chr*_*ris 7 active-directory identity-management ldap
在工作中,我们正处于身份管理项目的早期阶段。这都是在高等教育的背景下,我们有几千名教职员工和大约两万名学生。
有没有人使用带有 AD 域(kerberos 域)的 Sun LDAP 服务器来存储密码?有没有人运行过一个包含 25 万个条目的 AD 域?
我们对身份管理的一个选择是将活跃员工推送到 AD,并将密码/身份信息的另一份副本推送到 LDAP。如果我们这样做,我们需要有一个中央位置来更改密码,以便如果您更改 AD(或 ldap)密码,更改会同步到另一个(或者允许它们发散)
另一种选择是让 AD 成为密码的单一权限,然后我们必须拥有所有附属机构(以及所有旧附属机构)的委托人一两年,这样我们在 AD 中可能有 25 万个实体,其中任何频率只能访问 20-30k。
AD会在负载下爆炸吗?是否有其他方法可以使 Sun 的 LDAP 和 AD 之间的密码保持同步?其他人的经历是什么?
小智 5
我一直在与高级客户合作,准确地讨论您正在调查的场景。
AD 对那么多对象都没有问题。我曾在客户环境中工作过,这些环境有好几倍。
在您的场景中与我合作的许多客户最终都通过 AD 本地禁用密码更改,并强迫人们通过某种门户,该门户与某种工具对话,该工具将密码提供给所有需要独立副本的系统。这很好,除非它中断并且事情不同步。我还处理过 Curb 方案,虽然它有效,但很多人不知道如何运行或支持它,因此您可能会在操作人员配备方面遇到麻烦。
您还可以查看 Microsoft 的 ILM 之类的东西,它会捕获 AD 中的密码更改,并让您将它们转发到其他系统(例如 Sun LDAP 等)。这允许人们通过本地应用程序使用 AD 中的本机密码更改功能。
拥有校友、申请、社区等从属关系的人很好。我在这里提醒人们的一件事是请记住,像所有人/经过身份验证的用户这样的默认权限会投射更广泛的网络,因此您需要使用代表从属关系的组来 ACL 事物,这些组代表代表您要允许访问的实际用户(例如活动学生、教职员工、员工等)。我还尝试让人们定期清理应用程序附属人员的帐户。
一般来说,我非常努力地推动没有并行的 LDAP 目录。一般来说,让两个(或更多)服务做同样的事情真的只是浪费时间和金钱。
这是一个很好的起点:http://technet.microsoft.com/en-us/library/cc756101 (WS.10).aspx 。
这个工具已经相当过时了(它是为 Windows 2000 开发的,只能识别 < 1 Ghz CPU),但仍然表示 3-4 个 DC 对于 500,000 个用户来说就足够了,其中每天有 50,000 个用户活跃。我认为使用当今的硬件管理这样的数据库应该不会有任何问题。
| 归档时间: |
|
| 查看次数: |
1798 次 |
| 最近记录: |