OpenLDAP и pGina против Active Directory (с использованием контроллера домена Samba4)
Примечание: я знаю, что есть некоторые вопросы, касающиеся схожей темы, но всем им было пару лет, Я хочу обсудить несколько различных случаев, чтобы получить полное представление.
Я хочу управлять системой компании или университета (так средние и крупные масштабные случаи ), и я намерен предоставить следующие услуги для пользователей системы на сервере Ubuntu: OpenVPN, Jabber, Git, FreeRadius, электронная почта, Redmine и совместное использование файлов samba и т. д. Я хочу, чтобы все службы аутентифицировались с использованием одного и того же имени пользователя и пароля (чтобы получить имя пользователя и пароль из централизованной системы аутентификации, OpenLDAP или Active Directory (с Samba4 в качестве контроллера домена) ). или это контроллер домена Samba4? Имея в виду, что в этом случае (Контроллер домена) я больше не могу использовать OpenLDAP, потому что я не могу аутентифицировать окна против OpenLDAP, а только с samba4 AD (И я не могу запускать Samba4DC параллельно с OpenLDAP в один и тот же сервер, потому что они оба являются серверами LDAP.)
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows с помощью OpenLDAP, но не могу заставить их каким-то образом взаимодействовать друг с другом, чтобы использовать преимущества обоих ( на случай, если мне понадобится OpenLDAP для чего-то, что недоступно в AD)?
Вы советуете использовать OpenLDAP или Active Directory (с использованием Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). потому что я не могу аутентифицировать окна с помощью OpenLDAP, а только с samba4 AD (и я не могу запускать Samba4DC параллельно с OpenLDAP на том же сервере, потому что они оба являются серверами LDAP).
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows против OpenLDAP, но не могу ли я заставить их каким-то образом взаимодействовать друг с другом или использовать преимущества обоих (в случае, если мне нужно, чтобы OpenLDAP делал что-то, недоступное в AD)?
Вы советуете использовать OpenLDAP или Active Directory ( Использование Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). потому что я не могу аутентифицировать окна с помощью OpenLDAP, а только с samba4 AD (и я не могу запускать Samba4DC параллельно с OpenLDAP на том же сервере, потому что они оба являются серверами LDAP).
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows против OpenLDAP, но не могу ли я заставить их каким-то образом взаимодействовать друг с другом или использовать преимущества обоих (в случае, если мне нужно, чтобы OpenLDAP делал что-то, недоступное в AD)?
Вы советуете использовать OpenLDAP или Active Directory ( Использование Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). но просто samba4 AD (И я не могу запустить Samba4DC параллельно с OpenLDAP на том же сервере, потому что они оба являются серверами LDAP).
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows с помощью OpenLDAP, но не могу ли я заставить их каким-то образом взаимодействовать друг с другом или использовать преимущества обоих (в случае, если мне нужно, чтобы OpenLDAP делал что-то, недоступное в AD)?
Вы советуете использовать OpenLDAP или Active Directory (использование Samba4 в качестве контроллера домена) и почему ? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). но просто samba4 AD (И я не могу запустить Samba4DC параллельно с OpenLDAP на том же сервере, потому что они оба являются серверами LDAP).
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows с помощью OpenLDAP, но не могу ли я заставить их каким-то образом взаимодействовать друг с другом или использовать преимущества обоих (в случае, если мне нужно, чтобы OpenLDAP делал что-то, недоступное в AD)?
Вы советуете использовать OpenLDAP или Active Directory (использование Samba4 в качестве контроллера домена) и почему ? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). • Я заставляю их каким-то образом взаимодействовать друг с другом или использовать их преимущества (на случай, если мне понадобится OpenLDAP для выполнения чего-то, что недоступно в AD)?
Вы советуете использовать OpenLDAP или Active Directory (с использованием Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). • Я заставляю их каким-то образом взаимодействовать друг с другом или использовать их преимущества (на случай, если мне понадобится OpenLDAP для выполнения чего-то, что недоступно в AD)?
Вы советуете использовать OpenLDAP или Active Directory (с использованием Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). Что я смогу (а что нет), если буду использовать Samba4AD, а не OpenLDAP (и наоборот). Судя по тому, что я понял из предыдущих чтений, они сказали, что преимущество AD состоит в том, что он может управлять групповой политикой в Windows. Каким образом групповая политика может быть полезна в моем случае? и какие альтернативы у меня есть в случае, если вы посоветовали использовать OpenLDAP?
Подытоживая основные вопросы:
- В моем случае предпочтительнее OpenLDAP или Samba4AD DC для аутентификации всех услуги + клиентский логин с одинаковым логином и паролем? (хотя я понимаю, что я не могу аутентифицировать окна с помощью OpenLDAP, но у вас могут быть некоторые дополнения, чтобы сказать об этом).
- Каковы преимущества присоединения клиентских ПК к контроллеру домена с помощью Samba4, а не просто использовать pGina?
- В случае отсутствия в них функций (что-то предусмотрено в одно, а не другое), какое альтернативное решение следует избегать чего не хватает?
И, пожалуйста, примите во внимание, что я предпочитаю решения с открытым исходным кодом, поддерживаемые и долгосрочные живые решения (логически).
Заранее благодарю!
Я думаю, что это слишком широкий вопрос, чтобы здесь действительно хорошо работать, но я думаю, что есть более простой вопрос: «Я смотрю на Samba4 против OpenLDAP, на чем я должен основывать свое решение?»
Ответ на этот вопрос: Samba4 имеет смысл, если вам нужны некоторые из специфичных для Windows (или, по крайней мере, Windows-ориентированных) функций, которые предоставляет AD. (И если вы не хотите покупать Windows Server и клиентские лицензии.)
Рассматривая использование Samba4, вы должны думать об этом как о эквиваленте Windows Server. Вы получаете (почти) то же самое, что и от Microsoft: интегрированный вход из клиентов Windows, управление с помощью инструментов Windows, ACL в стиле Windows, групповые политики, репликацию каталогов (но не в OpenLDAP!) И LDAP-совместимый каталог, который другие приложения могут пройти аутентификацию.
В вашей ситуации:
Я бы сказал, что наиболее полезными особенностями Windows, которые предоставляет Samba4 (или Windows Server), являются групповые политики и управление клиентами / файлами / общими ресурсами с помощью инструментов Windows. Ни то, ни другое не кажется вам сейчас особенно важным.
OTOH, я не знаком с pGina или какими-либо другими инструментами, позволяющими клиентам Windows аутентифицироваться с помощью OpenLDAP. Я не знаю, хорошо ли они работают, легко ли их настроить и поддерживать. Ими определенно не так легко управлять, как подключенным к домену ПК с Windows.
Другой пример:
В нашем случае у нас были в основном клиенты Windows с некоторыми пользователями Linux и Mac, и мы решили, что клиенты Windows присоединение к домену AD было важным, поэтому мы установили Samba4 и сбросили наш сервер OpenLDAP. Мы смогли это сделать, потому что у нас не было слишком много учетных записей, и мы смогли найти обходные пути для синхронизации паролей между OpenLDAP и AD. У нас не было проблем с Redmine, OpenVPN, Owncloud и другими сервисами, аутентифицируемыми с помощью Samba4.