巨型活動目錄部署與巨型 Sun LDAP
在工作中,我們正處於身份管理項目的早期階段。這都是在高等教育的背景下,我們有幾千名教職員工和大約兩萬名學生。
有沒有人使用帶有 AD 域(kerberos 領域)的 Sun LDAP 伺服器來儲存密碼?以前有沒有人執行過包含 25 萬個條目的 AD 域?
我們的身份管理選項之一是將活躍員工推送到 AD,並將密碼/身份資訊的另一個副本推送到 LDAP。如果我們這樣做,我們需要有一個中心位置來更改密碼,這樣如果您更改您的 AD(或 ldap)密碼,更改就會同步到另一個(或者它們被允許發散)
另一種選擇是讓 AD 成為密碼的單一授權機構,然後我們必須擁有所有附屬機構(以及所有舊附屬機構)的負責人一兩年,因此我們可能在 AD 中擁有 25 萬個實體,其中任何頻率只能訪問 20-30k。
AD會在負載下爆炸嗎?是否有其他方法可以使 Sun 的 LDAP 和 AD 之間的密碼保持同步?其他人的經歷是什麼?
這是一個很好的起點:http ://technet.microsoft.com/en-us/library/cc756101(WS.10).aspx 。
這個工具已經過時了(它是為 Windows 2000 開發的,只知道小於 1 Ghz 的 CPU),但仍然表示 3-4 個 DC 足以滿足 500,000 名使用者的需求,其中每天有 50,000 名使用者處於活動狀態。我認為使用當今的硬體管理這樣的數據庫應該不會有任何問題。
我一直與高級客戶一起工作,討論您正在調查的場景。
AD 對這麼多對像沒有問題。我曾在有幾個倍數的客戶環境中工作過。
在您的場景中與我合作的許多客戶最終都通過 AD 本地禁用密碼更改,並迫使人們通過某種門戶網站與某種工具對話,該工具將密碼輸入所有需要獨立副本的系統。這很好,除非它中斷並且事情不同步。我也使用過 Curb 場景,雖然它有效,但並不是很多人知道如何執行或支持它,因此您可能會在操作人員方面遇到麻煩。
您還可以查看 Microsoft 的 ILM 之類的東西,它將擷取 AD 中的密碼更改並讓您將它們轉發到其他系統(例如 Sun LDAP 等)。這允許人們通過本地應用程序在 AD 中使用本機密碼更改功能。
有校友,應用程序,社區等從屬關係的人很好。我在這裡提醒人們注意的一件事是請記住,像每個人/經過身份驗證的使用者這樣的預設權限會投射更廣泛的網路,因此您需要使用代表您想要允許訪問的實際使用者(例如 Active學生、教師、工作人員等)。我還嘗試讓人們定期清理應用程序附屬人員的帳戶。
一般來說,我非常努力地避免使用並行 LDAP 目錄。一般來說,讓兩個(或更多)服務做同樣的事情實際上只是浪費時間和金錢。