在往期文章中,已经讨论了目录服务为企业带来的主要优势。只是,对于目录服务在运行方面的困难并没有明确的说明。
对于管理员来说,手动管理企业目录最明显的问题就是无法跟踪管理用户和 IT 资源之间的所有对接情况。
上一代目录服务在一定程度上简化了管理,但同时又产生了新的问题。目录从诞生之初就一直是一种复杂的软件构成。当前,Active Directory (AD) 和 OpenLDAP (LDAP)仍是两大本地目录方案,但早已不适用于现代化的业务基础架构。
本文将重点探讨管理员在使用 AD 和 LDAP 时遇到的5个问题。
1. 设置和配置问题
目录的安装和配置也是一大难题,其中一个原因在于目录需要连接到不同系统。在 Windows 系统中,AD 可以和域控制器、Exchange 等协作,但将用户正确分组,设置相应的访问权限依然是一项耗时的任务。如果使用开源的 LDAP ,复杂的配置会让目录管理变得更麻烦。此外,配置客户端、终端设备、服务器和应用的身份验证也会遇到各种问题。(冷知识:将 Mac 设备连接到 LDAP 需要30个步骤)
2. 身份对接
目录服务的另一个关键问题是要确保每个设备都通过目录服务进行身份验证,同时保证目录的安全。在基础设施上云和远程办公的背景下,这一点变得特别困难。在以云基础设施为主的环境中,管理员应该如何确保所有设备、资源、用户的安全连接?如今,管理员的做法都比较复杂,包括搭建 VPN 通道或点对点连接。然而,在现代化的云环境中,每个用户都应该能够安全连接到目录,然后在设备和应用上进行身份验证和授权,不受地理位置的限制,也无需额外安装基础设施。
3. 异构环境
所谓异构环境,是指 IT 环境采用了不同操作系统。除了 Windows 设备外,还有 Mac 和 Linux 设备。而如何在这三类系统上对设备进行身份验证、授权和管理,也是管理员认为最棘手的问题之一。尽管 Mac 越来越受欢迎,也可以针对 AD 进行身份验证,但 Mac 设备的管理在很大程度上仍处于缺失状态。Linux 设备也是一样。
针对异构环境,虽然 LDAP 确实为设备和应用提供了身份验证和授权的功能,但在设备管理方面不具备任何功能。企业真正需要的是可以统一跨平台管理的解决方案。
4. 资产安全
凭证是企业最重要的数字资产之一。现代目录服务不再保护凭证,而是作为凭证的存储库,因此目录不会检测凭证何时被泄露,不会检测凭证何时被其他位置的用户使用过,也不会检测用户是否尝试访问通常不会访问的资源。然而,这些都是企业保护数字资产必须采取的关键措施。为此,管理员需要部署其他软件并构建潜在风险的监控流程。
5. 持续管理
现代化目录服务的设计和构建源于用户不相信自己有能力管理好数据。因此,用户数据的日常更新也是管理员的一大麻烦。忘记密码、更改姓名、手机号、办公地点等数据都需要管理员单独设置。这些数据中大部分都不是关键的业务数据,因此有些企业允许员工自己管理部分或全部数据。
尽管目录服务可以为 IT 管理员节省大量时间已成为共识,但微软 AD 和 LDAP 等传统本地目录仍然不能很好地解决管理员的需求。新一代云目录服务解决方案 Directory-as-a-Service (DaaS)应运而生,以解决目录服务中的这些关键挑战。DaaS 可以弥补微软 AD 和 LDAP 在混合办公场景下的不足,同时以一站式、轻量化、敏捷交付、开放性高为特点,为企业降本增效,势必将成为企业云上基础设施的重要构成。
8408
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
