使用 LDAP 属性来提高大型目录的性能

使用 LDAP 属性来提高大型目录的性能

我们有一个 LDAP 目录,其中有超过 50,000 名用户。LDAP 供应商建议每个 LDAP 组的最大用户限制为 40,000 名。我们有许多不活跃的用户,这些用户正在被清除,但如果用户数量未低于 40,000 名怎么办?切换到在用户记录级别使用多值属性而不是使用 LDAP 组是否会在身份验证、添加新用户等过程中产生更好的性能?

我知道大多数服务器软件(门户、应用服务器等)都使用 LDAP 组。但是,我们有一个标准化的 Web 服务接口用于访问控制,而不是依赖服务器软件将 LDAP 组映射到安全角色。每个应用程序都使用这个通用的“访问控制 Web 服务”。应用程序内使用安全角色来构建每个企业应用程序中使用的细粒度 ACL。

答案1

组已经使用了多值属性,如uniqueMembermember。在某些旧式目录服务器中,真正的问题是处理任何条目中的多值属性,而不仅仅是组条目(组没有什么特别之处,它只是 objectClass 的成员,需要/允许uniqueMembermember或其他)。根据供应商的不同,我认为切换到多值属性不太可能大大提高性能。

相关内容