基于LDAP的用戶集中管理系統設計與實現.pdf

1、本文討論了以輕量級目錄訪問協議(LDAP)為基礎實現企業(yè)中IT部門服務器設備用戶集中管理的解決方案,該方案已成功在某國有大型銀行部署,但該方案并不針僅針對于某一特定的行業(yè),而是適用于所有企業(yè)IT服務部門。
　　 隨著企業(yè)信息化建設的加深,企業(yè)的應用系統也日益增多,機房中的服務器設備數量大幅增加,企業(yè)中IT部門的系統管理與操作人員往往需要管理數十臺或上百臺服務器設備,由于服務器上的管理員用戶、功能用戶、批量用戶沒有統一進行管理,系

2、統管理與操作人員為登陸不同服務器或系統需要記憶大量的用戶與口令；并且由于用戶數量較大,增大了實施例如密碼有效期等用戶管理策略的難度,更不利于后期企業(yè)IT部門中安全部門與內部審計部門實施審計與檢查。為此需要使用技術手段將原來分散管理的系統與應用用戶納入集中管理,并為系統維護以及操作人員建立實名制賬戶,并建立相應的角色,做到責任分離并落實到人。
　　 本文中涉及的目標機器均為部署在企業(yè)機房中、由企業(yè)IT部門管理的服務器設備,不涉及辦

3、公用戶的PC辦公用機；本文中討論的進行集中管理的用戶均為企業(yè)服務器設備上的系統用戶以及負責維護、管理、操作、監(jiān)控服務器的企業(yè)IT部門系統管理、操作、審計人員用戶,不涉及辦公用戶。
　　 根據該方案,企業(yè)中中IT部門將為系統管理操作人員制定實名制賬戶,并集中保存在LDAP服務器中；系統管理操作人員使用實名制賬戶登錄系統,并轉換到不同的用戶下完成不同操作,整個操作過程中,系統將實現全面的日志記錄,并將系統日志集中保存在日志服務器中；