步驟介紹:
步驟一、 LDAP服務方案選擇
選openldap ? 還是域控器AD呢?
1、Openldap 是ldap自由和開源的實現,但是我們在配置及使用發現很多不成熟,線上應用風險很大
2、LDAP實施工期緊,最後決定選用比較成熟的域控AD,來接入服務
下面是我選擇域控的原因:
1、 域控便捷統一的管理
2、 成熟安全策略
3、 良好的冗餘備份機制,支持主從冗餘及備份快照
步驟二、域控LDAP接入的各種方案整理及完善
一句話就是要讓我們用到的 sso、svn、cwiki、squid、vpn、maven、git、zabbix 等等能獲取到ldap用戶及組,並且保持原有許可權不發生變化;
測試過程中我們採取另外部署的方式,避免影響線上用戶。
不同的系統的LDAP接入方式
Oss後台系統是採用java代碼支持,這裡不再介紹,
下面僅介紹一下我們用到幾種LDAP接入配置
Confluence wiki支持ldap接入配置,範例如下
Apache的支持,用於svn認證
Git的ldap支持
配置文件/etc/gitlab/gitlab.rb
pptp VPN支持ldap
Squid代理支持ldap
步驟三、 域控AD錄入所有員工賬號、密碼及相應資料
1、 批量導入用戶列表及用戶密碼初始化
A、 hr提供到的賬號數據處理
B、 轉換為命令行導入
域控支持Csvde –f 命令的方式
步驟四,繼續按列表推進直至完成.
下面是實施過程進度安排表
實施過程的兩要點:
1、 Confluence wiki等用戶使用較多的系統,採取何種策略切換:
A、用戶完全無感知,採用雙軌制,新增賬號接入ldap,原有賬號不變
B、徹底一次性切換, 所有用戶一切性切換為LDAP賬號
讓用戶測試及驗證,體會到LDAP接入統一化管理的好處
最終: 選擇B策略
2、 SSO接入時各功能核對及測試
A、 為避免上線時用戶體驗不好,我們就把所有可能問題集中羅列、集中測試,確保無遺漏
回看整個實施過程,有不少風險與隱患, 這裡對有價值實施部分作歸納,分享給大家:
1、 表格化的整體實施進度排期, 這方便我們對整個LDAP實施實戰有了統一計劃與管理
2、 技術備用方案是否充足? 這是實施順利與否的關鍵,因為意外情況會導致整個實施受阻
3、 實施過程採用「灰度策略」, 這裡我們是先小範圍再大範圍實施,最終能減少不良體驗範圍,讓更多人有更好的體驗
4、上線及發布文告
A、 文告內容不易懂或不清晰, 這會造成上線後會有大量用戶同時找你溝通或求助
B、 文告內容展現,決定了在所有人心中印象與感知, 寫好了就所謂畫龍點晴的效果
推薦閱讀: