Active Directory по сравнению с OpenLDAP

Вы собираетесь получить много хороших функций от Active Directory, который Вы не получаете с OpenLDAP. Руководитель среди них являющийся обеими едиными точками входа (т.е. одна учетная запись пользователя, которая работает над всеми компьютерами клиента и сервера), и Групповая политика.

Я люблю программное обеспечение с открытым исходным кодом, но пока Samba 4 не назревает, Active Directory предоставляет самому лучшему административному опыту с Windows 2000 и более новыми клиентскими компьютерами.

Не используя стороннее программное обеспечение нет никакой основанной на стандартах аутентификации LDAP с клиентами Windows XP. Прочитайте мой ответ здесь ре: интеграция Kerberos с Windows XP - использование опыта, OpenLDAP будет очень подобен (за исключением того, что Вам будет нужно стороннее программное обеспечение как pGINA впереди, чтобы заставить аутентификацию LDAP работать): Как заставить Windows XP проходить проверку подлинности против kerberos или Хеймдаля

Пойти ли с Windows Small Business Server, зависит от того, что Вы хотите потратить (начальная стоимость, и стоимость лицензий на клиентский доступ для SBS является больше, чем "простой ванильный" Windows), и вытащите ли Вы значение из дополнительных "функций". Я предпочитаю думать о Windows SBS как о недорогом Windows и пакете Exchange (с чрезмерно сложной установкой и грязными административными средствами, которые я никогда не использую.) Я склонен администрировать Windows SBS как "нормальная" машина Windows и Exchange Server, и он работает очень хорошо как таковой.

Windows Server с Active Directory, Microsoft DHCP/DNS, WSUS (для обеспечения обновлений клиентских компьютеров), и некоторая Групповая политика возражает для обработки пользователя конфигурирования / компьютерные среды и установка программного обеспечения осветят административную загрузку чрезвычайно и сделают добавляющие будущие компьютеры легкими. Exchange не настолько трудно разбудить и работающий (самые большие проблемы, связываемые с тем, чтобы заставлять Вашу почту течь к нему из Интернета - столько людей, кажется, не понимает, как DNS и SMTP сотрудничают).

Принятие Вашей установки выполняется кем-то, кто знает то, что они делают, и что Вы обращаетесь со всем хорошо после совершения, что это будет хорошо работать для Вас w/o много административной головной боли. Я списываю людей, которые оплакивают ненадежность Windows и Exchange, потому что обычно у них есть проблемы потому что они любые (a) используемые нижние аппаратные средства и платят цену в конечном счете, или (b) не компетентны администрировать программное обеспечение. У меня есть установки Windows SBS, идущие полностью назад в период времени версии 4.0, которые хорошо работают спустя годы после установки - Вы можете иметь один, также.

Если бы у Вас нет опыта с этими продуктами, я рекомендовал бы работать с уважаемым консультантом, чтобы выполнить установку и запустить Вас с того, чтобы быть автономной системой на администрировании. Я рекомендовал бы хорошую книгу, если бы я знал один, но я был справедливо рассержен почти всеми ими, что я читал (им всем, кажется, недостает реальных примеров и тематических исследований, обычно).

Существует много консультантов, которые могут успешно начать Вас недорого (установка, о которой Вы говорите, предполагая, что Вы собираетесь сделать "объемную" работу сами, чувствует себя подобно приблизительно полутора дням к двум дням для основного Windows и установки Exchange, мне), и может помочь Вам "знать досконально". Большинство работы собирается войти в миграцию Ваших существующих пользовательских сред (перемещающий их существующие документы и профили в профиль роумингового пользователя их новой AD учетной записи и перенаправленные папки "My Docuemnts", и т.д.), если Вы принимаете решение сделать это. (Я был бы, просто потому что это сделает пользователей более счастливыми и более продуктивными в конечном счете.)

Необходимо запланировать некоторое устройство резервного копирования и резервное программное обеспечение управления, сервер с избыточными дисками (минимальный RAID-1), и некоторая защита источников электропитания (UPS). Я ожидал бы, с низкопроизводительным сервером, лицензируя затраты и аппаратные средства защиты источников электропитания, что Вы могли войти в дверь w/Windows SBS примерно за $3 500,00 - 4 000,00. Лично, я был бы спецификация Вы примерно 10 - 20 часов работы установки, в зависимости от того, насколько знакомый Вы со своими потребностями и сколько из работы Вы хотите преподаваться сделать, по сравнению с наличием установщика делают это.

Вот высокоуровневый список типичных видов задач установки, которые я вижу в развертывании как Ваше:

• Физически установите сервер, UPS, и т.д.
• Установите Windows, Exchange, WSUS, инфраструктурные услуги, пакеты обновления, скопируйте программное обеспечение управления, программное обеспечение управления UPS, и т.д.
• Обсудите совместный доступ к файлам (полномочия, местоположения совместно используемого файла, иерархия каталогов).
• Создайте учетные записи пользователей (папки профиля роуминга, папки "My Documents", и т.д.), группы безопасности, группы распределения, основной GPO.
• Обсудите миграцию существующих почтовых данных и сформулируйте стратегию, изменения в DNS для подачи электронной почты непосредственно к Exchange.
• Обсудите миграцию пользовательских сред в новые AD учетные записи. Разработайте способ для миграции, если обучение выполнить миграцию желаемо.
• Выполните экспериментальную миграцию (миграции) клиентских компьютеров и профилей пользователей в домен.
• Обсудите ежедневные задачи системного администратора (сбросы пароля, изменяя членства в группе пользователей, рассматривая резервные уведомления об успехе/отказе, контролируя WSUS, и обновите установку), обсудите распространенные вопросы, поиск и устранение неисправностей, и разрешение, проведите сессию Вопросов и ответов.
• Предоставьте рекомендации для будущих операций (автоматизирующий установки программного обеспечения, соединение VPN, и т.д.)

OpenLDAP может использоваться для проверки паролей, но это - главным образом централизованный способ управлять идентификационными данными. AD интегрирует ldap, kerberos, DNS и DHCP. Это - намного более всесторонняя система, чем просто OpenLDAP отдельно.

С точки зрения управления Вы могли просто установить AD на паре win2k3 серверов и указать на все системы Unix на него и использовать AD серверы только для проверки пароля. Это супер тривиально, чтобы заставить систему Unix с pam использовать kerberos для проверки пароля и файлы локального пароля для авторизации. Это не вполне так же хорошо как полная AD интеграция, но также тривиально для реализации.

за и против AD интеграции Linux

использование AD как kerberos сервер для аутентификации локальных учетных записей

Так как у Вас нет опыта с также, будут затраты (главным образом вовремя) связаны с кривой обучения. С точки зрения обслуживания единственное время когда-либо действительно необходимо затронуть, LDAP - когда Вы добавляете/удаляете учетные записи или изменяете их атрибуты (изменения имени/адреса). Это сделано достаточно легко с обоими. С точки зрения реализации это - каталог, которым Вы хотите смочь иметь самое легкое время, позволяя клиентам общаться с: Active Directory легче, так как клиенты Windows могут исходно 'говорить' с контроллерами домена и документацией для разрешения Ubuntu/другой, Linux для аутентификации от AD легко доступны. Если Вы захотите, чтобы Ваши клиенты Windows смогли пройти проверку подлинности прочь openLDAP, то Вам будет нужен сервер Samba, прислушивающийся к запросам (openLDAP, не делает этого исходно). Samba позволит Вам, используют openLDAP для аутентификации при обеспечении подобного окнам совместного доступа к файлам.

AD предлагает вещи как Групповые политики и другой материал управления, Вы не станете очень легкими с openLDAP решением, это - снимок, чтобы установить основное развертывание Windows Server и интегрировать его с XP/Vista/7 клиентами, и интеграция клиентов Ubuntu имеет сопоставимую трудность с AD и openLDAP.

Продукты как SuSe SLES и Redhat, Сервер для предприятия (или CentOS) делает интегрирующегося Win и Linux легче, чем, говорится в Ubuntu или Серверах Debian, но это все еще много для изучения.

Если стоивший была бы проблема, Вы могли бы создать установку с Linux и некоторым дополнительным программным обеспечением, как Нитроразрядная Групповая политика, которая позволит сопоставимую сумму функциональности, но с крутой кривой обучения.

Необходимо также взглянуть на сервер каталогов Fedora (который, по-видимому, является теперь официально "389 серверами каталогов"), на основе кодовой базы LDAP Netscape. Это продается Redhat под их брендом и активно сохраняется - также. Я услышал, что это более хорошо, чем OpenLDAP в некотором отношении, хотя я никогда не использовал его сам. Это, вероятно, ближе к AD в функциональности, чем OpenLdap отдельно, который является действительно только ядром полностью оперенной системы каталогов.

Существует также Сервер каталогов Apache, который является чистым Java и также похож, он активно разрабатывается.