我想了解您在使用 OpenLDAP 设置集中式身份验证服务器时的意见和经验。
目前有几台托管服务器运行着一些服务(电子邮件、Web 应用程序、数据库等),而且预算较低:P
在网络安全方面部署 LDAP 服务器时,有哪些建议或最佳实践?
500-800 个用户目录对 CPU/内存的硬件要求是什么?是拥有一台硬件良好的单服务器更好,还是我可以选择便宜的虚拟服务器并拥有冗余方案?我知道从 HA 的角度来看会更好,但由于我的预算有限,所以我还需要考虑性能。
如果不选择虚拟服务器选项。LDAP 服务可以在单个服务器上单独运行吗?或者我可以与其他东西共享服务器...比如说 MySQL 数据库?我只是在考虑如何充分利用我的资源,而不是让服务器太闲置,而不会增加安全风险。
谢谢你!
答案1
性能通常不是 OpenLDAP 的问题,它可以在非常小的硬件上运行,但我强烈建议运行至少具有两个实例的复制数据库。
由于它很轻量,与其他服务一起运行它应该也不成问题,但当然这很大程度上取决于其他服务是什么以及它们的活跃程度。使用率高的 MySQL 数据库可能是一个真正的坏伙伴,但如果它大部分时间处于空闲状态,那就没问题了。但是,在这种情况下,我还是会考虑使用虚拟化,只需将不同的服务放入不同的虚拟机中即可。
关于网络架构,这在很大程度上取决于您现有的服务器/服务及其组织方式,但我会确保 LDAP 服务器位于内部网络中,没有外部访问。