对企业 IT 而言,将云服务器和企业 Active Directory(AD) 或 LDAP 用户存储打通十分棘手。如果服务器数量较多,那么确保访问权限的正确分配也会变得复杂。例如,管理员必须时刻确保每台服务器都被覆盖,所有更改都有记录,所有用户都同步到核心用户存储,而这些内容的管理都必须处于持续的状态。
为此,管理员可以采取多种方式管理用户。下面就将重点介绍一些常见用户管理方法和各自的优缺点。
1. 手动管理
很多管理员都选择在云服务器上手动管理用户,包括创建和删除。管理员通常会收到邮件通知用户对云服务器的访问请求,然后进行手动配置和管理。具体过程如下:
1)管理员登录服务器
2)管理用户创建
3)修改账号和用户信息
4)处理访问终止流程
5)与用户通信(通常安全性较低)
然而,手动管理的问题在于随着服务器和用户数量的增长,对于访问跟踪提出了一些重大挑战。多因素认证(MFA)等功能的添加也会成为问题,而且逐个配置解决方案可能会相当耗时。此外,在使用 AWS 时,不少管理员直接利用亚马逊 EC2 用户账号进行访问,虽然登录更容易,但也失去了主机审计功能。
2. 采用配置管理工具
第二种用户管理范例就是采用配置管理工具,如 Chef、Puppet、Ansible、Salt、CFEngine 或其他工具来添加或删除用户账号。这种方法对于用户数量少且访问规则简单(用户可以访问所有服务器)的企业来说更加快速简便、成本更低,而且易于维护。
但管理员也清楚知道这不是长久之计,因为配置管理工具无法扩展。
随着企业不断发展,用户数量激增,访问规则日益复杂,管理也变得举步维艰。每次更改访问角色时,管理员都不得不承担更新代码这一费时费力的任务,因为这种纯管理的任务无法交给非专业人士。
3. 联网公开 LDAP 或 AD
第三种方法是将 LDAP 或 AD 公开到互联网并让服务器与用户目录直接通信。管理员可以通过额外的安全措施和配置,锁定 LDAP 或 AD 服务器使其仅与指定服务器通信,也可以根据网络架构和服务器的增长情况决定是否进行设置。如果不设置,用户目录存储就会公开到互联网上,任何人都能查询。
4. 在云服务器建立全新的 LDAP 或 AD 实例
第四种方法是再创建一个目录存储,通常还需要在云服务器建立一个新的 AD 或 LDAP 实例。这种方法效益最大化的前提是云服务器的逻辑设置在虚拟局域网(VLAN)或目录服务器可以直接和其他服务器通信的等效飞地中。
此外,云目录存储需要同步主用户目录或进行手动更新,允许管理员通过 LDAP 或 AD 管理云服务器上的用户,但同时又增加了管理员的工作。
5. 实施适合企业的身份管理解决方案
大公司有时会利用现有的企业级身份管理解决方案或购置新的解决方案来管理云服务器。一般来说,这些解决方案都安装在本地,然后连接到主目录存储,再在需要管理的设备上安装代理。这些工作基本都有厂商的专业技术支持。
这类解决方案的好处是可以用于企业内部桌面和服务器,还可以添加移动设备管理(MDM)功能。对于云服务器的管理,管理员会在服务器上安装代理,与解决方案中的本地主服务器通信。总结来说,这类方案虽然在功能实现上较为出色,但对于大多数企业来说实施起来过于繁琐,成本过高。
6. 目录即服务
最后一种方法是利用目录即服务(DaaS)的解决方案。以云目录作为桥梁将本地 AD 或 LDAP 用户存储连接到云基础架构,再通过内部用户存储中的轻量级代理将用户同步到云目录。
云服务器可以从云目录与 DaaS 通信并验证访问权限。由于 DaaS 也是基于云的解决方案,因此服务器无需额外配置网络就可以通过安全连接或通过安装在每台服务器上的代理与云目录通信。
用户信息的更改也都在内部目录中统一处理,通过云目录传递到各服务器。这种方法的好处是简单安全,可用性高,但前提是企业已经习惯了云基础架构。