服务器权限控制：RBAC 与 LDAP 实战

RBAC定义“谁该做什么”，LDAP实现“谁被允许做什么”，二者结合达成集中认证与精细化授权闭环：角色须绑定具体组织/位置，LDAP必须启用LDAPS加密及最小化搜索范围，并通过三步验证与定期审计保障权限健康。

服务器权限控制不能只靠“谁是谁”来判断，得靠“谁该做什么”和“谁被允许做什么”两层逻辑共同落地。RBAC 负责定义职责边界，LDAP 负责统一身份来源，二者结合才能实现集中认证 + 精细化授权的闭环。

RBAC 角色设计要贴合运维实际

角色不是越多越好，而是要覆盖真实岗位职责，并避免交叉重叠：

• 系统管理员：仅限核心运维，拥有 Foreman 全功能权限（含组织/位置管理、插件配置）
• 主机运维员：可部署、重启、查看主机日志，但不能修改子网或 Puppet 环境配置
• 网络配置员：仅能操作子网、域名、DHCP 设置，无主机生命周期权限
• 审计只读员：所有资源仅限查看，且默认限制在指定组织内，不显示敏感字段（如 SSH 密钥、密码策略）

关键点：每个角色在创建时必须绑定明确的资源范围（如 organization_id、location_id），不能依赖“全局可见”默认行为。

LDAP 集成必须启用安全连接与最小化搜索

不加密的 LDAP 查询等于把用户名密码明文广播——这是企业环境中最常被忽略的风险点：

• 务必使用 ldaps:// 协议，端口固定为 636；禁用 plain LDAP（389 端口）
• 用户 DN 模板中，ou=users 要精确到具体部门分支，例如 uid=%s,ou=dev,ou=users,dc=corp,dc=local，避免匹配全公司用户
• 组同步需限定基础 DN，如 ou=foreman-roles,dc=corp,dc=local，并启用 Group Membership Attribute（如 memberOf）做双向校验
• Foreman 后台开启 Verify SSL certificate，并导入企业 CA 根证书到系统信任库（/etc/pki/ca-trust/source/anchors/）

权限生效前必须完成三步验证

配置完 RBAC 和 LDAP 并不等于权限已就位，还需确认以下环节全部通过：

• 用户同步验证：执行 foreman-rake ldap:sync，检查日志是否成功拉取用户及所属组（注意组名需与 Foreman 中角色名一致）
• 角色绑定验证：登录 Foreman → Administer → Roles → 查看对应角色的 “Users” 标签页，确认 LDAP 用户已出现在列表中
• 权限拦截验证：用测试账号尝试访问无权页面（如直接输入 /hosts/new），应返回 403 而非空白页或 500 错误；同时检查 /var/log/foreman/production.log 是否有 Permission denied 记录

日常运维必须加入权限健康检查

权限漂移是常态，不能等出事才排查：

• 每周运行 foreman-rake permissions:audit --trace，输出未被任何角色引用的权限项，及时清理冗余配置
• 每月导出一次角色-用户映射表：foreman-rake report:role_users > /tmp/role_users_$(date +%Y%m%d).csv，用于比对 HR 系统在职名单
• 新员工入职后，由 Ansible Playbook 自动触发 ldapmodify 创建条目 + Foreman API 分配角色，全程无需人工介入