用 ldap 做统一的用户管理验证合适吗？

当然可以，集团用 ldap 管理所有公司账户

ldap 本身是个树状管理 如果内部有域控 就用域控做就行 配合 oauth 做 sso

这个需要所有的软件做二次开发 来支持 Ldap

最简单的方法：部署一套密码管理器（大误）

@zhengxiaowai
@smileawei
可能我表述不清楚，用的软件系统基本都不是自己开发的，都是开源或者第三方的。各个系统读取的 ldap 字段，类型有些差异……

在公司人员继续壮大到不可控前赶紧上 LDAP，要不以后可有得难受了~
大部分开源的系统还是支持 LDAP 的，至于修改密码的功能，可以自己实现一个简单的系统，包含：新员工注册、用户信息修改等功能

LDAP 不就是为了干这事的吗？赶紧上。

用“裸” ldap 不合适
建议使用 windows 域，或者 freeipa

以 LDAP 为基础，开发 SSO 系统，其它系统接入 SSO，认证通过 SSO，每个系统里的权限控制自己实现。

@rockyou12 #5 gitlab 是支持直连 ldap 和 oauth 的 sso 的方式的。其他也大同小异。ldap 可以说是终极方案了。

LDAP 是历史悠久的用户认证方法，但是这个东西通常只用于用于认证，而不用于授权。
理论上所有支持 LDAP 协议的系统，都可以通过简单配置实现基于 LDAP 的用户认证，PO 主提到的每个系统使用的字段不一样，一般都是指每个系统显示的字段不同。例如用户名字，可能 A 系统用的是 LDAP 中的 LAST name，B 系统则是用 Last+first name。
这种情况通常的办法是不去管它......

可以考虑部署一套小 CA，给每个用户发一张数字证书，后续加网关做证书认证，可以实现自动登录，内网 vpn 登陆等功能。

通过网关代理的优点：

* 所有服务走 https 认证
* 可以在 cookie 中绑定证书项，用户名、身份证号、手机等，所以应用系统改造还是比较简单的。

感谢大家，看来不仅要用 ldap，还得自己开发套系统来完善功能才行

最近也是碰到一样的问题，内部系统太多了，增删账号比较痛苦。初步了解了一下 LDAP，连个合适的管理面板都没找到，似乎必须要配合其他组件或者二次开发才好用。准备再了解一下 AD，似乎能提供更容易上手的方案。