Jerry’ks blog

На днях столкнулся с интересной задачей, возможно ли редактировать данные пользователей домена через веб? Есть домен, активная директория (Active Directory) с сотней юзеров, в свойствах пользователей указана контактная информация: рабочий и мобильный телефоны, е-мейл, день рождения. Эти данные использует Exchange Server для адресных книг, внутренний сайт со списком телефонов и датами дней рождений. Время от времени необходимо редактировать пользовательские данные - приходят новые сотрудники, меняются контакты существующих. Кто этим должен заниматься? Админу лень, а давать доступ отделу кадров на редактирование как-то стремно. Возникла идея использовать веб-редактор активной директории в которой разрешить редактирование только определенных полей, определенным людям, проверять вводимые значения, вести лог.

Оказывается я не первый, кто заинтересовался этой идеей. В гугле можно найти ссылки на платные решения, они относительно не дорогие (~300$) но полностью перекрывают необходимый функционал, плюс предоставляют дополнительные функции такие, как сброс паролей пользователей, создание новых аккаунтов. Но это не мой вариант - за деньги каждый может :) Было принято решение создать самому подобный сервис и “прикрутить” его к существующему корпоративному интранет-сайту.

Для реализации был выбран фреймворк PEAR в котором есть просто потрясающая библиотека для работы с ldap - Net-LDAP, которая при правильной реализации дает возможность работать с записями активной директории. Также понадобились библиотеки для работы с формами - HTML_QuickForm, библиотека авторизации - Auth и логирования - Log.

Для изучения структуры Active Directory я пользовался программой Hyena, с ее помощью я разобрался со структурой каталогов LDAP, принципами хранения информации в AD.

Всего вышеперечисленного инструментария хватило для реализации задуманного. Сервис запущен, отдел кадров получил права редактировать поля телефонов и дней рождений, на корпоративном сайте всегда порядок, в случае ошибок или неправомерных действий администратор оповещается по E- mail, ведется лог всех изменений. Раз в неделю на почту HR приходит информация о необходимости внесения данных для новых сотрудников.  Администратор избавлен от муторной работы. Правду говорят - хороший администратор - ленивый администратор :)

Задумка будет развиваться и думаю скоро будет добавлена возможность создания новых учетных записей. Пришел новый человек -> в HR заполнили форму -> скрипт создал учетную запись в домене, проинформировал кладовщика о необходимости выдать компьютер, канцтовары, мобильный телефон, заказал визитки и пиццу для администратора :)

Популярность: 100%

Метки: active directory, pear, php, web разработка, идея, работа

Запись создана: Пятница, 22 Август 2008 в 23:31 и находится в рубриках web разработка. Вы можете следить за комментариями к этой записи через ленту RSS 2.0. Вы можете оставить отзыв, или trackback с вашего собственного сайта.