我被要求使用Fedora Directory Serverbuild立一个HA LDAP体系结构 – 该公司可以使用Sun DS,但是希望从Sun迁移出去。
我想使用networking硬件负载均衡器(Cisco),以便客户端可以使用“ldap.business.com”作为LDAP服务器名称,隐藏后面的4个服务器的真实IP。
对于普通的LDAP这很好,但现在我想添加使用TLS的LDAPS。 证书设置过程似乎在Fedora网站上有很好的logging,但我不确定如何设置LDAPS高度可用,因为我不认为明星证书是允许的。
因为依赖于TTL,循环法的DNS将不够健壮 – 它仍然有可能发生LDAP中断。
我们在Novell eDirectory上处理HA LDAPS,但问题类似。 我们设法通过证书上的主题 – 备用名称来解决问题。 主题 – 备用名称只是替代主题,您可以将其放在证书上,以便为其指定多个名称。 这就是(理论上)你可以拥有一个适用于pop3.organisation.org,imap.organisation.org和webmail.organisation.org的证书。 它们相当新,但不像扩展validation证书那样新。
大多数现代LDAP客户端都足够聪明,可以正确对待SAN。 另外,我们pipe理证书颁发机构,使证书变得简单。 如果你最终要支付证书,并不是那么简单,那么CA就会宁愿购买多个证书。 不幸的是,对于很多人来说,一些软件包只能加载一个证书。 这是SAN进来的地方。
我们使用一个硬件负载平衡器(F5 BiP)和三个LDAPS服务器。 当我们第一次build立起来的时候,我们只使用负载均衡器IP / DNS的networking名称来创build证书。 直接连接到LDAP服务器的客户发生证书错误,这被certificate是激励人们使用负载平衡器IP地址的动机,正如他们一直在做的一样。
之后,我们开始使用主题备用名称,因为它们在运行在这些服务器上的Novell软件有负面影响。 但是我们确实让它在没有SAN的情况下运行了一段时间。 每个证书都有三个名字:
这确实将后端主机名暴露给那些窥探的人,但我们不认为这是一个漏洞。 其他人可能。
这就是我们所做的,这对我们很有用。
您可以在负载平衡器上进行SSL卸载。 您可以使用硬件,但通常您必须支付卸载许可。 或者您可以尝试haproxy,这是一个免费的负载均衡器,它支持SSL卸载(dev版本)>。 另一个选项的确使用了主题名称,但是如果要扩大规模,则需要重新颁发所有证书。
所以我会去负载均衡的SSL卸载选项。 无论是一个硬件(你应该调查许可证费用),或者一个软件。 然后确保LB连接正常的HTTP,并把它放在用户无法连接的网段。 也许haproxy不支持ldap ssl卸载,你需要另一个解决scheme。 您也可以使用corosync / pacemaker并使用证书。