我们有一个 LDAP 目录,其中有超过 50,000 名用户。LDAP 供应商建议每个 LDAP 组的最大用户限制为 40,000 名。我们有许多不活跃的用户,这些用户正在被清除,但如果用户数量未低于 40,000 名怎么办?切换到在用户记录级别使用多值属性而不是使用 LDAP 组是否会在身份验证、添加新用户等过程中产生更好的性能?
我知道大多数服务器软件(门户、应用服务器等)都使用 LDAP 组。但是,我们有一个标准化的 Web 服务接口用于访问控制,而不是依赖服务器软件将 LDAP 组映射到安全角色。每个应用程序都使用这个通用的“访问控制 Web 服务”。应用程序内使用安全角色来构建每个企业应用程序中使用的细粒度 ACL。
答案1
组已经使用了多值属性,如uniqueMember和member。在某些旧式目录服务器中,真正的问题是处理任何条目中的多值属性,而不仅仅是组条目(组没有什么特别之处,它只是 objectClass 的成员,需要/允许uniqueMember或member或其他)。根据供应商的不同,我认为切换到多值属性不太可能大大提高性能。