active-directory - 認証 - windows server 2012 ldap 設定




開発のためにローカルのLDAPストアを推奨 (2)

共有LDAPサーバーは問題ありませんが、ADだけでなくLDAPを本当にターゲットにしている場合は、ソフトウェアが異なる複数のLDAPサーバーが必要です。 私たちは開発とテストに使用するテストADとOpenLDAP仮想サーバーを持っており、多くの小さな違いに遭遇しました。 プロダクションでは、他のいくつかのサーバーをサポートしていますが、私はどちらがオフハンドであるか分かりません。

セットアップも構成も簡単ではありません。 ADについては、テストADを望んでおり、実際の会社ADに干渉することを望まないという事実といくつかの問題がありました。 OpenLDAPは、一般的に、初期設定やデータのロードに苦労していました。 私はこれらの仕事を自分でやっていないので、もっと詳しく説明することはできません。申し訳ありません。

セットアップが完了したら、正常に動作し、すべての開発者とテスターがこれら2つのサーバーを共有します。 私たちは命名規則を使用して、お互いのつま先で足を踏み入れることなく、どのユーザが自分のものであるかを誰もが知っているので、追加/編集/削除することができます。 私は各開発者が独自のLDAPサーバーを持つ必要はないと思う。

私たちのプロジェクトでは、ユーザーを格納するためにLDAPリポジトリを使用します。 プロダクションではこれがActive Directoryになります。 開発には、いくつかの選択肢があるようです。

  • 全員が使用するAD LDSインスタンスをインストールする
  • すべての開発者マシンにAD LDSインスタンスをインストールする

私たちは「F5」の経験を可能な限り軽く保つよう努めているので、物を設置したり、中央のADストアに頼ったりするのは私の好きなアイデアではありません。

Open LDAPのような他のLDAPサーバーもあります。 私は、単にXMLファイルと通信するLDAPサーバーが存在することを望んでいました。 これにより、XMLファイルをソース管理に格納し、高速で動作するものが得られます。 私たちの夜間ビルドはADを使用して相違点を取り除いていますが、私たちはLDAPを使用しているので、それはJust Workでなければなりません。

ゼロ設定の共存無しの開発でうまくいくLDAP実装をお勧めしますか?


LDAPとしてのADには独自の特徴があります。したがって、多価である必要がある場合は、いくつかのLDAPサーバ(OpenLDAP、Apache Directory Server、ADなど)でテストするのが妥当です。

また、生産のADにはいくつかの利点があります。

1)LDAPと同じようにADを実行することは悪い考えです。重すぎてリソースを消費します。 2)ADのユーザーアカウントは実際のWindowsアカウント(セキュリティ上の懸念事項)であることを忘れないでください。 3)ADはマルチサイトレプリケーションには最適ですが、ソリューションを他のLDAPサーバーに移行するのは問題です(デフォルトでADからパスワードハッシュをエクスポートすることはできません)。