中交兴路运维总监：中小企业如何优雅的管理多机房服务器账号(3)

非常庆幸的是 OpenLDAP 支持 TLS 的证书认证方式.这里有一个建议,就是大家做证书的时候一定要使用泛域名证书.为什么?

因为你可能涉及到每一个组机房都使用唯一的一个域名.你所有的机房都可以使用同一个证书,因为你不用管哪一个机房都可以使用泛域名证书.

同时我们还做了限制登录的方案,这个跟 OpenLDAP 没有关系.只是我们使用 PAM 模块对登录失败用户进行限制而已.

只要单个用户五次登陆失败,锁定600秒这个大家可以试一下.

4.4 服务解耦

安全部门也搞定了,最后一个问题就是服务解耦.为什么会有这个需求呢,因为有一天运维反馈所有的服务器登录特别慢,是因为在 Nginx 上面,起用了新功能,需要读本地的文件.

而我们知道每一次读本地文件的时候,就需要检查这个用户是不是有权限,很不幸他把所有的权限校验过程都发给了 OpenLDAP 服务器,我们当时的用户是每秒钟有七千个用户访问,我们的服务器感觉快爆了.

我们看了一下这个 OpenLDAP 的官网,其实已经给我们解决相关的办法,解决这个问题需要在客户端的 ?/etc/ldap.conf 文件里面增加nss_initgroups_ignoreusers 参数,就是说这些用户统统都不用去做认证,只需要去做本地的 Passwd 和 ?Shadow 里面即可,这样就解决完成解耦的问题.

4.5 对个人账号基于服务器的限制

后续又有项目组的领导说,我们现在服务器比较多,但是我不想其他项目组看到我们的代码日志等信息,如何?

OpenLDAP 也是可以满足这个需求的,他可以使用 pam_check_host_attr 这种参数来保证我可以做到每一个用户只能登陆我们指定的服务器,这里我就不详细说明,给大家点个方向.

4.6 内部需求：高效管理

我们到目前为止没有发生大问题的时候,但是发现公司不断的发展,人员的离职、入职及人员的变动经常需要我们进行账号的删除添加,这是我们内部管理的要求.

后来我们给自己开发了一个 web 管理系统,对添加删除账号转变成更为简单的操作.

这个就是把一个修改账号的请求通过 web 页面进行描述,将请求存储到数据库内,并在后端使用定时任务将其操作内容在 OpenLDAP 内进行生效,并返回给他结果的过程.最终体现在页面上就是这样.

4.7 整个系统的发展

回顾一下我们整个系统的发展阶段：

• 第一个就是帐号密码管理；
• 第二个就是方案架构的方面的调整；
• 第三个安全我们做了主机的限制,还要做了防暴力破解；
• 第四个就是高效管理,应对内部的管理需求；

原文来自微信公众号：高效运维

（编辑：ASP站长网）