Active Directory ve OpenLDAP karşılaştırması

Bu, herhangi bir merkezi kullanıcı veritabanı uygulamayan küçük bir şirket (12 geliştirici) içindir - organik olarak büyüdüler ve gerektiğinde bilgisayarlarda hesap oluşturdular.

Bir yönetim bakış açısından, onun bir kabus - hepsi farklı kullanıcı hesapları ile 10 bilgisayar. Bir kullanıcı bir bilgisayara eklenirse, diğerlerine manuel olarak eklenmesi gerekir (erişmesi gerekir). Bu ideal olmaktan uzak. İlerlemek ve işi büyütmek, daha fazla bilgisayar / kullanıcı eklendikçe / işe alındıkça katlanarak daha fazla çalışma anlamına gelecektir.

Bunu biliyorum bazı merkezi kullanıcı yönetimi tür şiddetle ihtiyaç vardır. Ancak, Active Directory ve OpenLDAP arasında tartışıyorum. İki geçerli sunucu, her ikisi de Ubuntu 8.04LTS çalıştıran basit yedekleme ve dosya paylaşım sunucuları olarak işlev görür. Bilgisayarlar, Windows XP ve Ubuntu 9.04'ün bir karışımıdır.

Active Directory (veya bu konuda gerçekten OpenLDAP ile ilgili deneyimim yok, ancak Linux ile rahatım), ancak bir çözüm diğerinden daha ağır basarsa, bunu öğrendim.

Açık maliyet gerçekten sorun değil , TCO. Windows (SBS varsayıyorum?) Artan ön maliyet telafi etmek için bana zaman kazandıracak, o zaman bu çözüm ile gitmek gerektiğini düşünüyorum.

İhtiyaçlarım için, hangi çözümü uygulamaya bakmalıyım?

edit: E-posta site dışında barındırılıyor, bu yüzden Exchange gerekli değil.

Sorunuzu doğru okuyorsam açık kaynakla devam edin:

• Exchange'i önemsemiyorsun
• XP ayarlarının dakika kontrolü için büyük bir gereksiniminiz yok - öncelikle yönetici / satış personelini kendilerinden kurtarmak için grup politikasını seviyorum, geliştiricilerin çoğunlukla saçlarından uzak durmam gerekiyor
• * Nix ile pencerelerden daha rahatsınız

AD, pencereleri iyi bir şekilde yönetmede harikadır, ancak buna ihtiyacınız yoksa, kendinize büyük fayda sağlamayacak bir öğrenme eğrisi satın alıyorsunuz.

2 uyarı

• Kendinizi şeylerin MS tarafına daha fazla itmek için zamanınız / ilginiz varsa, bunu sağlamak için iyi bir yoldur.
• WSUS iş istasyonu / sunucu yamalarını kontrol etmenin iyi bir yoludur. Tüm makinelerde "otomatik" anahtarı çeviremezseniz, bu dengeyi SBS'ye devredebilir (SBS WSUS kullanıyorsa?)

Active Directory'den OpenLDAP ile elde edemeyeceğiniz birçok güzel özellik elde edeceksiniz. Aralarında Şef hem tek oturum açma (yani tüm istemci ve sunucu bilgisayarlarda çalışan bir kullanıcı hesabı) hem de Grup İlkesi olmak.

Açık kaynaklı yazılımları seviyorum, ancak Samba 4 olgunlaşana kadar Active Directory, Windows 2000 ve daha yeni istemci bilgisayarlarla en iyi yönetim deneyimini sunuyor.

Üçüncü taraf yazılım kullanmadan, Windows XP istemcileri ile standartlara dayalı LDAP kimlik doğrulaması yoktur. Cevabımı buradan okuyun: Windows XP ile Kerberos entegrasyonu - OpenLDAP kullanma deneyimi çok benzer olacak ( LDAP kimlik doğrulamasının çalışması için ön taraftaki pGINA gibi üçüncü taraf yazılımlara ihtiyacınız olacak ): Kimlik doğrulaması için windows xp nasıl edinilir kerberos veya heimdal

Windows Small Business Server ile gitmek isteyip istemediğinize (SBS için ilk erişim maliyeti ve istemci erişim lisanslarının maliyeti "düz vanilya" Windows'dan daha fazla) ve ek " özellikleri". Windows SBS'yi ucuz bir Windows ve Exchange paketi olarak düşünmeyi tercih ediyorum (hiç kullanmadığım aşırı karmaşık kurulum ve kirli yönetici araçlarıyla.) Windows SBS'yi "normal" bir Windows ve Exchange Server makinesi gibi yönetme eğilimindeyim ve çalışıyor çok iyi.

Active Directory, Windows DHCP / DNS, WSUS (istemci bilgisayarlara güncelleştirme sağlamak için) içeren bir Windows Server ve kullanıcı / bilgisayar ortamlarını yapılandırmak ve yazılım yüklemek için bazı Grup İlkesi nesneleri yönetimsel yükünüzü büyük ölçüde hafifletecek ve gelecekteki bilgisayarları eklemeyi kolaylaştıracaktır. Exchange'i kurmak ve çalıştırmak o kadar da zor değil (en büyük sorun, postanızın Internet'ten akmasını sağlamakla ilgili - bu kadar çok insan DNS ve SMTP'nin birlikte nasıl çalıştığını anlamıyor).

Kurulumunuzun ne yaptığını bilen biri tarafından yapıldığını ve her şeyden sonra iyi davrandığınızı varsayarak, çok fazla idari baş ağrısı olmadan sizin için iyi çalışacaktır. Windows ve Exchange'in güvenilmezliğini anımsatan insanları yazıyorum, çünkü genellikle (a) düşük donanım kullandıkları ve uzun vadede fiyatı ödedikleri veya (b) yazılımı yönetme konusunda yetkin olmadıkları için sorun yaşıyorlar. Windows SBS kurulumları, kurulumdan iyi yıllar sonra çalışan 4.0 sürümü zaman çerçevesine geri dönüyor - bir tane de olabilir.

Bu ürünlerle ilgili herhangi bir deneyiminiz yoksa, kurulumu gerçekleştirmek ve yönetimde kendi kendine yeterli olmaya başlamak için saygın bir danışmanla çalışmanızı tavsiye ederim. Biliyorsam iyi bir kitap öneriyorum, ama okuduğum neredeyse hepsinden oldukça memnun kaldım (hepsi gerçek hayattaki örneklerde ve vaka çalışmalarında eksik görünüyor).

Sizi ucuza yerden kaldırabilecek birçok danışman var (bahsettiğiniz kurulum, "toplu" işi kendiniz yapacağınızı varsayarak, bir gün için bir buçuk ila iki gün gibi hissettiriyor) temel Windows ve Exchange yüklemeleri, bana) ve "ipleri öğrenmenize" yardımcı olabilir. Emeğin büyük çoğunluğu, mevcut kullanıcı ortamlarınızı (mevcut dokümanlarını ve profillerini yeni AD hesabının dolaşımdaki kullanıcı profiline geçirir ve bunu seçerseniz "Belgelerim" klasörleri vb.) Taşır. (Kullanıcıları uzun vadede daha mutlu ve daha verimli hale getireceği için yapardım.)

Bir çeşit yedekleme cihazı ve yedekleme yönetimi yazılımı, yedek diskleri olan bir sunucu bilgisayarı ( minimum RAID-1) ve bir çeşit güç koruması (UPS) planlamalısınız . Ben bir düşük uç sunucusu, lisans maliyetleri ve kabaca 3500.00 - 4000.00 $ için Windows SBS w / kapıda alabilirsiniz güç koruma donanımı ile beklenir. Şahsen, ihtiyaçlarınıza ne kadar aşina olduğunuza ve ne kadar iş yapmak istediğinize bağlı olarak, yükleyicinin yapmasına rağmen, yaklaşık 10-20 saatlik kurulum işçiliği belirteceğim.

Sizinki gibi bir dağıtımda gördüğüm tipik yükleme görevleri türlerinin üst düzey listesi:

• Sunucu bilgisayarını, UPS'i vb. Fiziksel olarak kurun.
• Windows, Exchange, WSUS, altyapı hizmetleri, hizmet paketleri, yedekleme yönetim yazılımı, UPS yönetim yazılımı vb. Yükleyin.
• Dosya paylaşımını tartışın (izinler, paylaşılan dosya konumları, dizin hiyerarşisi).
• Kullanıcı hesapları (gezici profil klasörleri, "Belgelerim" klasörleri vb.), Güvenlik grupları, dağıtım grupları, temel GPO'lar oluşturun.
• Mevcut e-posta verilerinin taşınmasını tartışın ve e-postayı doğrudan Exchange'e getirmek için strateji, DNS'deki değişiklikleri formüle edin.
• Kullanıcı ortamlarının yeni AD hesaplarına taşınmasını tartışın. Göç yapmak için eğitim isteniyorsa, göç için prosedür geliştirin.
• İstemci bilgisayarların ve kullanıcı profillerinin etki alanına pilot geçişini gerçekleştirin.
• Günlük sysadmin görevlerini (parola sıfırlamaları, kullanıcı grubu üyeliklerini değiştirme, yedekleme başarı / hata bildirimlerini inceleme, WSUS'yi izleme ve yükleme güncelleştirme) tartışın, genel sorunları, sorun giderme ve çözümü tartışın, Soru-Cevap oturumu gerçekleştirin.
• Gelecekteki etkinlikler için önerilerde bulunma (yazılım yüklemelerini otomatikleştirme, VPN bağlantısı vb.)

OpenLDAP şifreleri kontrol etmek için kullanılabilir, ancak çoğunlukla kimlikleri yönetmek için merkezi bir yoldur. AD, ldap, kerberos, DNS ve DHCP'yi entegre eder. Tek başına OpenLDAP'den çok daha kapsamlı bir sistemdir.

Yönetim açısından, AD'yi bir çift win2k3 sunucusuna kurabilir ve tüm unix sistemlerini gösterebilir ve AD sunucularını yalnızca parola kontrolü için kullanabilirsiniz. Şifre kontrolü için kerberos ve yetkilendirme için yerel şifre dosyaları ile pam kullanımı ile bir unix sistemi yapmak çok önemlidir. Tam AD entegrasyonu kadar iyi değil, aynı zamanda uygulanması da önemsiz.

AD Linux entegrasyonunun artıları ve eksileri

yerel hesapların kimliğini doğrulamak için AD'yi kerberos sunucusu olarak kullanma

Ayrıca Netscape LDAP kod tabanına dayalı olarak Fedora dizin sunucusuna da (görünüşte resmi olarak "389 dizin sunucusu") bakmalısınız. RedHat tarafından markaları altında satılmaktadır ve bu nedenle aktif olarak korunmaktadır. Kendimi hiç kullanmamış olsam da, bazı açılardan OpenLDAP'ten daha güzel olduğunu duydum. Muhtemelen tamamen tam teşekküllü bir dizin sisteminin çekirdeği olan AD'ye OpenLdap'tan işlevsel olarak daha yakındır.

Ayrıca saf Java olan ve aynı zamanda aktif olarak geliştirilmiş gibi görünen Apache Directory Server da var.

Her ikisiyle de deneyiminiz olmadığından, öğrenme eğrisiyle ilişkili maliyetler (çoğunlukla zaman içinde) olacaktır. Bakım açısından, LDAP'ye gerçekten dokunmanız gereken tek zaman, hesap eklediğinizde / kaldırdığınızda veya özelliklerini değiştirdiğinizde (ad / adres değişiklikleri). Bu her ikisiyle de kolayca yapılabilir. Uygulama açısından, istemcilerin iletişim kurmasına izin vermek için en kolay zamana sahip olmak istediğiniz dizindir: Active Directory daha kolaydır, çünkü Windows istemcileri yerel olarak etki alanı denetleyicileriyle ve Ubuntu / diğer Linux'ların AD kimlik doğrulaması hazır. Windows istemcilerinizin openLDAP üzerinden kimlik doğrulaması yapabilmesini istiyorsanız, istekleri dinleyen bir SAMBA sunucusuna ihtiyacınız olacaktır (openLDAP bunu yerel olarak yapmaz).

AD, OpenLDAP çözümüyle çok kolay elde edemeyeceğiniz Grup Politikaları ve diğer yönetim öğeleri gibi şeyler sunar, Windows Server'ın temel bir dağıtımını kurmak ve XP / Vista / 7 istemcileriyle entegre etmek çok kolaydır ve Ubuntu istemcilerinin entegrasyonu AD ve openLDAP ile karşılaştırılabilir zorluk.

Suse SLES ve Redhat Enterprise Server (veya CentOS) gibi ürünler, Win ve Linux'u entegre etmeyi Ubuntu veya Debian Sunucularından daha kolay hale getiriyor, ancak öğrenilmesi gereken çok şey var.

Maliyet bir sorun olacaksa, Linux ve Nitrobit Group politikası gibi, benzer bir işlevselliğe izin veren, ancak dik bir öğrenme eğrisine sahip bazı ek yazılımlar oluşturabilirsiniz.