巨型活动目录部署与巨型 Sun LDAP

我一直与高级客户一起工作，讨论您正在调查的场景。

AD 对这么多对象没有问题。我曾在有几个倍数的客户环境中工作过。

在您的场景中与我合作的许多客户最终都通过 AD 本地禁用密码更改，并迫使人们通过某种门户网站与某种工具对话，该工具将密码输入所有需要独立副本的系统。这很好，除非它中断并且事情不同步。我也使用过 Curb 场景，虽然它有效，但并不是很多人知道如何运行或支持它，因此您可能会在操作人员方面遇到麻烦。

您还可以查看 Microsoft 的 ILM 之类的东西，它将捕获 AD 中的密码更改并让您将它们转发到其他系统（例如 Sun LDAP 等）。这允许人们通过本地应用程序在 AD 中使用本机密码更改功能。

有校友，应用程序，社区等从属关系的人很好。我在这里提醒人们注意的一件事是请记住，像所有人/经过身份验证的用户这样的默认权限会投射更广泛的网络，因此您需要使用代表您想要允许访问的实际用户的关联的组来 ACL 事物（例如 Active学生、教师、工作人员等）。我还尝试让人们定期清理应用程序附属人员的帐户。

一般来说，我非常努力地避免使用并行 LDAP 目录。一般来说，让两个（或更多）服务做同样的事情实际上只是浪费时间和金钱。

这是一个很好的起点：http ://technet.microsoft.com/en-us/library/cc756101(WS.10).aspx 。

这个工具已经过时了（它是为 Windows 2000 开发的，只知道小于 1 Ghz 的 CPU），但仍然表示 3-4 个 DC 足以满足 500,000 名用户的需求，其中每天有 50,000 名用户处于活动状态。我认为使用当今的硬件管理这样的数据库应该不会有任何问题。

AD会在负载下爆炸吗？

我是 80 多所在线/地面职业学校的 ASP.NET 门户开发人员，大部分在美国，拥有超过 250,000 个 AD 对象，并且可能在 60k 区域内活跃帐户使用量（据我所知）。我从未见过 AD 的任何生产问题。请记住，我们当时还拥有世界上第二大 Exchange/AD 对象。如果设计和配置得当，AD 可以承受负载。我曾经对 Microsoft 的 AD 持怀疑态度，或者我曾经将其视为 M$LDAP，但如果根据您的用例/环境进行配置，它似乎相当稳定、可靠。

是否有其他方法可以使 Sun 的 LDAP 和 AD 之间的密码保持同步？

我不能代表 Sun LDAP，也不能代表同步。AD 复制（本身）是可靠和及时的。想想我们总共有 4 到 6 个 AD 服务器，我不记得有一个问题。

您是否已经在实施 AD 并希望附加 Sun LDAP，还是相反？也许最好坚持使用一种解决方案（Sun 或 Microsoft，我没有偏好），因为管理大量帐户可能会成为一个问题。我经常发现，在创建混合解决方案时，我可能拥有也可能没有使事情易于管理的工具。我绝不是 LDAP/AD 大师，但即使是对 AD 帐户进行编程和使用 AD MMC 管理单元工具来查找帐户也是相当乏味的。

每种方法都有起伏。

使用 Sun LDAP 进行应用程序身份验证和授权的好处在于，它易于跨网络和在 DMZ 中提供支持。在有很多孤岛的大学环境中，这可能是一个真正的优势，因为您可以设置可能实际遵守的灵活标准...... LDAP 易于跨防火墙管理，灵活，并且您有多种方法可以保护您的应用，从简单的 LDAP 绑定到 Siteminder 等 SSO 解决方案。

最大的缺点是您要购买大量软件，而现在您需要 Unix/LDAP 人员。

如果你真的想要单密码集成，你可以使用像 ILM 这样的元目录或像 Ping 这样的联合工具来保持活动的 AD 用户与 LDAP 同步。Microsoft 解决方案的好处是它更容易“毕业”MCSE 类型，并且当事情在夜间发生颠簸时，您可以获得“一个喉咙窒息”的能力。

选择 AD 模型是可行的——AD 可以扩展到那么高。IMO 最大的问题是您将需要更多资源和更多服务器，并且在 DMZ 中支持中央 AD 可能会带来不愉快的体验。在我的世界里，根据我们处理的网络设计理念和安全策略，在客户端计算环境之外提供 AD 服务是一场噩梦。

如果我站在你的立场上，考虑到你问题中的信息，我会考虑一种混合 LDAP/AD 方法。让 AD 为 20-30k 活跃用户提供服务，并让另外 250k 进入 Sun 系统。最好的答案可能在很大程度上取决于您如何配置......