6 启用LDAPS代理
如果同时还要添加636的SSL ldap认证,还需要为DC安装证书
因为我们有多个DC服务器,所以需呀一张类似Exchange的SAN证书,即多域名证书。可以通过Exchange服务器上的证书申请功能申请,也可以直接像CA申请,这里讲解直接像CA申请,因为比较复杂:
登录CA服务器,打开PowerShell,输入:
certutil-setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
该命令允许CA接受SAN证书的申请。
在申请证书网站的界面的Attribute属性中,输入:
san:dns=dc03.xxx.com&dns=ldap.xxx.com.com&dns=dc04.xxx.com&dns=dc05.xxx.com&dns=dc06.xxx.com
提交证书申请后,就会得到一张多域名证书。将其安装在各DC上。
在HAProxy脚本加入下面内容:
frontendldap_ssl
bind *:636
default_backend pool_ssl
backendpool_ssl
balance roundrobin
mode tcp
server DC03 10.1.1.3:636 check inter 5000#LDAP服务器
server DC04 10.1.1.4:636 check inter 5000
server DC05 10.1.1.5:636 check inter 5000
server DC06 10.1.1.6:636 check inter 5000
重启服务后,整个代理环境就算配置完成了。
HAproxy 的详细介绍:请点这里
HAproxy 的下载地址:请点这里
推荐阅读:
Haproxy+Keepalived搭建Weblogic高可用负载均衡集群
CentOS 6.3下Haproxy+Keepalived+Apache配置笔记
Haproxy + KeepAlived 实现WEB群集 on CentOS 6