Я хотел бы узнать ваше мнение и опыт при настройке централизованного сервера аутентификации с использованием OpenLDAP.
В настоящее время есть несколько размещенные серверы, на которых работает несколько служб (электронная почта, веб-приложения, базы данных и т. д.), и небольшой бюджет: P
Каковы рекомендуемые или лучшие практики при развертывании сервера LDAP с точки зрения сетевой безопасности?
Какое оборудование Требования к ЦП / памяти для каталога пользователей 500-800? Лучше иметь хороший аппаратный одиночный сервер, или я могу пойти на дешевые виртуальные серверы и иметь резервный сценарий? Я знаю, что было бы лучше в условиях высокой доступности, но поскольку у меня небольшой бюджет, мне также нужно иметь в виду производительность.
Если я не собираюсь использовать виртуальный сервер. Может ли служба LDAP работать отдельно на одном сервере? Или я могу использовать этот сервер совместно с чем-то другим. ... скажем, база данных MySQL? Я просто думаю о том, как наилучшим образом использовать свои ресурсы и отсутствие слишком простаивающего сервера без добавления на него угрозы безопасности.
Спасибо!
Производительность обычно не является проблемой для OpenLDAP, он может работать на действительно небольшом оборудовании, но я настоятельно рекомендую запустить реплицированную базу данных как минимум с двумя экземплярами.
Несмотря на то, что он легкий, его использование вместе с другими сервисами также не должно быть проблемой, но, конечно, это во многом зависит от того, какие другие сервисы и насколько они активны. База данных MySQL с интенсивным использованием может быть действительно плохим компаньоном, но если она в основном простаивает, все в порядке. Однако в этом случае я бы все равно рассмотрел возможность использования виртуализации и просто поместил разные службы в разные виртуальные машины.
Что касается сетевой архитектуры, это во многом зависит от ваших существующих серверов / служб и того, как они организованы, но я бы хотел убедиться, что сервер LDAP находится во внутренней сети без внешнего доступа.