Active Directory против OpenLDAP

Это для небольшой компании (12 разработчиков), которая не внедрила какую-либо централизованную пользовательскую базу данных - они органически выросли и просто создавали учетные записи на компьютерах по мере необходимости.

С точки зрения управления, это кошмар - 10 компьютеров с разными учетными записями пользователей. Если пользователь добавлен на один компьютер, его нужно добавить вручную на всех остальных (к которым ему необходим доступ). Это далеко от идеала. Движение вперед и развитие бизнеса будут означать экспоненциально большую работу, так как будет добавлено / нанято больше компьютеров / пользователей.

Я знаю, что какое- то централизованное управление пользователями крайне необходимо. Тем не менее, я спорю между Active Directory и OpenLDAP. Два текущих сервера функционируют как простые серверы резервного копирования и обмена файлами, оба работают под управлением Ubuntu 8.04LTS. Компьютеры представляют собой смесь Windows XP и Ubuntu 9.04.

У меня нет опыта работы с Active Directory (или, на самом деле, с OpenLDAP, но я чувствую себя комфортно с Linux), но если одно решение перевешивает другое, тогда я гарантирую, что я это изучу.

Первоначальная стоимость на самом деле не проблема, TCO. Если Windows (я полагаю, SBS?) Сэкономит мне достаточно времени, чтобы компенсировать увеличение первоначальной стоимости, то я думаю, что я должен пойти на это решение.

Какое решение я должен искать для своих нужд?

редактировать: электронная почта размещается вне сайта, поэтому Exchange не требуется.

Придерживайтесь открытого кода, если я правильно читаю ваш вопрос:

• Вас не волнует обмен
• У вас нет особой необходимости в мелком контроле над настройками XP - я люблю групповую политику, прежде всего, чтобы уберечь администраторов / продавцов от самих себя, разработчики в основном нуждаются в том, чтобы я держался в стороне
• С * nix вам удобнее, чем с windows

AD прекрасно справляется с управлением окнами, но если вам это не нужно, вы приобретаете учебную кривую, которая вряд ли принесет большую пользу.

2 предостережения

• Если у вас есть время / интерес к тому, чтобы подтолкнуть себя на сторону MS, это хороший способ обеспечить это.
• WSUS - это хороший способ управления исправлениями для рабочих станций и серверов. Если вы не можете просто включить «автоматический» переключатель на всех машинах, это может перенести баланс на SBS (если SBS поддерживает WSUS?)

Вы получите много полезных функций из Active Directory, которых вы не получаете с OpenLDAP. Главным среди них является как единый вход (т. Е. Одна учетная запись пользователя, которая работает на всех клиентских и серверных компьютерах), так и групповая политика.

Мне нравится программное обеспечение с открытым исходным кодом, но до тех пор, пока не выйдет Samba 4, Active Directory обеспечивает наилучшие возможности администрирования для Windows 2000 и более новых клиентских компьютеров.

Без использования стороннего программного обеспечения не будет основанной на стандартах аутентификации LDAP с клиентами Windows XP. Прочитайте мой ответ здесь: Интеграция Kerberos с Windows XP - опыт использования OpenLDAP будет очень похожим (за исключением того, что вам потребуется стороннее программное обеспечение, такое как pGINA, для работы аутентификации LDAP): Как заставить Windows XP проверять подлинность по Керберос или Хеймдал

Возможность использования Windows Small Business Server зависит от того, сколько вы хотите потратить (первоначальная стоимость и стоимость клиентских лицензий для SBS больше, чем для «простой ванильной» Windows) и от того, получите ли вы выгоду от дополнительных » функции". Я предпочитаю думать о Windows SBS как о недорогом комплекте Windows и Exchange (с чрезмерно сложными инструментами установки и грубого администрирования, которые я никогда не использую). Я склонен администрировать Windows SBS как «обычный» компьютер с Windows и Exchange Server, и это работает очень хорошо как таковой.

Сервер Windows с Active Directory, Microsoft DHCP / DNS, WSUS (для предоставления обновлений для клиентских компьютеров) и некоторые объекты групповой политики, предназначенные для настройки среды пользователя / компьютера и установки программного обеспечения, значительно облегчат вашу административную нагрузку и упростят добавление будущих компьютеров. Exchange не так уж сложно установить и запустить (самые большие проблемы связаны с доставкой вашей почты из Интернета - так что многие люди не понимают, как работают DNS и SMTP).

Предполагая, что ваша установка выполняется кем-то, кто знает, что они делают, и что вы хорошо относитесь ко всему после этого, он будет работать нормально для вас без большой административной головной боли. Я списываю людей, которые оплакивают ненадежность Windows и Exchange, потому что обычно у них возникают проблемы, потому что они либо (а) использовали низкое оборудование и платят цену в долгосрочной перспективе, либо (б) не компетентны в администрировании программного обеспечения. У меня есть установки Windows SBS вплоть до временного интервала версии 4.0, который прекрасно работает спустя годы после установки - у вас тоже может быть.

Если у вас нет опыта работы с этими продуктами, я бы порекомендовал поработать с авторитетным консультантом, чтобы выполнить установку, и вы начнете с самостоятельности в администрировании. Я бы порекомендовал хорошую книгу, если бы знал ее, но я был довольно недоволен почти всеми из них, которые я прочитал (им, как правило, не хватает реальных примеров и тематических исследований, как правило).

Есть много консультантов, которые могут недорого вывести вас из строя (об обстановке, о которой вы говорите, если предположить, что вы собираетесь выполнять «массовую» работу самостоятельно, на это уходит около полутора-двух дней на базовая установка Windows и Exchange, для меня) и может помочь вам «научиться работать». Большая часть рабочей силы уйдет на миграцию существующих пользовательских сред (перенос существующих документов и профилей в перемещаемый профиль пользователя новой учетной записи AD и перенаправление папок «Мои документы» и т. Д.), Если вы решите это сделать. (Я хотел бы, просто потому, что это сделает пользователей счастливыми и более производительными в долгосрочной перспективе.)

Вы должны запланировать какое-либо устройство резервного копирования и программное обеспечение для управления резервным копированием, серверный компьютер с избыточными дисками ( минимум RAID-1) и какую-либо защиту от источника питания (ИБП). Я ожидаю, что с недорогим сервером, затратами на лицензирование и аппаратным обеспечением защиты электропитания, которое вы можете получить в дверях с Windows SBS, примерно за 3500,00 - 4000,00 долларов. Лично я бы выделил вам примерно 10–20 часов работы по настройке, в зависимости от того, насколько вы знакомы с вашими потребностями и какой объем работы вы хотите научить выполнять, в отличие от того, как это делает установщик.

Вот высокоуровневый список типичных задач установки, которые я вижу в развертывании, подобном вашему:

• Физически настроенный серверный компьютер, ИБП и т. Д.
• Установите Windows, Exchange, WSUS, инфраструктурные службы, пакеты обновления, программное обеспечение для управления резервным копированием, программное обеспечение для управления ИБП и т. Д.
• Обсудить общий доступ к файлам (права доступа, общие папки с файлами, иерархия каталогов).
• Создание учетных записей пользователей (папки с перемещаемым профилем, папки «Мои документы» и т. Д.), Групп безопасности, групп рассылки, основных объектов групповой политики.
• Обсудите миграцию существующих данных электронной почты и сформулируйте стратегию, изменения в DNS, чтобы доставить электронную почту непосредственно в Exchange.
• Обсудите миграцию пользовательских сред на новые учетные записи AD. Разработайте процедуру миграции, если желательно обучение для выполнения миграции.
• Выполните пилотную миграцию клиентских компьютеров и профилей пользователей в домен.
• Обсудить повседневные задачи системного администратора (сброс пароля, изменение членства в группах пользователей, просмотр уведомлений об успешном / сбойном резервном копировании, мониторинг WSUS и установка обновлений), обсуждение общих проблем, устранение неполадок и их решение, проведение сеанса вопросов и ответов.
• Дайте рекомендации для будущих действий (автоматизация установки программного обеспечения, VPN-подключения и т. Д.)

OpenLDAP можно использовать для проверки паролей, но в основном это централизованный способ управления удостоверениями. AD включает в себя ldap, kerberos, DNS и DHCP. Это гораздо более комплексная система, чем сама OpenLDAP.

С точки зрения управления, вы можете просто установить AD на пару серверов win2k3 и указать на нее все системы Unix и использовать серверы AD только для проверки пароля. Сделать систему Unix с PAM очень просто, используя Kerberos для проверки пароля и локальные файлы паролей для авторизации. Это не так хорошо, как полная интеграция AD, но и тривиально для реализации.

плюсы и минусы интеграции AD Linux

использование AD в качестве сервера Kerberos для аутентификации локальных учетных записей

Вы также должны взглянуть на сервер каталогов Fedora (который теперь официально называется «Сервер каталогов 389») на основе кодовой базы Netscape LDAP. Он продается RedHat под своим брендом и поэтому активно поддерживается. Я слышал, что в некоторых отношениях он лучше, чем OpenLDAP, хотя сам никогда не использовал его. По функциональности он, вероятно, ближе к AD, чем сам OpenLdap, который на самом деле является лишь ядром полноценной системы каталогов.

Существует также Apache Directory Server , который является чистой Java и, похоже, активно развивается.

Поскольку у вас нет опыта работы с ними, затраты на обучение (в основном во времени) будут связаны с кривой обучения. С точки зрения обслуживания, единственный раз, когда вам действительно нужно прикоснуться к LDAP, это когда вы добавляете / удаляете учетные записи или изменяете их атрибуты (изменения имени / адреса). Это делается достаточно легко с обоими. С точки зрения реализации, это каталог, который вы хотите иметь, чтобы иметь самое простое время, позволяющее клиентам общаться с: Active Directory проще, поскольку клиенты Windows могут «общаться» с контроллерами домена и документацией, позволяющей Ubuntu / другим Linux-системам аутентификация из AD легко доступна. Если вы хотите, чтобы ваши клиенты Windows могли проходить аутентификацию вне openLDAP, вам понадобится сервер SAMBA, прослушивающий запросы (openLDAP не делает это изначально).

AD предлагает такие вещи, как групповые политики и другие элементы управления, которые вам не очень-то легко решить с помощью решения openLDAP, легко установить базовое развертывание Windows Server и интегрировать его с клиентами XP / Vista / 7, а интеграция клиентов Ubuntu сравнимой сложности с AD и openLDAP.

Такие продукты, как Suse SLES и Redhat Enterprise Server (или CentOS), облегчают интеграцию Win и Linux, чем, скажем, Ubuntu или Debian Servers, но это еще многое предстоит изучить.

Если стоимость будет проблемой, вы можете создать установку с Linux и некоторым дополнительным программным обеспечением, таким как групповая политика Nitrobit, которая обеспечит сопоставимый объем функциональности, но с крутым циклом обучения.