巨型活动目录部署vs巨人Sun LDAP

这是一个很好的开始： http : //technet.microsoft.com/en-us/library/cc756101(WS.10).aspx 。

这个工具相当过时（它是针对Windows 2000开发的，只知道<1 Ghz的CPU），但仍然说3-4个DC对于每天有50000个活动的500,000个用户来说已经足够了。 我认为用今天的硬件来pipe理这样的数据库应该不会有任何问题。

我一直和更高级的客户一起讨论你正在调查的情况。

AD对于那么多物体都没有问题。 我已经在有几个倍数的客户环境中工作。

在您的scheme中，与我一起工作的许多客户最终都会通过AD禁止密码更改，并通过某种types的门户强制用户通过某种types的工具将密码input到需要独立副本的所有系统中。 这是好的，除非它打破了，事情不同步。 我也和“路边”情景一起工作，虽然它运作良好，但并不是很多人知道如何运行或支持，所以你可能会在运营人员方面要求麻烦。

你也可以看看微软的ILM，它将捕获AD中的密码更改，并让你转发给其他系统（如Sun LDAP等）。 这使得人们可以使用本地应用程序中的AD中的本地密码更改function。

与校友，应用程序，社区等附属机构是好的。 我谨慎的一点是，请记住像Everyone / Authenticated Users这样的默认权限会投射更大的networking，因此您需要使用表示代表您所希望允许访问的实际用户的组织的ACL（例如Active学生，教职员工等）。 我也试图让人们定期清理帐户的人谁是应用子公司。

一般来说，我真的很难不拥有并行的LDAP目录。 一般来说，如果有两个（或更多）服务器做同样的事情，那真的只是浪费时间和金钱。

AD会在负荷下爆炸吗？

我是一个ASP.NET门户开发人员，主要在美国有80多个在线/地面职业学校，拥有超过250,000个AD对象，并且可能在60k地区有一个活跃的帐户使用（据我所知 ）。 我从来没有看到任何AD的生产问题。 请记住，我们当时还有世界上第二大的Exchange / AD对象。 当正确devise和configuration时，AD可承受负载。 我过去一直怀疑微软的AD，或者我以前认为它是M $ LDAP，但是如果configuration到你的用例/环境，它看起来相当稳定，可靠。

是否有其他方法来保持Sun的LDAP和AD之间的密码同步？

我不能说Sun LDAP，也不能同步。 AD复制（本身）是可靠和及时的。 我们认为总共有4到6个AD服务器，我不记得一个问题。

您是否已经在实施AD，并希望追加Sun LDAP呢？还是相反？ 也许最好是坚持一个解决scheme（太阳或微软，我没有偏好），因为pipe理大量帐户可能成为一个问题。 我经常发现，在创build混合解决scheme时，我可能有也可能没有使工具易于pipe理的工具。 我绝不是LDAP / AD主设备，但是即使对AD帐户进行编程，并使用AD MMCpipe理单元工具来查找帐户也相当乏味。

每种方法都有起伏。

有关使用Sun LDAP进行应用程序身份validation和授权的一个很好的部分是它可以轻松地跨networking和DMZ进行支持。 在大学环境中存在大量孤岛，这可能是一个真正的优势，因为您可以设置可能实际遵守的灵活标准。LDAP易于在防火墙之间进行pipe理，灵活，您可以通过多种方式保护您的应用程序，从简单的LDAP绑定到Siteminder等SSO解决scheme。

最大的缺点是你需要购买大量的软件，而现在你需要Unix / LDAP人员。

如果您真的想要单一密码集成，您可以使用像ILM这样的元目录或像Ping这样的联合工具来保持活动的AD用户与LDAP同步。 微软解决scheme的好处在于，“调整”MCSEtypes比较容易，并且在夜晚发生碰撞时，你会得到“一声呜咽”的能力。

去AD模型是可​​行的 – AD可以扩展到这个高度。 国际海事组织的一个大问题是，你将需要更多的服务器和更多的资源，在DMZ中支持一个中央AD可能是一个不太愉快的经历。 在我的世界里，随着我们所处理的networkingdevise理念和安全策略，在客户端计算环境之外提供AD服务是一场噩梦。

如果我在你的鞋子里，给你的问题的信息，我会看看一个混合LDAP / AD方法。 让AD为20-30k活动用户提供服务，并让另外的25万用户进入Sun系统。 最好的答案可能很大程度上取决于你如何提供…