Высокая доступность LDAPS с Сервером каталогов Fedora
Для системного администратора Windows:
Cygwin. Иногда просто необходимо сделать быстрый текстовый файл grep, wc, awk, или что-то, что заняло бы слишком много времени писать как сценарий. Быстрый блог сканирует с grep и awk может действительно спасти положение.
Мы обрабатываем HA LDAPS на Novell eDirectory, но проблема подобна. Нам удалось решить проблему с подчиненными альтернативными названиями на сертификатах. Подчиненными альтернативными названиями являются, просто, альтернативные Предметы, можно поставить сертификат, чтобы дать ему больше чем одно имя. Это - то, как Вы можете (в теории), имеют единственный сертификат, который действителен для pop3.organisation.org, imap.organisation.org и webmail.organisation.org. Они являются довольно новыми, но не столь новыми как Расширенные сертификаты Проверки.
Большинство современных клиентов LDAP достаточно умно для обработки SAN правильно. Кроме того, мы управляем центром сертификации, который чеканил сертификаты, настолько добирающийся SAN прост для нас. Это не настолько просто, если Вы собираетесь закончить тем, что платили за сертификат, CA быть бы Вы покупать несколько сертификатов. К сожалению для большого количества людей некоторые пакеты программного обеспечения могут только загрузить один сертификат. Это - то, где SAN вошел.
Мы используем аппаратную подсистему балансировки нагрузки (F5 BiP) и три сервера LDAPS. Когда мы сначала настраиваем его, мы создали сертификаты только с сетевым названием IP/DNS подсистемы балансировки нагрузки. Клиенты, соединяющиеся непосредственно с серверами LDAP, получили ошибки сертификата, которые оказались стимулом заставить людей использовать IP-адрес подсистемы балансировки нагрузки как, они должны были делать все время.
Мы с тех пор переместились в использование подчиненных альтернативных названий, поскольку оно имело некоторые отрицательные побочные эффекты с программным обеспечением Novell, работающим на тех серверах. Но мы действительно получали его работающий без SAN некоторое время. Каждый сертификат имеет три имени на нем:
- IP-адрес IP подсистемы балансировки нагрузки
- Название DNS IP подсистемы балансировки нагрузки
- Название DNS прямого хоста
Это действительно выставляет имя хоста бэкенда тем, кто шпионит, но мы не считаем это уязвимостью. Другие могли бы.
Это - то, что мы делаем, и это работает на нас.
-
1Я haven' t попробовал это все же, добавит ответ, когда я сделаю.Спасибо. – N. R. Gresham 16 June 2009 в 04:46
Вы можете отключить SSL-загрузку на балансировщике нагрузки. Можно использовать оборудование, но часто за разгрузку приходится платить за лицензию. Или вы можете попробовать haproxy, бесплатный балансировщик нагрузки, который поддерживает разгрузку SSL (версия для разработчиков)>. Другой вариант действительно использовать альтернативные имена субъектов в сертификатах, но затем, если вы хотите увеличить масштаб, вам нужно перевыпустить все сертификаты.
Поэтому я бы выбрал вариант разгрузки SSL с балансировкой нагрузки. Либо аппаратный (стоит уточнить стоимость лицензии), либо программный. Затем убедитесь, что LB подключается по обычному протоколу HTTP, и поместите его в сегмент сети, к которому пользователи не могут подключиться. Возможно, haproxy не поддерживает загрузку ldap ssl, и вам нужно другое решение. Вы также можете использовать corosync / кардиостимулятор и сертификаты.