Я хотел бы узнать ваше мнение и опыт при настройке централизованного сервера аутентификации с использованием OpenLDAP.
В настоящее время у них есть несколько размещенных серверов, на которых работает несколько служб (электронная почта, веб-приложения, база данных и т. Д.). и низкий сдвиг: P
Каковы рекомендуемые или лучшие практики при развертывании сервера LDAP с точки зрения сетевой безопасности?
Каковы требования к оборудованию для ЦП / памяти для каталога на 500-800 пользователей? Что лучше - иметь хороший аппаратный одиночный сервер или я могу использовать дешевые виртуальные серверы и использовать резервный сценарий? Я знаю, что в условиях высокой доступности было бы лучше, но, поскольку у меня небольшой бюджет, мне также нужно помнить о производительности.
Если вы не собираетесь использовать виртуальный сервер. Может ли служба LDAP работать отдельно на одном сервере? Или я могу поделиться сервером с чем-то еще ... скажем, с базой данных MySQL? Я просто думаю о том, как наилучшим образом использовать свои ресурсы и не иметь слишком простаивающий сервер, не добавляя к нему угрозы безопасности.
Спасибо!
Производительность обычно не является проблемой для OpenLDAP, он может работать на действительно небольшом оборудовании, но я настоятельно рекомендую запустить реплицированную базу данных как минимум с двумя экземплярами.
Будучи легковесным, запуск его вместе с другими сервисами также не должен быть проблемой, но, конечно, это во многом зависит от того, какие другие сервисы и насколько они активны. База данных MySQL с интенсивным использованием может быть действительно плохим компаньоном, но если она в основном простаивает, все в порядке. Однако в этом случае я бы все равно рассмотрел возможность использования виртуализации и просто поместил разные службы в разные виртуальные машины.
Что касается сетевой архитектуры, это во многом зависит от ваших существующих серверов / служб и того, как они организованы, но я бы хотел убедиться, что сервер LDAP находится во внутренней сети без внешнего доступа.