线上系统的统一身份认证方案
一、背景
线上系统主要是对中间件、日志、任务等的监控运维,由于是提供外网访问的出口,所以不能没有身份认证。经梳理,现公司需管理的线上系统包括以下几种:
- 中间件:rabbitmq、codis
- 任务:xxl-job
- 可观测性(日志、指标、分布式跟踪):kibana、sentry、grafana、zabbix、prometheus、pinpoint
- 测试平台:metersphere、testng
- API网关:konga
- 运维平台:VPN、堡垒机
- 网络系统:WIFI认证
以上系统的账户密码默认都是使用各自的一套,并无法实现互通。这就是给运维这些账户带来极大的工作量,特别是公司人员规模超过100人以上,随着人员的离职和入职,经常有需要开通和关停账号。
IT 遇到的问题:
- 内网安全?公司一个 Wi-FI 密码大家都可以连接
- A 员工离职了一堆帐号我要挨个去删
运维遇到的问题:
- VPN、Zabbix、Jenkins .... 各种密码
运营遇到的问题:
- A 业务线,帐号xxx 密码xxx
- B 业务线,帐号xxx 密码xxx
为了提高线上系统的账户运维效率及安全,我们需要就具体的系统所支持的统一身份认证方式提出对应的对接办法。
二、目标
1、实现线上系统的统一身份认证,各个系统之间共用一个账户密码。
2、人员入职时,只需要开通一个账号;同样,离职时,只需要对这一个账号进行关停。
3、实现日志审计,每个人一个账户,账号不共用。
三、边界
- 本方案主要是实现统一身份认证,不涉及各个系统的权限管理。
四、分工
运维需要做什么?
- 搭建一套完整的 LDAP 服务,给各个应用分配可以连接 LDAP 的账号
- 配置 GitLab、Jira、Zabbix、Jenkins、VPN ...认证走 LDAP
- 对外提供 API 给开发调用(可选)
- 自己开发的运维平台也用 LDAP 认证
- 开发机登陆(ftp、samba、ssh) ...
开发需要做什么?
- 开发人员开发的公司内部系统统一走 LDAP 认证
- 主流语言PHP、Python、Java 都有 LDAP 库
IT 需要做什么?
- Wi-FI 认证这块用到 FreeRADIUS,让 Radius 去走 LDAP 认证
- 员工常用信息(手机号、邮箱、部门、IP地址...)全部录到 LDAP 中
- IT 统一维护,方便管理用户信息(办理员工入职、离职)
五、总体设计
image.png
- 已支持对接LDAP,且提供了界面
- 已支持对接LDAP,没有UI,需要安装插件
- 通过API网关鉴权
- 编写代码
1、系统已支持对接LDAP的界面,且提供了界面
- zabbix
- metersphere
2、已支持对接LDAP,没有UI,需要安装插件
- sentry
- grafana
- konga
- rabbitmq
3、通过API网关鉴权
适用于无鉴权模块;有鉴权模块但是无法开发插件或编码的系统
- codis
- kibana
- prometheus
- pinpoint
- testng
4、编写代码
适用于自身已有鉴权模块且默认不支持LDAP、可通过插件或二次编码实现的系统
- xxl-job
四、主要实现
1、系统已支持对接LDAP,且提供了
metersphere:https://www.jianshu.com/p/b4ce64984eff
zabbix: https://blog.csdn.net/qq_37960324/article/details/94004999
2、已支持对接LDAP,没有UI,需要安装插件
这里又可以区分为两类,一类是监控系统,sentry和grafana,安装插件的过程中,不会对应用产生影响;
二是中间件系统,rabbitmq和konga,优先级比较低,且rabbitmq和应用程序有强相关,暂时不考虑实现,放在最低优先级。konga的配置权限,也主要在一两个人的手上,待最后来实现。
所以,初期我们只实现sentry和grafana集成ldap。
请参考:https://www.jianshu.com/p/103d5cfb6c07(sentry对接ldap)
3、通过API网关 LDAP Auth实现
中间件的管理,官方有提供一套管理界面,但是它的免费版往往没提供身份鉴权模块,这给我们的运维管理带来极大的不便。这些管理界面是面向开发和测试人员使用,站在安全的角度,是有身份鉴权的需求的。
既然默认不支持统一身份认证如LDAP,二次开发的成本是巨大的,不是我们的首考,所以我们的思路转向通过API网关鉴权的方式。
访问一个系统,前置一个api网关,除了可以增加身份认证,还可以配置其他的网关插件,比如日志、监控、流控等等。也就是说,我们甚至可以知道每个用户的访问及操作情况。
nginx作为老牌的API网关,nginx+ldap的实现方案,请参考:https://www.jianshu.com/p/70543ab5201f
4、编写代码
- xxl-job
但是xxl-job这个分布式定时任务就不支持插件了,好在的是它是Java开源的系统,重写它的登录功能,从查询mysql数据库调整为查询LDAP即可。请参考:https://www.jianshu.com/p/09003a3a4055
