[FRsAG] Performances LDAPS Vs. LDAP sur Active Directory

HURTEVENT VINCENT vincent.hurtevent at univ-lyon1.fr
Ven 17 Juil 12:14:10 CEST 2015


Bonjour,

je bench actuellement les performances LDAP et LDAPS d’un openLDAP (avec STunnel) et d’Active Directory avec un JMeter qui bind/unbind massivement.

Dans l’absolu, j’aimerai n’avoir q’une seule source d’authentification (Active Directory), malheureusement les performances en LDAPS sont plus que décevantes avec Active Directory, alors qu’il s’en sort relativement bien en LDAP.

En gros, pour 1000 bind/unbind :

- openLDAP+STunnel : 23s en LDAP, 58s en LDAPS
- AD : 19s en LDAP, 214s en LDAPS

Pour des phases d’authentification plus verbeuse en LDAP (bind avec un compte technique, recherche du DN utilisateur à partir du login, rebind avec le DN utilisateur, recup d’attributs, etc), on peut atteindre la seconde pour une authentification, ce qui me semble énorme.

Point de vue système, le DC se tourne les pouces et ne montre aucun signe de stress, à part une très légère hausse CPU lors du bench.

Je suppose donc que c’est l’établissement du canal SSL/TLS qui est (trop) long.

Est-ce que c’est un comportement que vous avez dejà rencontré ? réglé ?

Les ressources sont inexistantes sur le tuning LDAPS sur AD.

J’envisageai l’utilisation de Stunnel sur les DC à la place de la couche Microsoft, un avis ou contre-indication ?






Plus d'informations sur la liste de diffusion FRsAG