> OU с возможностью делегирования необходимы как сущность каталога для внешнего управленияДелегирования на управление группами и атрибутами внутри них, атрибутами есть и в FreeIPA.
> а в FreeIPA никак не научится за 10 лет в OU
ALDPro использует расширение базы FreeIPA под OU, семилетней давности. Все семь лет патч не принимают в код.
> Видимо, надеются, что крупный провайдерский софт,
Куча крупного софта (Radius, WebAuth в Apache/NGINX и PHP), не работает с OU, и приходится писать костыли для работы с OU, которые или кэшируют пользователей, или при каждом вызове авторизации перебирают всех пользователей. И если в софте используется перебор или кэш с перебором (при отсутствии в кэше пользователя), то DDoS на КД можно организовать через Web-приложение, отправив за раз пару тысяч запросов на авторизацию с гарантированно некорректными именами пользователей. В общем трафике Web-сервера такое количество запросов даже заметно не будет.
> Установить 1501xN инстансов самой себя, где N - избыточность для отказоустойчивости
Внезапно. Рекомендация MS - 1 ядро 2,2 ГГц, 1 ГБ ОЗУ на 1000 пользователей и 1000 компьютеров. Рекомендация IBM (как головной компании RH)- 1 ядро 1,6 ГГц, 0,5 ГБ ОЗУ на 4000 пользователей и столько же компьютеров. Без учета отказоустойчивости, конечно. Минимальное количество серверов для AD, гарантирующее сохранность каталога, если между всеми КД нарушится сетевая связанность более чем на 5 минут - 4 штуки. Минимальное количество КД FreeIPA для гарантированной сохранности базы 2 штуки.
Теперь посчитайте минимальное количество серверов, чтобы поддерживать лес, на распределенную организацию хотя бы на четыре подразделения, в которых есть повторяющиеся группы пользователей (бухгалтерия, кадры и т.д.). 16 штук для гарантированного сохранения базы. Хотя там хватит и четырех.
> Их выносят на отдельно стоящий кэш-кластер, структура которого специфична для приложения и движка поиска.
О как! Ваша фраза перфразируется на: "Чтобы пользоваться OU, нужно сделать кэширующий кластер без OU." facepalm.png.
