内部系统太多了( git,nexus,nextcloud 这些一堆),然后公司人员也在慢慢增加。大家的账号密码每个系统都是单独在管理,经常会有人忘记密码找我重置……实在是太麻烦了
今天试了下 ldap,发现好像并不能解决问题,不同系统读目录的时候要的属性都有些小差别,然后用 ldap 密码好像也没办法让用户自己去重置。
是我用法不对?还是有其他解决方案?
1
zhengxiaowai 2018-07-05 17:58:11 +08:00 1
当然可以,集团用 ldap 管理所有公司账户
|
2
smileawei 2018-07-05 18:00:29 +08:00 1
ldap 本身是个树状管理 如果内部有域控 就用域控做就行 配合 oauth 做 sso
|
3
imnpc 2018-07-05 18:02:02 +08:00 1
这个需要所有的软件做二次开发 来支持 Ldap
|
4
zjqzxc 2018-07-05 18:03:52 +08:00 1
最简单的方法:部署一套密码管理器(大误)
|
5
rockyou12 OP |
6
knktc 2018-07-05 18:09:21 +08:00 1
在公司人员继续壮大到不可控前赶紧上 LDAP,要不以后可有得难受了~
大部分开源的系统还是支持 LDAP 的,至于修改密码的功能,可以自己实现一个简单的系统,包含:新员工注册、用户信息修改等功能 |
7
Daming 2018-07-05 18:13:44 +08:00 via Android 1
LDAP 不就是为了干这事的吗?赶紧上。
|
8
julyclyde 2018-07-05 18:28:20 +08:00 1
用“裸” ldap 不合适
建议使用 windows 域,或者 freeipa |
9
Hasal 2018-07-05 18:49:42 +08:00 1
以 LDAP 为基础,开发 SSO 系统,其它系统接入 SSO,认证通过 SSO,每个系统里的权限控制自己实现。
|
10
smileawei 2018-07-05 22:54:06 +08:00 1
@rockyou12 #5 gitlab 是支持直连 ldap 和 oauth 的 sso 的方式的。其他也大同小异。ldap 可以说是终极方案了。
|
11
saulshao 2018-07-06 08:51:27 +08:00 1
LDAP 是历史悠久的用户认证方法,但是这个东西通常只用于用于认证,而不用于授权。
理论上所有支持 LDAP 协议的系统,都可以通过简单配置实现基于 LDAP 的用户认证,PO 主提到的每个系统使用的字段不一样,一般都是指每个系统显示的字段不同。例如用户名字,可能 A 系统用的是 LDAP 中的 LAST name,B 系统则是用 Last+first name。 这种情况通常的办法是不去管它...... |
12
corningsun 2018-07-06 09:06:36 +08:00 2
可以考虑部署一套小 CA,给每个用户发一张数字证书,后续加网关做证书认证,可以实现自动登录,内网 vpn 登陆等功能。
通过网关代理的优点: * 所有服务走 https 认证 * 可以在 cookie 中绑定证书项,用户名、身份证号、手机等,所以应用系统改造还是比较简单的。 |
13
rockyou12 OP 感谢大家,看来不仅要用 ldap,还得自己开发套系统来完善功能才行
|
14
anubu 2018-07-07 07:46:46 +08:00
最近也是碰到一样的问题,内部系统太多了,增删账号比较痛苦。初步了解了一下 LDAP,连个合适的管理面板都没找到,似乎必须要配合其他组件或者二次开发才好用。准备再了解一下 AD,似乎能提供更容易上手的方案。
|