一、账户的统一管理,包括用户名、密码、组织结构、group。
我们除了账户管理外,更多的需要考虑系统权限的管理。
应用自身的权限管理,一般是基于角色(权限组)的控制粒度,不同的应用会有不同的权限管理办法。
group,分为实际组和虚拟组。
实际组,是以部门为单位的实际物理组织。
虚拟组,是以管理便利为导向,比如项目、核心骨干层。
接下来都是以LDAP来实现统一身份认证。
二、LDAP的树形结构如下:
dc=domain,dc=com
cn=admin
ou=group
--ou=confluence
----cn=cf-android-group
----cn=cf-java-group
--ou=gitlab
--ou=jenkins
--ou=sonar
--ou=zentao
--ou=gerrit
--ou=kanboard
ou=people
--ou=android-platform
----cn=zhangsan
----cn=lisi
--ou=java-platform
三、具体步骤
1、新建组织机构,对应上述的android-platform和java-platform
2、在组织机构下,创建人员,并设置密码。
例如上述的zhangsan和lisi
3、创建组,根据不同的应用的权限管理,粗细粒度不一。
例如上述的cf-android-group,cf-java-group
4、给组增加人员。
例如把zhangsan赋值给cf-java-group,lisi赋值给cf-android-group。
一般一个人员会被赋值给多个组。也就是说,一个人在多个应用中都有对应的权限。
四、LDAP的客户端工具
LDAP account manager
Apache Directory Studio
PhpLdapAdmin
网友评论