利用Linux群集进行不间断认证分析

核心提示：当某个组织添加应用程序和服务时，集中进行认证和密码服务可以提高安全性，利用Linux群集进行不间断认证分析，并减少管理和开发人员的难题，但是，并且以层次结构的方式安排 LDAp 服务器，对于特定的目录名称空间，将所有服务合并到一台服务器会导致可靠性问题，高可用性对于企业认证服务尤为重要

当某个组织添加应用程序和服务时，集中进行认证和密码服务可以提高安全性，并减少管理和开发人员的难题。但是，将所有服务合并到一台服务器会导致可靠性问题。高可用性对于企业认证服务尤为重要，因为在许多情况下，当认证停止工作时，整个企业将陷于停顿。本文描述了我们该如何使用开放源码软件创建可靠的、高度可用的认证服务器。

我们使用的开放源码软件

我们使用 LDAp（轻量级目录访问协议(Lightweight Directory Access protocol)）服务器来提供各种应用程序都可以订阅的认证服务。为了提供高度可用的 LDAp 服务器，我们使用了 Linux-HA 倡议（www.linux-ha.org）的 heartbeat 软件包。我们还提供了一个设置 Apache web 服务器以使用 LDAp 认证的示例。

有关 LDAp 的一些背景知识

我们使用 OpenLDAp 软件包（www.openldap.org），几个 Linux 分发版（distribution）都包含该软件包。它同 RedHat 7.1 一起提供，目前可下载的版本是 2.0.11。

RFC 2251 和 2253 定义了 LDAp 标准。现有的几个 LDAp 商业实现包括密歇根大学和 Netscape 实现。创建 OpenLDAp 基金会是要“共同致力于开发健壮的、商业级别的、功能完善的和开放源码的 LDAp 应用程序和开发工具套件”（请参阅 www.openldap.org）。OpenLDAp 版本 1.0 发布于 1998 年 8 月。目前的主要版本是 2.0，发布于 2000 年 8 月 31 日，并且添加了 LDApv3 支持。

象任何优秀的网络服务一样，LDAp 被设计成可以跨多个服务器运行。本文使用了 LDAp 的两个功能 — 复制和参照。

参照机制允许您跨多个服务器分割 LDAp 名称空间，并且以层次结构的方式安排 LDAp 服务器。对于特定的目录名称空间，LDAp 只允许有一个主服务器。