В большом Linux только сеть, как Вы обработали бы Аутентификацию и Управление пользователями?
Любая веб-почта, UIs должен согласиться с hmailserver пока стандартные протоколы IMAP/POP/SMTP, используется через конфигурацию.
Ближайшим эквивалентом Active Directory для Linux является FreeIPA. FreeIPA производится Redhat и обеспечивает аутентификацию на основе LDAP и Kerberos для сети Linux ...
FreeIPA - это интегрированное решение для управления информацией о безопасности. объединение Linux (Fedora), 389 Directory Server, MIT Kerberos, NTP, DNS, Dogtag (система сертификатов). Он состоит из веб-интерфейса и инструменты администрирования из командной строки.
Имейте в виду, что FreeIPA - это в основном только Redhat, и потребуется немало усилий, чтобы начать работу с Debian / Ubuntu / чем угодно ...
Я видел большие сети из более чем тысячи серверов Linux без централизованной аутентификации пользователей или управления. На каждом сервере были только локальные учетные записи, которые нужно было поддерживать индивидуально.
Это меня передергивает. Что-то вроде Puppet, вероятно, может помочь в этом отделе синхронизации учетных записей между системами, но не поможет вам присоединить хосты к домену AD.
Я не верю, что ваш вопрос касается эквивалента Active Directory для Linux, например как FreeIPA. Я думаю, ваш вопрос касается интеграции хостов Linux в существующий Microsoft Active Directory, чтобы все ваши машины Windows и Linux были объединены в одном каталоге.
Как вы сказали, вы уже знаете, что хосты Linux могут быть "вымощены булыжником". Я согласен с этой метафорой, поскольку она ' на мой взгляд, это запутанный процесс.
Кроме того, существуют профессиональные решения, такие как PowerBroker (ранее Likewise), которые можно установить на хосты Linux и сделать их присоединение к домену AD гораздо более надежным. Он даже включает некоторые возможности групповой политики.
Я думаю, вы, вероятно, увидите нечто подобное на большом предприятии, которое хочет присоединить свои машины Linux к домену Windows.
LDAP - это прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов в сети Интернет-протокола (IP).
Службы каталогов могут предоставлять любой организованный набор записей, часто с иерархическая структура, такая как корпоративный каталог электронной почты. Аналогично, телефонный справочник - это список абонентов с адресом и номером телефона.
Если бы я не был в среде, особо заботящейся о безопасности, я бы использовал NIS . Он легкий, работает на многих Unix, хорошо справляется с отказами сервера (т. Е. При условии, что каждый клиент либо настроен на использование нескольких серверов NIS, либо может находить несколько серверов с помощью широковещательной рассылки, он устойчив к сбоям сервера, привязанного к текущему моменту) и использовался в течение лет (например, я помню, как настраивал серверы NIS в 1991 году), поэтому его особенности довольно хорошо изучены.
Я бы порекомендовал OpenLDAP + Kerberos ( MIT или Heimdal ). Это означает, что ваши руки будут немного грязнее, чем при использовании такого продукта, как FreeIPA, но с точки зрения производительности вы не сможете превзойти OpenLDAP.
Эта ссылка действительно старая, но она подчеркивает некоторые из различия в производительности между OpenLDAP и 389 Directory server (включен в FreeIPA):
Некоторые цифры: Fedora Directory Server против OpenLDAP
Конечно, я уверен, что с тех пор оба продукта улучшились. Я знаю, что показатели OpenLDAP намного лучше, особенно с новым сервером с отображением памяти mdb .