1 votes

Scott avatar

LDAPS à haute disponibilité avec Fedora Directory Server

Demandé el 10 de Juin, 2009
Quand la question a-t-elle été
1739 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On m'a demandé de mettre en place une architecture LDAP HA à l'aide de Fedora Directory Server. L'entreprise utilise actuellement Sun DS mais souhaite s'éloigner de Sun.

Je veux utiliser un équilibreur de charge matériel de réseau (Cisco) pour que les clients puissent simplement utiliser 'ldap.business.com' comme nom de serveur LDAP, en cachant les véritables IP des 4 serveurs derrière lui.

Pour le LDAP simple, cela fonctionne bien, mais je veux maintenant ajouter des LDAPS utilisant TLS. Le processus de configuration du certificat semble bien documenté sur le site de Fedora, mais je ne sais pas comment configurer LDAPS pour qu'il soit hautement disponible, car le certificat star n'est pas autorisé, je pense.

Le DNS round-robin ne sera pas assez robuste car il dépend du TTL - il est toujours possible d'avoir une panne de LDAP.

Demandé el 10 de Juin, 2009 par Scott

Réponses

Trop de publicités?

1voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Nous gérons HA LDAPS sur Novell eDirectory, mais le problème est similaire. Nous avons réussi à résoudre le problème avec des noms alternatifs de sujets sur les certificats. Les Subject-alternate-names sont, tout simplement, des sujets alternatifs que vous pouvez mettre sur un certificat afin de lui donner plus d'un nom. C'est ainsi que vous pouvez (en théorie) avoir un seul certificat valable pour pop3.organisation.org, imap.organisation.org, et webmail.organisation.org. Ils sont assez récents, mais pas autant que les certificats à validation étendue.

La plupart des clients LDAP modernes sont suffisamment intelligents pour traiter correctement les SAN. En outre, nous gérons l'autorité de certification qui a émis les certificats, de sorte que l'obtention d'un SAN est simple pour nous. Ce n'est pas si simple si vous devez payer pour un certificat, les autorités de certification préférant que vous achetiez plusieurs certificats. Malheureusement pour beaucoup de gens, certains logiciels ne peuvent charger qu'un seul certificat. C'est là qu'interviennent les SAN.

Nous utilisons un équilibreur de charge matériel (F5 BiP) et trois serveurs LDAPS. Lors de la première mise en place, nous avons créé des certificats avec uniquement le nom de réseau de l'IP/DNS de l'équilibreur de charge. Les clients qui se connectaient directement aux serveurs LDAP obtenaient des erreurs de certificat, ce qui s'est avéré être une incitation à utiliser l'adresse IP de l'équilibreur de charge comme ils auraient dû le faire depuis le début.

Depuis, nous avons décidé d'utiliser les noms alternatifs de sujets, car cela avait des effets secondaires négatifs sur le logiciel Novell fonctionnant sur ces serveurs. Mais nous avons réussi à le faire fonctionner sans SAN pendant un certain temps. Chaque certificat comporte trois noms :

  • Adresse IP de l'équilibreur de charge IP
  • Nom DNS de l'IP de l'équilibreur de charge
  • Nom DNS de l'hôte direct

Cela expose le nom d'hôte du back-end à ceux qui fouinent, mais nous ne considérons pas cela comme une vulnérabilité. D'autres pourraient le faire.

C'est ce que nous faisons, et ça marche pour nous.

Répondu el 10 de Juin, 2009 par sysadmin1138 (129885 Points )

0voto

Vincent Gerris avatar
Vincent Gerris Points 121

Vous pourriez effectuer un chargement sans SSL sur votre équilibreur de charge. Vous pouvez utiliser du matériel, mais vous devez souvent payer une licence pour le déchargement. Vous pouvez aussi essayer haproxy, qui est un équilibreur de charge gratuit, qui prend en charge le déchargement SSL (version dev)>. Une autre option consiste à utiliser les noms alternatifs des sujets dans les certificats, mais si vous voulez augmenter la taille de votre entreprise, vous devez réémettre tous les certificats.

Je choisirais donc l'option de déchargement SSL équilibré. Soit une option matérielle (vous devriez étudier les coûts de licence), soit une option logicielle. Ensuite, assurez-vous que le LB se connecte par HTTP normal et placez-le dans un segment de réseau auquel les utilisateurs ne peuvent pas se connecter. Peut-être que haproxy ne prend pas en charge le déchargement ssl de ldap et que vous avez besoin d'une autre solution. Vous pouvez également utiliser corosync/pacemaker et utiliser des certificats.

Répondu el 10 de Janvier, 2014 par Vincent Gerris (121 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X