Установка и развертывание LDAP для собственных приложений
Таким образом, у Вас есть сервер, генерирующий вещи, и Вы ищете принятие обслуживания сервера и предоставление доступа к нему в Интернете? По http?
Принятие файлов легко с основанными на сети файловыми системами. В зависимости от операционной системы генерирующейся машины установите NFS или самбу на служащей машине. Смонтируйте файловую систему на генераторе. На генераторе запущенном, программы и сделали, чтобы они записали изображения в монтировании, файлы автоматически доступны (как локальные файлы) на служащей машине.
Обслуживание локальных статических файлов по http довольно легко в эти дни, на linux/bsd я рекомендовал бы использовать nginx. Параллелизм, который Вы упоминаете, продвинет Вас в Большую Пропускную способность быстро, в зависимости от чисел, которые Вы перемещаете в территорию CDN.
Примечание: в этом дизайне Вы не упоминаете метаданные об изображениях (какое изображение сгенерировано, в какое время, что является его содержанием и т.д.), и как поколение инициировано.
Используйте LDAP для аутентификации пользователя и базу данных приложения для определения, есть ли у этого пользователя права. Вы могли бы сделать это только в LDAP, но разделение имеет преимущества и фактически упрощает управление. Это ничем не отличается от управления учетными записями пользователей в одной области и разрешениями файлов / папок в другой.
For more granular permissions like 'has edit rights on front page' I would keep that at the application level, but for simple 'has read / write access' level permissions I'd implement that in ldap for simplicity sake.
One gotcha to be aware of is the maximum number of groups a user can be associated with on some platforms, therefore I would use a custom name for the app groups membership attribute so that you don't even need to consider this.
One thing to point out is while it may be tempting to use Active Directory because of it's LDAP capabilities it may not be the best choice. AD, like many Microsoft products, tend to work great when you stick to Microsoft products, it's when you have to start mixing environments that things get wierd. However to Microsoft's credit they have improved greatly in this realm in the last few years. The biggest challenge you may run into is if you need to make any schema changes to AD to support your applications. Schema changes are not necessarily supported by Microsoft and have the potential to complicate any future AD upgrades. Though in all fairness this is true for any LDAP server, however I would argue it is more common for schema changes to be made on LDAP servers. If you have an existing AD server you can implement a sync operation between your LDAP server (such as Red Hat Directory Server) and your AD server. This can allow you to sync user names, but keep system specific information in each server domain. Yes this does add some complexity to administration but overall it's one of the most flexible approaches.
In the end centralized authentication is governed by this:
"Where do you want your pain?"