Ведение счетов в двойном каталоге (Active Directory + LDAP) среда
Разногласия хороши, что Ваш Интернет, DNS размещается третьим лицом, и это - то, где необходимо будет внести изменение. Выполните следующую команду против Интернета сервер DNS и посмотрите на результаты:
nslookup -type=SOA your-domain-name.com
(Если Вы используете "your-domain-name.com" в качестве своего доменного имени Active Directory, затем выполняет это дома против Вашего ISP... и позора Вам для использования реального имени Интернет-домена как доменное имя Active Directory.)
Вы собираетесь возвратить Запуск записи полномочий для Вашей зоны DNS. В "основном сервере имен" и "ответственной почте addr" строки Вы, вероятно, получите некоторые подсказки о том, кто размещает Ваш DNS. Разногласия хороши, это - Ваш доменный регистратор (Сетевые решения, GoDaddy, и т.д.).
Ваш поставщик услуг хостинга DNS будет иметь DNS "панелью управления", которую можно использовать для определения записей MX и т.д. Это - то, где необходимо будет вносить эти изменения.
Как администратор Exchange (и системный администратор в целом) это сделало бы Вас хорошо для приобретения знаний о том, как DNS (и взаимодействие между DNS и SMTP через записи MX) работает. Необходимо знать, сразу же вершина головы, кто размещает Интернет DNS для корпоративного доменного имени. Это - вид вещи, это - вид важных.> улыбка <
(Оценка для использования DNS является чем-то, что я желаю, чтобы больше системных администраторов получило бы. Я думаю, что буду кричать, если я столкнусь с еще одной компанией, распределяющей соединение VPN 'профили', которые называют IP-адрес как шлюз VPN вместо имени DNS... GRRR!)
Как Вы выполняете настройку учетной записи? У нас есть пользовательское внутренне разработанное приложение, которое взаимодействует через интерфейс с обеими системами. Процесс записи/выхода работы гипердетализирован, и только часть этого касается технологических систем. Существует специализированное обеспеченное поставщиками веб-приложение для обслуживания фактических запросов.
Все учетные записи существуют в обоих каталогах? Не обязательно. У всех пользователей есть учетная запись LDAP, но у них не может быть AD учетной записи.
Как Вы синхронизируете атрибуты учетной записи включая изменения пароля? У нас есть атрибуты LDAP для AD групп и немногих других, таких как почтовые адреса, номера телефона, и т.д. Они синхронизируются с пользовательским приложением, которое не является сложным. Мы синхронизируем пароли оба пути. Если пользователь изменяет их AD пароль, который синхронизируется со средой LDAP, и наоборот. Достаточно сказать, что обе среды должны иметь те же требования сложности пароля. Один из каталогов считают "ведущим устройством"? Нет.
Что вошло в решение о наличии двойной среды каталога? Политика. Там планирует, должны переехать от этой установки? Нет. У нас есть существенная основа сервера Linux, и вся их аутентификация выполняется против каталога LDAP.
В течение многих лет и лет у нас были параллельный Active Directory и среды Novell eDirectory. AD требовался для Exchange и eDirectory, требуемого для всех серверов NetWare, которые мы имели (и теперь не делайте). Таким образом, я знаком с проблемой здесь. Существует одна ключевая деталь, которая позволила нам управлять обеими средами:
Авторитетное хранилище идентификационных данных было третьей системой. Баннер КОРОТКОГО ЗАМЫКАНИЯ в нашем случае, но то же мог быть сделан с любой другой ERP-системой.
Процессы HR определяют условия, должно было 'иметь право на учетные записи'. После того как кто-то был в том списке, однажды (или дважды) день, файл CSV сгенерирован с согласованным подробные сведения. Этот файл CSV затем забран нашими процессами настройки учетной записи который:
- Создает eDir аккаунт (теперь мертвый)
- Генерирует корневой каталог
- Создает AD аккаунт
- Если Способность/Штат, генерируйте почтовый ящик Exchange
- Генерирует NIS + учетная запись (мертвый по состоянию на прошлую неделю)
- Если Студент, генерируйте почтовый ящик outlook@live.
- Адресная книга наборов приписывает в обоих каталогах как соответствующие
- Отключает все три (четыре для студентов) учетные записи
У нас затем есть все новые пользователи, проходят процесс Активации аккаунта (веб-страница), который включает их учетную запись и делает установку начального пароля. Так как это - отдельный процесс, мы получаем их пароль как часть этого процесса и отправляем его обоим каталогам посредством нормального изменения пароля API.
Мы затем делаем то, что мы можем, чтобы препятствовать тому, чтобы пользователь изменил их собственный пароль через собственные инструменты, вынудив их использовать веб-страницу Изменения пароля, которую мы записали.
Все пользователи существуют в обеих средах и имеют тот же пароль.
Deprovisioning сделан тот же путь. Процесс HR удаляет учетные записи из имеющего право списка. Их отсутствие в экспорте CSV отмечено IDM, обрабатывает и запускает процесс удаления. Это отключает учетные записи в течение двух недель, и после удаления двух недель все.
Управление всем этим является смесью собственных инструментов для неясных операций и портала веб-управления, который мы записали для обработки вещей как сброс локаута, операции состава группы, операции квоты печати и другие такие вещи.