LDAP - Использование нескольких паролей

Лучшее решение - иметь отдельные учетные записи пользователей для нескольких служб. С такой настройкой вы можете применять различные политики контроля доступа, которые легче проверять. Убедитесь, что все эти записи учетной записи пользователя связаны с записью человека, чтобы эти учетные записи были надежно отключены на случай, если человек покинет организацию. Также позаботьтесь о лицах, меняющих имена при генерации (нескольких) имен пользователей.

Мой Æ-DIR специально разработан для этого: Все личные записи учетных записей пользователей с классом объекта ] aeUser имеют атрибут aePerson , ссылающийся на запись о человеке, обычно синхронизируемую из базы данных HR (класс объекта aePerson ).

Добавлены различные записи aeUser для человека может располагаться в разных так называемых зонах. Это означает, что администрирование может быть делегировано другому набору так называемых администраторов зоны .

Как автор, я, конечно, пристрастен. Даже если вы не используете Æ-DIR, вы можете позаимствовать некоторые из его идей, которые являются результатом некоторого времени, связанного с этим материалом.

У вас есть разные общие параметры. Какие (если таковые имеются) из них работают, зависит от ваших конкретных обстоятельств.

• У вас могут быть разные пользователи (с одним и тем же именем, но в разных подразделениях) для VPN и Интернета. Найдите услуги в соответствующем OU.
• Если ваши службы не выполняют аутентификацию по LDAP, а вместо этого сами сравнивают PW, у вас может быть два поля пароля в схеме для каждой записи.

Если этих вариантов нет, вам не повезло (и вам понадобится два имени пользователя), но в большинстве случаев использование таких вещей, как OTP и Yubikeys, должно быть достаточно безопасным, без необходимости прибегать к нестандартным уловкам, подобным этому, в первую очередь .