如何使 AD 對將其用作 LDAP 服務的應用程序高度可用
我們的情況
我們目前有許多使用 LDAP 進行身份驗證的 Web 應用程序。為此,我們使用 LDAPS 埠 (
636
) 將 Web 應用程序指向我們的 AD 域控制器之一。當我們必須更新域控制器時,這給我們帶來了問題,因為另外一個 Web 應用程序可能依賴於任何 DC。
我們想要什麼
我們希望將我們的 Web 應用程序指向一個集群“虛擬”IP。該集群將至少包含兩台伺服器(以便每個集群伺服器都可以輪換和更新)。然後,集群伺服器將代理 LDAPS 連接到 DC,並能夠確定哪一個可用。
問題
對於有為 AD 的 LDAP 介面創建 HA 集群經驗的任何人:
- 集群用了什麼軟體?
- 有什麼注意事項嗎?
- 或者也許一個完全不同的架構來完成類似的事情?
更新
也許我的問題最初還不夠清楚。對此我深表歉意。
這些 Web 應用程序不是由我們開發的,也不是 AD 感知的。他們只要求 LDAP 伺服器的主機名/IP 地址。不幸的是,我們必須處理這個限制。我了解如何
SRV records
工作,但是由於這些不是我們的應用程序,在這種情況下對我們沒有幫助。對於我們來說,強迫開發人員修改他們的應用程序以使其具有 AD 意識也是不現實的。
唯一的選擇是在基礎設施中解決這個問題,而不是軟體。我的問題是針對任何專門這樣做的人。
為此,我們針對我們的 OpenLDAP 伺服器使用Cisco IOS 的伺服器負載均衡器 (SLB) 。
LDAP 是 LDAP,它也應該適用於 Microsoft 的 Active Directory。
其他製造商提供類似的產品/功能。平衡 tcp 389/636 與平衡 tcp 80/443(或任何其他 tcp )相同。
不過,您可能有一些證書問題需要解決。您也許可以告訴應用程序不要那麼警惕。(可能已經是,不確定您的 AD 證書是如何簽名的或您信任哪些 CA。)或者讓您的 AD 伺服器使用具有適當
subjectAlternativeName
欄位的證書。