企业 IT 人员常常受困于用户管理问题,特别是身份管理。手动管理、微软 Active Directory 和 LDAP 目录服务器这三种传统方案都有明显缺点,不再适合现代企业。而第四种方案现代化云目录服务基于业务上云的背景提出,更符合企业 IT 人员的需求。下面将具体探讨4种方案各自的优缺点。
1. 手动管理
大多数管理员还是选择手动输入命令行为用户创建账号。添加新员工和 IT 资源时,管理员会在每个系统、应用和网络上手动创建账号,并与用户沟通新账号的访问权限。然后用户可以登录新账号更改密码或上传适用的公钥。如果用户出于某种原因忘记了密码或轮换了私钥,这些请求都需要管理员手动处理。部分管理员还会采取额外措施来监控用户对服务器的访问,例如偶尔检查日志文件确定登录服务器的用户情况,或者检测是否遭到暴力破解攻击,但不是每次都能检测成功。
问题在于,这些工作应该由管理员定期进行,只是审计完整的用户登录日志费时费力,仅凭管理员很难完成,企业也很少会有预算聘请专人来审查日志。尤其是小型企业,服务器数量有限且更改较少,管理员基本都是手动管理用户账号,可以持续很长一段时间,而缺点是不能扩展,不够系统化,安全保障不足。
2. 微软 Active Directory
近十年来,微软的 Active Directory(AD)一直是目录服务领域的标杆,企业不论大小都会部署 AD,特别是已经成立数年的企业,但现在这类企业要想将 AD 上云就会遇到不少问题。
首先,AD 通常托管在本地或数据中心,而不是在云服务器中,因此云基础设施和云应用需要建立和 AD 服务器的通信方式,最不推荐的就是把 AD 公开到互联网上,风险太大。
第二,大部分云基础设施都基于 Linux 系统,即使企业使用的 Linux 或 Mac 设备都在企业的办公场所内,把设备添加到 AD 也很困难,需要管理员购买目录扩展服务在 Linux 服务器上放置一个代理来和 AD 通信,这样管理员可以直接从 AD 管理用户、控制准入和访问权限。
当然,Linux 服务器或 Mac 设备在管理特定权限和访问方面还是不如 Windows 服务器。对于以 Windows 环境为主的大型企业来说,除了安全和网络问题外,将 AD 上云可能更加可行。而对于 Linux 服务器、动态云环境和 Mac 设备,最好还是寻找替代方案提高工作效率和性价比。
3. 轻量级目录访问(LDAP)目录服务器
LDAP 目录服务器已成为 AD 的轻量级开源替代方案。LDAP 是一种经过设计的数据库,已经针对目录服务进行了优化,企业往往将其用于 LDAP 系统和应用。管理员会在企业的云基础架构中建立一个 LDAP 目录服务器,然后将其配置为用户源并作为访问控制和授权机制。需要注意的是 LDAP 目录服务器的配置非常复杂,专业性较强,花费时间较长,所以访问控制机制基本都靠管理员手动创建。LDAP 作为数据库还需要预配新用户并手动创建访问权限,此外还需要配置 IT 资源向 LDAP 目录服务器查询是否应该对用户进行身份验证以及用户可能拥有的权限。管理员通常在命令行级别管理 LDAP,这就需要更专业的技术支持,耗时也更长。
非 Windows 环境也一直选择部署 LDAP 目录服务器,也已经将其扩展到云。只是从长期运维管理的角度来看,LDAP 目录服务器成本太高,而且不支持规划 LDAP 基础设施的规模和冗余,这些对于管理员来说都是致命缺点。此外,LDAP 和 AD 一样都受到跨云网络复杂性的影响,可能存在安全问题。
4. 现代化云目录服务DaaS
从上述三种方案中可以看出,虽然每种方案都有其作用,但用户管理始终都没有很好地和云技术融合。对于寻求高效和安全基础设施的企业来说,这些显然不是理想的解决方案。基于云架构的云目录服务 DaaS 可对接企业内部 AD/LDAP 目录,从而有效管理网络,减少人为错误,简化管理问题。
以云目录 DaaS 作为桥梁将本地 AD 或 LDAP 用户存储连接到云基础架构,再通过内部用户存储中的轻量级代理将用户同步到云目录 DaaS。用户信息的更改也都在内部目录中统一处理,通过云目录 DaaS 传递到各服务器。这种方法的好处是简单安全,可用性高,但前提是企业已经习惯了云基础架构。
在部署云目录的初始阶段,企业可以将服务器指向 LDAP 服务器进行身份验证或安装代理,两种方法都具有多级冗余的高度安全性和可靠性。此外 DaaS 云目录还可以帮助企业统一管理用户身份,支持单点登录(SSO)、双因子认证(MFA)等身份和访问管理工具,并提供不同系统的设备管理。