在《云服务器管理6大技巧》一文中,已经讨论了将内部用户目录源和云服务器打通的6种方法,具体包括:
- 手动用户管理
- 配置自动化
- 将 AD/LDAP 公开到 Internet
- 建立二级 AD/LDAP 用户源
- 企业身份管理解决方案
- DaaS身份目录即服务
前5种解决方案总体上来说面临4个核心问题。
问题 1:多个目录
对于企业来说,使用单一用户源管理内网用户是一大关键。不难想象,如果使用多个目录或手动管理云服务器用户很容易导致数据冲突或分歧,后果可能不堪设想。举例来说,如果企业目录缺少同步用户到服务器访问的目录服务映射,导致离职员工仍然可以访问关键服务器,会带来什么问题。最直接的后果就是企业安全荡然无存。而且,随着企业发展,数据安全也会变得更加复杂。
维护多个目录的做法并不值得提倡,但在某些情况下其实企业是为了解决一些看似无法克服的技术问题而选择的下下策。默认情况下,LDAP 协议并不适用微软 Active Directory(AD)。因此,企业要让 Windows、Mac 或 Linux 客户端通过 OpenLDAP 进行身份验证需要付出更多时间和精力。此外,很多企业实在难以实现通过单个目录管理用户,所以通常选择部署微软 AD 作为Windows 系统的主目录,再加上 LDAP 服务器覆盖其他系统上的内容。
问题 2:网络配置/安全问题暴露
许多企业转向云服务器和云服务是迫于网络和相关配置无法有效利用的现实考虑。但是,将目录服务公开到互联网或在云服务器中建立额外的目录源都对网络配置有要求。企业需要谨慎对待网络访问控制,确保所有机器之间可以正确通信。为此,企业需要注意以下几点:
- 正确配置防火墙
- 正确设置路由
- 配置任何必要的 VPN 连接
- 安装 SSL 证书并完善相关配置
虽然网络配置问题可以解决,但大多数业务上云的企业还是希望避免这一问题。
问题 3:可靠性
传统的云服务器用户管理方法都存在可靠性问题。
首先,手动管理用户访问权限很容易出现人为错误,不是授权太多访问权限就是用户名输入错误。另外,在云服务器中创建新的目录服务器也会涉及额外工作,因为目录服务器需要高度的可用性,任何时间的停机都可能导致用户无法完成工作。
最后,将企业目录服务器暴露在互联网上还可能会招致攻击或受到网络连接问题的影响,要解决这些问题需要实现负载平衡或增加服务器容量。
问题4:高成本
云服务器用户管理传统方案的另一个问题就是成本太高,这里的成本不仅指费用,还包括时间和资源。不过,无论采用哪种方案,管理全部用户通常都不是服务器的核心功能,为了安全而将资源全部集中在非核心任务上,对于企业来说也是一笔不小的成本。
真正有效的解决方案
本文开头提到的第6个解决方案是身份目录即服务(DaaS)。 DaaS 身份目录云平台可对接企业内部 AD/LDAP 目录,从而有效管理网络,减少人为错误,简化管理问题。
在部署云目录的初始阶段,企业可以将服务器指向 LDAP 服务器进行身份验证或安装代理,两种方法都具有多级冗余的高度安全性和可靠性。此外 DaaS 身份目录云平台还可以帮助企业统一管理用户身份,支持单点登录(SSO)、双因子认证(MFA)等身份和访问管理工具,并提供不同系统的设备管理。
想了解更多有关身份目录及服务DaaS的信息,可查看宁盾往期博客:
《云服务器管理6大技巧》
《4 步保障企业云服务器安全》
