现象:
开发账号混乱,GitLab、Jira、Confluence各一套账号,那叫一个乱
两个机房 VPN 两套,开发、运维、测试各种切换
WIFI 没有对用户做认证,只是统一密码连接
内部各种运营平台,各种密码
对策:
公司员工各种开发应用账号统一用 LDAP 认证
VPN 账号用 LDAP 认证,机房专线打通(网络组同学做)
WIFI 这边用的是 LDAP + FreeRADIUS + Cisco WLC
为内部运营平台登陆提供LDAP API
帐号安全:(一个帐号虽然方便,但同时也又不安全)
定期账号密码修改,根据 LDAP 存储的员工邮件信息,邮件提醒
提供统一的修改密码功能、及密码找回功能
密码复杂度
用户锁策略
开源解决库:
帐号密码安全这块,用Self Service Password,可以去 http://ltb-project.org/ 下载,上面还有一堆很好用的库
监控,去开源的 http://ltb-project.org/,可以找到 Nagios 插件
内部运营登陆用的接口 Python ldap 模块,用 Flask 封装,提供 HTTP 的接口,方便运营平台开发调用
批量帐号添加,用 Python 写成脚本,生成 ldif 文件,导入 LDAP master
LDAP,用的是 openldap-servers-2.4.40-8.el7.x86_64
操作系统 Centos 7.1
WIFI 认证这块 用到 FreeRADIUS
目前简单架构:
Ldap Master : ldap1.51reboot.com(提供所有的更新修改)
Ldap Slave:ldap2.51reboot.com(提供给各种应用帐号认证)
Office Ldap:ldap3.51reboot.com(提供wifi,VPN用)
内容为转载,原文链接