Клиент ldap должен использовать различные учетные данные, чем конечный пользователь, чтобы сделать аутентификацию конечного пользователя?
Если я хочу включить отказоустойчивую кластеризацию для обоих Exchange 2010, гарантировать нулевое время простоя. Каковы шаги?
ПРОЧИТАЙТЕ РУКОВОДСТВО.
Во-первых, отказоустойчивый кластер НЕ ДАЕТ НУЛЕВОЕ ВРЕМЯ ПРОСТОЯ. Плохие новости, не, это - происходит, потому что Вы не прочитали документацию. Отказоустойчивый кластер запустит обмен / VM на другом сервере если первые сбои. Требуется некоторое время (секунды), чтобы понять, что исходная система снижается плюс время, которое требуется, чтобы система запустилась (больше для VM), поэтому в то время как время является маленьким, IT НЕ ЯВЛЯЕТСЯ НУЛЕВЫМ ВРЕМЕНЕМ ПРОСТОЯ.
Во-вторых, Exchange может сделать это намного лучше БЕЗ отказоустойчивого кластера. Exchange имеет свои собственные кластерные механизмы, которые могут работать с несколькими копиями данных..., что означает тот меньше вещи, которая может g o неправильно (поврежденные файлы в катастрофическом отказе узла), таким образом, это (a) выше отказоустойчивого кластера и (b) быстрее в переключении.
Так, я sgugest получение Ваших требований прямо и затем использование Exchange интегрировал механизмы для обеспечения времени работы.
Здесь применяется принцип минимальных привилегий. Учетная запись, которую вы используете для привязки к LDAP и перечисления пользователей, групп и любой другой соответствующей информации, определенно должна быть «учетной записью службы», а не реальной учетной записью человека .
Для этой учетной записи требуются другие разрешения по сравнению с большинством пользователей-людей. Помощнику вице-президента необязательно иметь возможность перечислять все группы и видеть, существует ли данная учетная запись, но для учетной записи, которую вы используете для привязки к LDAP, это действительно необходимо.
Если вы используете системную учетную запись для предоставления привилегий, которых нет у ваших обычных учетных записей, у вас есть повышение привилегий. (В вашем примере пользователи вашего приложения могут видеть членство в группах, которое они не могут видеть самостоятельно.) Это нормально, но имейте в виду, что любое повышение привилегий чревато злоупотреблениями.
Лично я бы предпочел написать мои ACL так, чтобы учетные записи пользователей имели все необходимые им привилегии, и использовать мой сервер LDAP (а не мое подчиненное приложение) для управления доступом. Почему ваши учетные записи пользователей не должны иметь возможность видеть, к каким группам они принадлежат?
Что касается «минимальных привилегий», здесь это означает использование пользователя s учетные данные, потому что он уже имеет к ним доступ. Если вы используете общую системную учетную запись, это - по замыслу - дополнительные привилегии, которых нет у обычных пользователей.