Hallo zusammen,
ich bin neu hier, habe jedoch gleich ein nicht ganz triviales Anliegen. Ich habe in unserer Firma eine Forest Struktur mit zwei Standorten aufgebaut, da wir in einem Standort eine andere DNS Struktur haben, befinden sich nun zwei Domänen in diesem Forest.
Die Benutzer liegen dabei in einer Office-Domäne, sollen jedoch im anderen Standort zur Authentifizerung von Windows-Servern, Webapplikationen und Linux-Servern genutzt werden können. Für die Windows-Server ist das ohne größere Schwierigkeiten über die Vertrauensstellungen des Forests möglich.
Die Authentifizierung über Kerberos war für Team-Mitglieder und Vorgesetzte nicht gerne gesehen, da es das Konfiguratinsmanagement bei uns verkomplizieren würde. Für die Linux-Server und Webapplikationen habe ich angedacht die Authentifizierung gegen den globalen Katalog laufen zu lassen, da dieser Katalog, meiner Meinung nach, nix anderes als ein LDAP-Server mit ausgewählten Attributen aller Domänen ist. In meiner Testumgebung hat die Konstellation gut funktioniert.
In der aktuellen Pilotphase in der Produktionsumgebung habe ich jetzt allerdings das Problem, dass LDAP-Binds in manchen Fällen sehr lange brauchen. Ich habe den Traffic mal mitgesnifft und gesehen, dass zwischen LDAP bind requests und LDAP bind responses manchmal bis zu 40 Sekunden liegen.
Hat von euch jemand schon einmal Erfahrungen mit dieser Thematik gesammelt?
Persönlich halte ich es für ein Problem des Globalen Kataloges.. Ich habe zum Vergleich mal einfache ldapsearches gegen 389 und gegen 3268 ausgeführt und gesehen das die binds bisher nur bei 3268 (globaler Katalog) lange gedauert haben.
Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum? Kennt ihr evtl andere Lösungsansätze für mein Problem.. Ich denke hier sind wahre Experten gefragt ;-)
Viele Grüße
Lörres