最近刚入职一家创业公司，因为账号问题各种发愁。以前所在的公司在这方面都很成熟，暂未遇到此类困扰。现将我在工作所遇到的问题分享出来，给大家借鉴与参考。

现象：

•    开发账号混乱，GitLab、Jira、Confluence各一套账号，那叫一个乱
•     两个机房 VPN 两套，开发、运维、测试各种切换
•     WIFI 没有对用户做认证，只是统一密码连接
•     内部各种运营平台，各种密码

对策：

•     公司员工各种开发应用账号统一用 LDAP 认证
•     VPN 账号用 LDAP 认证，机房专线打通（网络组同学做）
•     WIFI 这边用的是 LDAP + FreeRADIUS + Cisco WLC
•     为内部运营平台登陆提供LDAP API

帐号安全：（一个帐号虽然方便，但同时也又不安全）

•    定期账号密码修改，根据 LDAP 存储的员工邮件信息，邮件提醒
•     提供统一的修改密码功能、及密码找回功能
•     密码复杂度

开源解决库：

• 帐号密码安全这块，用Self Service Password，可以去 http://ltb-project.org/ 下载，上面还有一堆很好用的库
•  监控，去开源的 http://ltb-project.org/，可以找到 Nagios 插件
•  内部运营登陆用的接口 ldap 模块，用 Flask 封装，提供 HTTP 的接口，方便运营平台开发调用
•   批量帐号添加，用 写成脚本，生成  ldif  文件，导入 LDAP master
•    LDAP，用的是 openldap-servers-2.4.40-8.el7.x86_64
•    操作系统 Centos 7.1
•    WIFI 认证这块 用到 FreeRADIUS

目前简单架构：

• Ldap Master : ldap1.51reboot.com（提供所有的更新修改）
• Ldap Slave：ldap2.51reboot.com（提供给各种应用帐号认证）
• Office Ldap：ldap3.51reboot.com（提供wifi，VPN用）

其中没有用的LB，如果后续需要直接添加 LVS，或智能 DNS 解析一下