我们的情况
我们目前有许多使用LDAP进行身份验证的Web应用程序.为此,我们使用LDAPS端口将Web应用程序指向我们的AD域控制器之一(636).
当我们必须更新域控制器时,这会引起我们的问题,因为还有一个Web应用程序可能依赖于任何DC.
我们想要什么
我们想将我们的Web应用程序指向群集“虚拟”IP.此群集将包含至少两个服务器(以便可以旋转和更新每个群集服务器).然后,群集服务器将代理与DC的LDAPS连接,并能够确定哪个可用.
问题
对于有过为AD的LDAP接口创建HA群集的经验的人:
>您使用了哪些软件用于群集?
>有任何警告吗?
>或者也许是一个完全不同的架构来完成类似的事情?
更新
也许我的问题最初还不够明确.我为此道歉.
这些Web应用程序不是由我们开发的,也不是AD感知的.他们只询问LDAP服务器的主机名/ IP地址.不幸的是,我们必须处理这个限制.我理解SRV记录是如何工作的,但由于这些不是我们的应用,在这种情况下对我们没有帮助.
强迫开发人员修改他们的应用程序以识别AD也是不现实的.
唯一的选择是在基础架构中解决此问题,与软件相反.我的问题是针对那些专门做过的人.
我们针对OpenLDAP服务器使用
Cisco IOS’s Server Load Balancer (SLB) .
LDAP是LDAP,它也适用于Microsoft的Active Directory.
其他制造商提供类似的产品/能力.平衡tcp 389/636与平衡tcp 80/443(或任何其他tcp)相同.
LDAP是LDAP,它也适用于Microsoft的Active Directory.
其他制造商提供类似的产品/能力.平衡tcp 389/636与平衡tcp 80/443(或任何其他tcp)相同.
您可能会遇到一些证书问题.您可以告诉应用程序不要太警惕. (可能已经是,不确定您的AD证书是如何签名的,或者您信任哪些CA.)或者让您的AD服务器使用带有相应subjectAlternativeName字段的证书.