Альтернативы Active Directory

Есть ли хорошие альтернативы для активного каталога?

Чтобы уточнить, после развертывания и поддержки многих сайтов под Windows, использующих Active Directory, я начал задумываться, почему я никогда не задумывался об использовании чего-то другого, например Linux. Я понимаю, что полнофункциональная альтернатива может еще не существовать, но я, по крайней мере, ищу что-то, что стремится стать активным каталогом и работает над этим.

Likewise-Open делает интеграцию клиентов и рядовых серверов Linux в существующий Active Directory довольно простой. Мы используем его на нескольких серверах Ubuntu для NAS - просто обновили до Jaunty, и он отлично работает, хотя мы остановились на пакете likewise-open (4.x), а не likewise-open5, так как в новейшей версии есть некоторые изменения версия, которую мы не выяснили полностью. В частности, аналогичным образом устраняются некоторые накладные расходы и конфигурация из настройки krb5 / pam / winbind / samba. Предположительно, его механизм аутентификации более эффективен, но это не то, что мы действительно заметили.

Кроме того, долгожданная Samba 4 должна появиться в не слишком отдаленном будущем и обещает, что ряд улучшений совместимости, таких как поддержка групповой политики, возможно, стоит оставить в курсе.

Я удивлен, что никто не упомянул eDirectory Novell . Это было с 1993 года (конечно, если тогда называлось NDS). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos был бы единственным другим вариантом, который я бы рассмотрел.

OpenLDAP может выполнять аутентификацию в активном каталоге. Я не верю, что есть замена для групповой политики в Windows.

Это может помочь, если вы объясните, что именно вам не нравится в Active Directory и почему вы пытаетесь избежать этого, я предполагаю, что это стоит?

OSX Server предоставляет встроенный стек с открытым исходным кодом для замены активного каталога на основе OpenLDAP. Это не самый простой способ запустить и запустить, но 99% этого можно сделать через графический интерфейс, и если у вас есть опыт работы с AD, это довольно просто.

Кроме того, Apple предоставляет поддержку для запуска, настройки и настройки на случай, если вы застряли :)

Если вы ищете что-то на арене SOHO, то «SME Server» может помочь.

http://wiki.contribs.org

Я недавно нашел это и играл с ним на тестовой коробке. Это выглядит довольно солидно.

Он позаботится обо всех нормальных вещах; обмен файлами / печатью, интернет, электронная почта и NAT.

Он также будет действовать как старый PDC в стиле NT.

Хороший обзор можно найти здесь http://www.theregister.co.uk/2010/11/17/review_sme_server/

В основном это зависит от того, участвует ли Windows в качестве потребителя AD. Если нет, то существуют десятки технологий для выполнения независимых частей AD:

• LDAP / Kerberos: аутентификация и пользовательские данные
• BIND / ldap2dns / djbdns: именование доменов DNS
• cfengine / puppet: распространение и применение групповой политики (когда-нибудь они могут работать и на windows)

Но вот в чем дело: Windows не может легко потреблять ничего, кроме AD, так что вы застряли. Обнимать, расширять, тушить.

Второй на eDirectory. Он делает все, что может AD, но гораздо более масштабируем и соответствует стандартам и работает на нескольких разновидностях * nix.

Краткий ответ - нет.

Ни один проект никогда не получал тяги к полной замене рекламы. AD - это экосистема, которая сама по себе является ядром, а такие аспекты, как безопасность, обмен, DNS, GPO, являются ее ветвями, и они, в свою очередь, переплетаются с Office, Sharepoint, SQL, Outlook и т. Д. Большинство существующих проектов - это просто замены или репликации отдельных веток и в основном просто не-windows-систем могут связываться в windows-сети.

Вы можете присоединить Windows-машины к сферам Kerberos. Когда вы делаете это, вы теряете остальную часть того, что делает активный каталог. Это похоже на настройку Unix-машины для использования области.

Самым большим недостатком является то, что машина не сбрасывает свой пароль автоматически. И группы. И политика. И, ну, остальная часть опыта управления окнами.

Вот ссылка на то, как это сделать, хотя ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Вы можете заставить OpenLDAP / Samba / Kerberos работать, но это не самая простая вещь. Вам придется пройти через множество настроек, которые значительно больше, чем время, необходимое для установки двух серверов Windows и их подключения к DC, а также работы с доменом Active Directory. И, как указано, получение объектов групповой политики и некоторые другие функции (авторитетные серверы DHCP, DNS, интегрированный в Active Directory, политики IPSEC с поддержкой Active Directory Kerberos, интеграция с Exchange / OCS и т. Д.).

У меня был хороший опыт с Касейей. Это очень сложный скрипт, но он предоставляет хороший редактор с большим количеством опций. он запускает агент на машине, так что вы можете делать практически все, что может делать активный каталог, от смены паролей до выталкивания политики.

В Интернете существует множество сайтов обмена, которые также решают проблемы с электронной почтой.