Задать вопрос
@e1ferapontov
Админю всякую виртуализацию
php

Как организовать создание пользователей в AD с web-сайта или синхронизацию учеток между AD и сайтом?

Думаем внедрять кое-где Active Directory для управлением зоопарком машин и нормального разграничения прав пользователей. В компании около 200 компьютеров, несколько регионально распределенных офисов, пачка серверов. Основным бизнес-приложением этой компании является веб-сайт, который из непосредственно приложения вырос также в централизованную систему учета пользователей, полномочий в общем, стал пересекаться в сферах использования с Active Directory. Сама AD нужна в первую очередь для групповых политик и нормального управления правами доступа пользователей.
Веб-приложение данной компании работает на LAMP, сервер размещен в другой стране, в локальную сеть посредством VPN не включен, учетные данные пользователей и их привелегии хранятся в таблице MySQL в виде логина, пароля и пачки атрибутов прав доступа.
Для пользователей логичнее всего, если учетные данные в данном приложении и в AD будут одинаковые. Периодически (примерно раз в месяц, приурочено к собранию руководителей подразделений) пароли всех учеток в приложении сбрасываются и генерируются случайные новые, конечным пользователям учетные данные распространяют руководители. Новые учетки добавляют и удаляют старые в приложение также руководители подразделений. Администрировать и поддерживать консистентность учетных данных в AD и в приложении никто не будет.
Навскидку видится два решения:
  1. Синхронизация учетных данных между AD и приложением (каким образом???)
  2. Делегирование полномочий создания/удаления учетных данных в AD руководителям подразделений, автогенерация powershell-скрипта при создании/удалении учетной записи в приложении для создания/удаления учетной записи в AD, руководителю придется после каждого изменения запускать получившийся скрипт (какой-то ржавый велосипед + неясно, как сбрасывать пароли)

При чем со скриптом еще можно придумать что-нибудь "красивенькое" типа вывода понятных сообщений об ошибках/успешном завершении, агрегирование нескольких изменений в один скрипт и т.д., но касаемо синхронизации идей нет совершенно никаких.
Что можете посоветовать в данной ситуации?
  • Вопрос задан
  • 1649 просмотров
Комментировать
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@Hagmos
Приложение поддерживает OAuth ? Если да, то копайте в сторону AD FS
Ответ написан
1 комментарий
1 комментарий
@AlexListen
админ, стаж 14 лет
Смотреть в сторону adLDAP https://github.com/adldap/adLDAP/wiki
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Midlle PHP developer (backend)
ИТЦ Аусферр Магнитогорск
от 100 000 до 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Дизайн интерьера для заведения
27 апр. 2024, в 21:24
150000 руб./за проект
Нужно добавить несколько параллакс эффектов
27 апр. 2024, в 21:12
500 руб./за проект
Доработать функционал загрузки прайсов в БД
27 апр. 2024, в 20:40
5000 руб./за проект
Ещё заказы