中小公司员工统一用户认证方案(视频版)

QIANYAN/前言

前段时间发了一篇:中小公司统一用户认证方案 的技术贴,也是一篇实用性文章,很多程序猿都在关注,不少童鞋在后台询问后续内容是否出来。呼声很高的视频版终于出来啦,希望对大家有所帮助哦。

SHIPIN / 视频

视频链接:http://pan.baidu.com/s/1bIuuku 密码:ivdl (请在wifi环境下观看哦)

NEIRONG /内容

分享的主题:OpenLDAP 企业应用

分享的内容:

  • 公司为什么需要统一用户认证?
  • 解决用户统一认证都要干哪些事?
  • LDAP 都存了哪些员工信息?
  • 实现一个简单的用户登陆 API
  • OpenLDAP 安全
  • OpenLDAP 公司应用架构图

为什么需要统一用户认证?

常遇到的问题:

  • GitLab、Jira、Confluence ... 各种密码

IT 遇到的问题:

  • 内网安全?公司一个 Wi-FI 密码大家都可以连接
  • A 员工离职了一堆帐号我要挨个去删

运维遇到的问题:

  • VPN、Zabbix、Jenkins .... 各种密码

运营遇到的问题:

  • A 业务线,帐号xxx 密码xxx
  • B 业务线,帐号xxx 密码xxx

怎么去解决遇到的问题?

LDAP 用户统一认证

运维需要做什么?

  • 搭建一套完整的 LDAP 服务,给各个应用分配可以连接 LDAP 的账号
  • 配置 GitLab、Jira、Zabbix、Jenkins、VPN ...认证走 LDAP
  • 对外提供 API 给开发调用(可选)
  • 自己开发的运维平台也用 LDAP 认证
  • 开发机登陆(ftp、samba、ssh) ...

开发需要做什么?

  • 开发人员开发的公司内部系统统一走 LDAP 认证
  • 主流语言PHP、Python、Java 都有 LDAP 库

IT 需要做什么?

  • Wi-FI 认证这块用到 FreeRADIUS,让 Radius 去走 LDAP 认证
  • 员工常用信息(手机号、邮箱、部门、IP地址...)全部录到 LDAP 中
  • IT 统一维护,方便管理用户信息(办理员工入职、离职)

LDAP组织数据的方式

dn:每一个条目都有一个唯一的标识名(distinguished Name ,DN)

例如:uid=woniu,ou=SRE,dc=51reboot,dc=com

一个普通用户都要存哪些信息?

ObjectClass 是什么?

对象类是属性的集合,LDAP预想了很多人员组织机构中常见的对象,并将

其封装成对象类。比如人员(person)含有姓(sn)、名(cn)、电话

(telephoneNumber)、密码(userPassword)等属性,单位职工

(organizationalPerson)是人员(person)的继承类

方便用户查询信息:

http://ldap.51reboot.com/dashboard

实现一个简单的用户登陆 API

  • 了解 LDAP 是怎么登陆?
  • 举个常用软件配置的例子 Gitlab
  • 知道原理之后,用 Python 实现一个简单的用户登陆API
  • 常用服务的配置 SSH

了解 LDAP 是怎么登陆?

  • LDAP 需要需创建一个账号给 gitlab 连接使用
  • 根据 uid 去查询用户的完整信息,类似于MySQL(select * from
  • mysql.user where user=‘woniu‘)
  • 获取DN信息+密码,再去LDAP服务器认证,验证成功,用户就登录了

查看 Gitlab 配置

OpenLDAP 安全

  • 密码复杂度(8位大小写数字)
  • 密码错误次数锁定用户 (三次错误帐号锁定)
  • 密码有效期90天,提前7天邮件通知,超过时间强制修改密码
  • 提供重置密码和修改密码接口

开源:http://ltb-project.org/

  • 分布式LDAP 是以明文的格式通过网络来发送信息的,包括client访问ldap的密码
  • 使用TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性
  • 关掉匿名访问
  • VPN (AnyConnect) + GoogleAuthenticator

OpenLDAP 在公司应用的整体架构图


Reboot技术沙龙本周五分享预告:

时间:06月17日 21点

主题:如何基于Python构建一个可扩展的运维自动化平台

分享模式:图文直播(分享群:368573673 )

主讲人:运维男神 ——刘天斯

分享基地:Reboot 周五分享群 368573673

==========================================

欢迎关注 Reboot教育  Python实战班(4月17日开班)

课程详情点击:http://www.51reboot.com/course/actual/

上课形式:面授班 / 网络直播班

咨询QQ:979950755  /  279312229

时间: 2024-10-01 03:18:08

中小公司员工统一用户认证方案(视频版)的相关文章

中小公司统一用户认证方案

现象:    开发账号混乱,GitLab.Jira.Confluence各一套账号,那叫一个乱    两个机房 VPN 两套,开发.运维.测试各种切换    WIFI 没有对用户做认证,只是统一密码连接    内部各种运营平台,各种密码 对策:    公司员工各种开发应用账号统一用 LDAP 认证    VPN 账号用 LDAP 认证,机房专线打通(网络组同学做)    WIFI 这边用的是 LDAP + FreeRADIUS + Cisco WLC    为内部运营平台登陆提供LDAP API

单点登录认证方案思路,求好思路回复

统一用户认证方案思路 实现目标: 1.实现单点登录,使用单点登录帐号登录后,可访问多个被授权的系统. 2.尽量不让用户进行客户端安装,有些技术如CAS,SAML,P3P欢迎点评 免登录访问方式可能存在:  1.当前系统界面连接其他系统的界面,(场景:多系统集成一个系统)  2.当前系统访问其他系统的有验证的服务接口, (场景: 访问被授权的系统的服务)  3.在新的浏览器标签页直接打开其他系统的页面 .(场景: 进入其他系统免登录) 2.增强安全验证性,采用 cookie,token,sessi

用户信息统一管理实现方案

引言:根据需求,用户在支付页面,可以选择用户所关注的商家,并使用商家提供的优惠价格使用次数.未满足上述需求,系统中需要存储用户与商家之间的关联关系,这之间就需要通过微信获得用户与该商家是否是关注与被关注的关系,所以将通过如下方案获取. 使用Unionid机制 获取用户的unionId作为唯一用户的标识 将多个公众号绑定到开放平台的账号中,如下图所示: 注意:目前免费绑定的公众账号只有10个 当完成了绑定后,在调用微信接口获取用户信息时,就会多出一个unionid,unionid将被作为该用户对于

Django 中的用户认证

Django 自带一个用户认证系统,这个系统处理用户帐户.组.权限和基于 cookie 的 会话.本文说明这个系统是如何工作的. 概览 认证系统由以下部分组成: 用户 权限:控制用户进否可以执行某项任务的二进制(是/否)标志. 组:一种为多个用户加上标签和权限的常用方式. 消息:一种为指定用户生成简单消息队列的方式. Deprecated in Django 1.2: 认证系统的消息部分将会在 Django 1.4 版中去除. 安装 认证系统打包在 Django 的 django.contrib

某银行系统ACS认证之TACACS+认证方案

中国XX银行河北省分行 ACS项目实施方案 TACACS+认证 目录 项目背景........................................................................ 3 资源配置........................................................................ 3 实验网络架构...................................................

讯飞开放平台上线业界首个多生物特征融合认证方案

年末岁初,是各类犯罪案件的高发时段,而其中不法分子通过倒卖.盗取他人身份信息后,利用身份认证漏洞可办理银行卡.电话卡,进而从事各种违法犯罪活动的案件近来尤为常见.从前不久微信H5链接盗取支付宝存款的谣言散播中可见广大用户对身份安全认证,尤其是金融领域的安全认证的一贯担忧.话说讯飞开放平台刚刚上线多生物特征融合认证方案,免费向业界开发者开放,“声纹+人脸”验证护航全民信息安全.一起来探讨下,到底有什么特点?案例演示地址:讯飞开放平台多生物特征融合认证方案 信息时代掉,队的身份验证 身处信息社会,如

某公司员工卡金额校验算法破解

漏洞概要关注数(35) 关注此漏洞 缺陷编号: WooYun-2011-03701 漏洞标题: 某公司员工卡金额校验算法破解 相关厂商: 某奇怪公司 漏洞作者: insight-labs 提交时间: 2011-12-21 21:55 公开时间: 2012-02-04 21:55 漏洞类型: 成功的入侵事件 危害等级: 高 自评Rank: 20 漏洞状态: 厂商已经确认 漏洞来源: http://www.wooyun.org Tags标签: 盲目信任用户数据 加密算法设计错误 RFID安全 硬件安

python2.0_day18_Django自带的用户认证模块的使用

用户验证我们基于一个项目来学习利用Django框架中的user表实现用户认证Django练习小项目:学员管理系统设计开发 项目需求: 1.分讲师\学员\课程顾问角色, 2.学员可以属于多个班级,学员成绩按课程分别统计 3.每个班级至少包含一个或多个讲师 4.一个学员要有状态转化的过程 ,比如未报名前,报名后,毕业老学员 5.客户要有咨询纪录, 后续的定期跟踪纪录也要保存 6.每个学员的所有上课出勤情况\学习成绩都要保存 7.学校可以有分校区,默认每个校区的员工只能查看和管理自己校区的学员 8.客

用户认证总结

(1)用户认证分为两类:一种是基于对称加密的远程用户认证,第二种是基于非对称加密的远程用户认证.但是,不论是基于对称加密的,还是基于非对称加密的,每一种认证又可以按照是否双方都需要互相认证对方的身份而分为:单向认证和双向认证. (2)基于对称加密的远程用户认证:不需要公私钥,但是需要KDC(Key Distribution Center,密钥分发中心)的存在.不论是单向认证还是双向认证,都需要KDC的存在.(或者称为AS,或者称为其他名称,在应用中扮演KDC角色的主体名字虽然不叫KDC,但是具有