對於企業的資訊部門來說,想要管理員工存取網路資源的權限,最好的方式就是整合LDAP(Lightweight Directory Access Protocol),它是一種集中管理使用者帳號認證的機制,當員工人數成長到數百人,甚至上千人的時侯,資訊人員就很難以手動方式在每臺伺服器與網路設備個別建立使用者帳號,透過LDAP一次性完成員工網路帳號的管理,有其必要性。
許多IT廠商都提出自行開發的LDAP架構,其中比較常見的有微軟的AD(Active Directory),以及Unix平臺的OpenLDAP等。就管理方式來說,除了直接登入LDAP伺服器本機進行管理之外,網路也有許多免費的LDAP管理工具可供下載使用,讓LDAP的管理工作可以有效獲得簡化。
和其它種類的LDAP相比,AD算是比較好管理的一種,Administrator Tools Pack就是微軟提供的一套管理工具,可讓管理者透過遠端電腦連接到AD伺服器進行管理。這套工具完成安裝之後,系統的程式集會新增一個和Windows Server 2003完全相同的系統管理捷徑列,此時再將網路組態當中的第1組DNS IP位址指向欲管理的AD伺服器就可以完成設定,接著開啟系統管理工具下的AD管理介面就可以進行遠端管理。
|
|
| Administrator Tools Pack可以讓管理者透過遠端電腦連接到AD伺服器進行管理,工具會在系統的程式集會新增一個和Windows Server 2003完全相同的系統管理捷徑列。 |
在Unix平臺上,由於OpenLDAP沒有圖形化的管理介面,因此完成安裝之後,預設只能在在文字模式的終端機介面輸入指令,才能管理LDAP。我們可以使用PHPGeneral,它是Web介面的LDAP管理工具,安裝方式相當容易,只要將下載好的壓縮檔放置到網頁伺服器的根目錄下解壓縮即可完成。這個工具的特別之處在於不止是網域的管理者,就連一般的使用者也能透過PHPGeneral的管理頁面從中修改資料。
Webmin也可以管理LDAP,它是Unix平臺常用的一套系統管理工具,除了網頁式的管理介面之外,模組化的擴充性也是這套工具的特色之一,也就是說,當日後有新的功能模組出現時,管理者只要將模組上傳到原本的Webmin進行安裝就可以使用新增的功能管理系統,因此無需隨著功能的新增而必須重新安裝。由於LDAP正是Webmin的內建模組之一,在這裡,我們可以修改OpenLDAP的各項設定,同時也能自行新增LDAP的群組以及使用者。Webmin本身還提供所謂「次管理員」的功能,管理者在建立LDAP管理者帳號時,可以僅開放這個帳號對LDAP的管理權限,避免次管理員的權限過大,而造成企業安全控管上的漏洞。文⊙楊啟倫
|
如何讓網路設備連接LDAP |
| 很多網路設備,像是SSL VPN,以及我們上一期才介紹過的郵件過濾設備都提供了和LDAP伺服器相連接的能力,讓企業員工以一組經常使用的帳號密碼,存取企業內部的多數網路資源。就LDAP的設定來說,多數設備其實都大同小異,一般來說,在指定LDAP伺服器的IP位址與具備網域管理員的帳號密碼之後,最後再輸入DN字串,就可以完成設備與LDAP的連接。
對於第一次設定LDAP的人來說,DN字串的編輯可以說是LDAP的設定過程中較為麻煩的步驟,多數網路設備在LDAP的設定選單都有範例供做參考,在大多數的情形下,直接以範例稍做修改,基本上都可以順利連線。文⊙楊啟倫 |
iThome歡迎讀者提問,請將你所遇到的各種企業IT疑難雜症,寄至iThome編輯部:QA@mail.ithome.com.tw
熱門新聞
2025-12-12
2025-12-12
2025-12-15
2025-12-12
2025-12-12
2025-12-12