Active directory 使用简单绑定将LDAP负载平衡到Active Directory_Active Directory_Ldap

Active directory 使用简单绑定将LDAP负载平衡到Active Directory

active-directory ldap

Active directory 使用简单绑定将LDAP负载平衡到Active Directory,active-directory,ldap,Active Directory,Ldap,有人能帮我回答以下问题吗我从本文中了解到，由于Kerberos，在AD中对LDAP进行负载平衡不是一个好主意然而，我的情况略有不同。我有一个非windows设备，它使用简单绑定（明文密码）连接到AD域控制器然后我们实现了LDAPS（证书），所以即使它是一个简单的绑定，现在也使用SSL/TLS进行加密因此，如果客户机执行简单绑定（例如不使用SASL），我假定没有Kerberos交换，因此负载平衡Kerberos问题不适用，对吗非常感谢 CXMelga您的理解是正确的。您引用的文章是针对“

有人能帮我回答以下问题吗

我从本文中了解到，由于Kerberos，在AD中对LDAP进行负载平衡不是一个好主意

然而，我的情况略有不同。我有一个非windows设备，它使用简单绑定（明文密码）连接到AD域控制器

然后我们实现了LDAPS（证书），所以即使它是一个简单的绑定，现在也使用SSL/TLS进行加密

因此，如果客户机执行简单绑定（例如不使用SASL），我假定没有Kerberos交换，因此负载平衡Kerberos问题不适用，对吗

非常感谢

CXMelga

您的理解是正确的。您引用的文章是针对“AD集成”应用程序的Kerberos/NTLM身份验证。通过LDAP对AD进行身份验证是另一回事。我支持中型（15k帐户）组织，并且有许多应用程序通过负载平衡虚拟IP通过LDAP over SSL对AD进行身份验证。唯一的“问题”是，每个域控制器的证书都需要为您分配给负载平衡器VIP的主机名包含一个SAN（使用者替代名称）。并非所有LDAP客户机都会为证书验证而烦恼（或者，更确切地说，有些LDAP客户机允许您忽略证书错误），但是如果您使用有效的组织证书，您将花费更少的时间来解决真正属于信任协商问题的“LDAP问题”（这可能意味着公共证书供应商，包括Let's Encrypt free certs…尽管我不知道我是否希望每90天更新一次DC证书，或者可能意味着组织中所有计算机都信任的内部CA）DC主机名和负载平衡器地址的主机名都与之关联。

您的理解是正确的。您引用的文章是针对“AD集成”应用程序的Kerberos/NTLM身份验证。通过LDAP对AD进行身份验证是另一回事。我支持中型（15k帐户）组织和有许多应用程序通过负载平衡虚拟IP通过SSL通过LDAP对AD进行身份验证。唯一的“问题”是每个域控制器的证书都需要包含一个SAN（使用者替代名称）作为您分配给负载平衡器VIP的主机名。并非所有LDAP客户端都需要证书验证（或者，更确切地说，一些LDAP客户端允许您忽略证书错误），但是如果您使用有效的组织证书，您将花费更少的时间来解决“LDAP问题”，这些问题实际上是信任协商问题（这可能意味着公共证书供应商，包括Let's Encrypt free certs…尽管我不知道我是否希望每90天更新一次DC证书，或者可能意味着组织中所有计算机都信任的内部CA）DC主机名和负载平衡器地址的主机名都与之关联。

Hi LisaJ，非常感谢您抽出时间给我回信。我担心的是LDAP客户端是否尝试使用SASL（简单身份验证安全层）进行身份验证，而不是“简单绑定”，SASL将阻止使用Kerberos进行身份验证的尝试。因此，只要“简单绑定”将SALS/Kerberos排除在外，就应该可以继续使用了？当您说“有许多应用程序通过负载平衡的vi通过LDAP通过SSL向AD进行身份验证”时，您知道应用程序使用的LDAP绑定类型吗rtual IP’？非常感谢您抽出时间回复Lisa，我非常感谢：）嗨LisaJ，非常感谢您抽出时间给我回信。我担心的是LDAP客户端是否尝试使用SASL（简单身份验证安全层）进行身份验证，而不是“简单绑定”，SASL将阻止使用Kerberos进行身份验证的尝试。因此，只要“简单绑定”将SALS/Kerberos排除在外，就应该可以继续使用了？当您说“有许多应用程序通过负载平衡的vi通过LDAP通过SSL向AD进行身份验证”时，您知道应用程序使用的LDAP绑定类型吗rtual IP’？非常感谢您抽出时间回复Lisa，我非常感谢：）