Active Directory vs OpenLDAP

16

นี่คือ บริษัท ขนาดเล็ก (นักพัฒนา 12 คน) ที่ไม่ได้ใช้ฐานข้อมูลผู้ใช้จากส่วนกลาง - พวกเขาเติบโตขึ้นอย่างเป็นธรรมชาติและเพิ่งสร้างบัญชีบนคอมพิวเตอร์ตามที่พวกเขาต้องการ

จากมุมมองของผู้บริหารมันเป็นฝันร้าย - คอมพิวเตอร์ 10 เครื่องที่มีบัญชีผู้ใช้ต่างกัน หากผู้ใช้ถูกเพิ่มไปยังคอมพิวเตอร์เครื่องหนึ่งพวกเขาจะต้องเพิ่มด้วยตนเองในคนอื่น ๆ ทั้งหมด (ที่พวกเขาจำเป็นต้องเข้าถึง) มันไกลจากอุดมคติ การก้าวไปข้างหน้าและการเติบโตของธุรกิจจะหมายถึงการทำงานที่เพิ่มขึ้นอย่างทวีคูณเมื่อมีการเพิ่ม / จ้างคอมพิวเตอร์ / ผู้ใช้มากขึ้น

ฉันรู้ว่าบางชนิดของการจัดการผู้ใช้จากส่วนกลางเป็นสิ่งจำเป็นอย่างมาก อย่างไรก็ตามฉันกำลังถกเถียงกันระหว่าง Active Directory กับ OpenLDAP เซิร์ฟเวอร์สองตัวปัจจุบันทำหน้าที่เป็นเซิร์ฟเวอร์สำรองข้อมูลและการแชร์ไฟล์อย่างง่ายทั้งสองทำงานกับ Ubuntu 8.04LTS คอมพิวเตอร์มีการผสมผสานระหว่าง Windows XP และ Ubuntu 9.04

ฉันไม่เคยมีประสบการณ์กับ Active Directory (หรือ OpenLDAP จริง ๆ สำหรับเรื่องนั้น แต่ฉันพอใจกับ Linux) แต่ถ้ามีวิธีใดวิธีหนึ่งที่มากกว่าโซลูชันอื่นฉันควรเรียนรู้สิ่งนั้น

ค่าใช้จ่ายล่วงหน้าไม่ใช่ปัญหาจริงๆ TCO คือ ถ้า Windows (SBS ที่ฉันสมมุติเอาไว้?) จะช่วยประหยัดเวลาได้มากพอที่จะชดเชยค่าใช้จ่ายที่เพิ่มสูงขึ้นได้ฉันคิดว่าฉันควรใช้โซลูชันนั้น

สำหรับความต้องการของฉันฉันควรพิจารณาวิธีการนำไปใช้อย่างไร

แก้ไข:อีเมลโฮสต์นอกไซต์ดังนั้นจึงไม่จำเป็นต้องแลกเปลี่ยน

ubuntu  active-directory  openldap  small-business 
Cory Plastek
แหล่งที่มา
1
อย่าลืม OpenDS มันอาจมีความเสถียรมากกว่า OpenLDAP
Joshua

คำตอบ:

13

ติดกับโอเพนซอร์ซถ้าฉันอ่านคำถามของคุณถูกต้อง:

  • คุณไม่สนใจการแลกเปลี่ยน
  • คุณไม่จำเป็นต้องมีการควบคุมการตั้งค่า XP มาก - ฉันชอบนโยบายกลุ่มเป็นหลักในการบันทึกผู้ดูแลระบบ / พนักงานขายจากตัวเองนักพัฒนาส่วนใหญ่ต้องการให้ฉันอยู่ห่างจากผม
  • คุณสบายใจกับ * ระวังมากกว่าหน้าต่าง

โฆษณานั้นดีมากในการจัดการหน้าต่างให้อยู่ในระดับที่ดี แต่ถ้าคุณไม่ต้องการสิ่งนั้นคุณกำลังซื้อช่วงการเรียนรู้ที่จะไม่ก่อให้เกิดประโยชน์มากมาย

2 คำเตือน

  • หากคุณมีเวลา / ความสนใจที่จะผลักดันตัวคุณเองให้มากขึ้นในเรื่องของ MS นี่เป็นวิธีที่ดีในการให้สิ่งนั้น
  • WSUS เป็นวิธีที่ดีในการควบคุมแพตช์เวิร์กสเตชัน / เซิร์ฟเวอร์ หากคุณไม่สามารถพลิกสวิตช์ "อัตโนมัติ" บนเครื่องทั้งหมดนี่อาจผลักดันยอดคงเหลือไปยัง SBS (ถ้า SBS ใช้ WSUS หรือไม่)
Kara Marfia
แหล่งที่มา
+1 สำหรับ "คุณสบายกว่า * ระวังกว่าหน้าต่าง" นั่นสำหรับฉันคือปัจจัยในการตัดสินใจ
Maximus Minimus
1
SBS "ทำ" WSUS WSUS 3.0 จะติดตั้ง Windows Server 2003 ขึ้นไป หลังจากที่ได้ทำ Samba ไปแล้วใน NT 4.0 วันฉันไม่สามารถจินตนาการได้ว่าจะกลับไปมากเท่าที่ฉันชอบ ในที่สุดฉันก็พังลงและซื้อใบอนุญาตสำหรับ Windows Server 2003 สำหรับบ้าน (ที่ฉันใช้ Samba เป็นเซิร์ฟเวอร์ตั้งแต่เช่น '97) เพราะฉันต้องการ WSUS และนโยบายกลุ่ม (ทั้งหมดสำหรับแล็ปท็อปสอง (2) และสอง ( 2) พีซีตั้งโต๊ะ) นโยบายกลุ่มไม่ได้มีไว้สำหรับ "ล็อคเดสก์ท็อป" เท่านั้น - ใช้สำหรับการปรับใช้ซอฟต์แวร์ทำให้การเพิ่ม / ย้าย / การเปลี่ยนแปลงของพีซีเป็นไปโดยอัตโนมัติอย่างสมบูรณ์และโดยทั่วไปจะทำให้สิ่งต่าง ๆ เป็นไปโดยอัตโนมัติ
Evan Anderson
+1 สำหรับการรับรู้ว่าฉันสบายกว่า * ระวังกว่า Windows แม้ว่าฉันจะเลิกทำเองอย่างรวดเร็ว นี่คือสิ่งที่ฉันลงเอยด้วยเนื่องจากขาดเงินทุน การหา OpenLDAP เป็นเรื่องที่ท้าทาย แต่ก็ควรจะได้รับผลตอบแทน
Cory Plastek
คุณพูดถึงว่าเซิร์ฟเวอร์กำลังใช้งาน Ubuntu แต่คุณมีเวิร์กสเตชันที่ใช้ Windows สิ่งนี้เกี่ยวข้องกับแนวนอนของแอปพลิเคชั่นหรือไม่คือเฉพาะซอฟต์แวร์บางรุ่นของ Windows คุณอาจต้องการมีแผนสำหรับอนาคตของแนวแอ็พพลิเคชันและพิจารณาเซิร์ฟเวอร์ * IX / Windows ตามแผนนั้นด้วย
PdC
19

คุณจะได้รับคุณสมบัติที่ดีมากมายจาก Active Directory ที่คุณไม่ได้รับจาก OpenLDAP หัวหน้าในหมู่พวกเขาเป็นทั้งการลงชื่อเข้าใช้ครั้งเดียว (เช่นบัญชีผู้ใช้เดียวที่ทำงานบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ทั้งหมด) และนโยบายกลุ่ม

ฉันรักซอฟต์แวร์โอเพนซอร์ซ แต่จนกระทั่ง Samba 4 matures แล้ว Active Directory จะมอบประสบการณ์การดูแลระบบที่ดีที่สุดกับ Windows 2000 และคอมพิวเตอร์ไคลเอนต์ที่ใหม่กว่า

หากไม่มีการใช้ซอฟต์แวร์ของบุคคลที่สามจะไม่มีการตรวจสอบสิทธิ์ LDAP ตามมาตรฐานกับไคลเอนต์ Windows XP อ่านคำตอบของฉันที่นี่อีกครั้ง: การรวม Kerberos กับ Windows XP - ประสบการณ์การใช้ OpenLDAP จะคล้ายกันมาก (ยกเว้นว่าคุณจะต้องใช้ซอฟต์แวร์บุคคลที่สามเช่น pGINA ล่วงหน้าเพื่อให้การรับรองความถูกต้องของ LDAP ทำงาน): วิธีทำให้ windows xp Kerberos หรือ Heimdal

ว่าจะไปกับ Windows Small Business Server หรือไม่ขึ้นอยู่กับสิ่งที่คุณต้องการใช้ (ต้นทุนเริ่มต้นและต้นทุนของสิทธิ์การใช้งานการเข้าถึงไคลเอ็นต์สำหรับ SBS นั้นมากกว่า Windows ธรรมดา "vanilla") หรือไม่และคุณจะได้รับประโยชน์จากการเพิ่มเติมหรือไม่ ให้บริการ" ฉันชอบคิดว่า Windows SBS เป็นชุด Windows และ Exchange ราคาไม่แพง (ด้วยการตั้งค่าที่ซับซ้อนมากเกินไปและเครื่องมือการดูแลระบบที่น่าเบื่อที่ฉันไม่เคยใช้) ฉันมักจะจัดการ Windows SBS เหมือนเครื่อง Windows และ Exchange Server "ปกติ" เป็นอย่างมากเช่นนี้

เซิร์ฟเวอร์ Windows ที่มี Active Directory, Microsoft DHCP / DNS, WSUS (เพื่อให้การอัปเดตคอมพิวเตอร์ไคลเอนต์) และวัตถุนโยบายกลุ่มบางอย่างเพื่อจัดการการกำหนดค่าสภาพแวดล้อมผู้ใช้ / คอมพิวเตอร์และการติดตั้งซอฟต์แวร์จะทำให้ภาระการดูแลระบบของคุณเบาลงอย่างมาก การแลกเปลี่ยนไม่ใช่เรื่องยากที่จะเริ่มต้นใช้งาน (ปัญหาที่ใหญ่ที่สุดเกี่ยวกับการรับจดหมายของคุณจากอินเทอร์เน็ต - ดังนั้นคนจำนวนมากไม่เข้าใจว่า DNS และ SMTP ทำงานร่วมกันอย่างไร)

สมมติว่าการติดตั้งของคุณดำเนินการโดยคนที่รู้ว่ากำลังทำอะไรอยู่และคุณปฏิบัติต่อทุกอย่างได้ดีจริง ๆ แล้วมันจะทำงานได้ดีสำหรับคุณโดยไม่ต้องปวดหัวมาก ฉันเขียนคนที่เสียใจกับ Windows และ Exchange เพราะพวกเขาประสบปัญหาเพราะพวกเขาใช้ฮาร์ดแวร์ที่ด้อยกว่าและจ่ายราคาในระยะยาวหรือ (b) ไม่สามารถจัดการซอฟต์แวร์ได้ ฉันมีการติดตั้ง Windows SBS ย้อนกลับไปยังกรอบเวลารุ่น 4.0 ที่ใช้งานได้ดีหลายปีหลังจากการติดตั้ง - คุณสามารถมีได้เช่นกัน

หากคุณไม่มีประสบการณ์ใด ๆ กับผลิตภัณฑ์เหล่านี้ฉันขอแนะนำให้ทำงานกับที่ปรึกษาที่มีชื่อเสียงเพื่อทำการติดตั้งและเริ่มต้นด้วยการดูแลตนเองให้พอเพียง ฉันจะแนะนำหนังสือดี ๆ ถ้าฉันรู้ แต่ฉันไม่พอใจกับพวกเขาเกือบทั้งหมดที่ฉันอ่าน (พวกเขาดูเหมือนจะขาดตัวอย่างชีวิตจริงและกรณีศึกษาโดยทั่วไป)

มีที่ปรึกษามากมายที่ช่วยให้คุณหลุดพ้นจากพื้นดินในราคาที่ไม่แพง (การตั้งค่าที่คุณกำลังพูดถึงโดยสมมติว่าคุณกำลังจะทำงาน "กลุ่ม" ด้วยตัวคุณเองให้ความรู้สึกเหมือนอยู่ประมาณหนึ่งวันครึ่งถึงสองวัน การติดตั้ง Windows และ Exchange ขั้นพื้นฐานสำหรับฉัน) และสามารถช่วยคุณ "เรียนรู้เชือก" แรงงานส่วนใหญ่จะเข้าสู่การโยกย้ายสภาพแวดล้อมผู้ใช้ที่มีอยู่ของคุณ (การย้ายเอกสารและโปรไฟล์ที่มีอยู่ไปยังโปรไฟล์ผู้ใช้ข้ามเขตของบัญชี AD ใหม่และเปลี่ยนเส้นทางโฟลเดอร์ "My Docuemnts" ฯลฯ ) หากคุณเลือกที่จะทำเช่นนั้น (ฉันต้องการเพียงเพราะจะทำให้ผู้ใช้มีความสุขและมีประสิทธิผลมากขึ้นในระยะยาว)

คุณควรวางแผนอุปกรณ์การสำรองข้อมูลและซอฟต์แวร์การจัดการการสำรองข้อมูลบางอย่างคอมพิวเตอร์เซิร์ฟเวอร์ที่มีดิสก์ซ้ำซ้อน ( RAID-1 ขั้นต่ำ ) และการป้องกันไฟ (UPS) บางชนิด ฉันคาดหวังว่าด้วยเซิร์ฟเวอร์ระดับล่างค่าใช้จ่ายในการออกใบอนุญาตและฮาร์ดแวร์ป้องกันพลังงานที่คุณจะได้รับพร้อมกับ Windows SBS ด้วยราคาประมาณ $ 3,500.00 - $ 4000.00 โดยส่วนตัวแล้วฉันจะระบุรายละเอียดเกี่ยวกับงานติดตั้งประมาณ 10 - 20 ชั่วโมงขึ้นอยู่กับว่าคุณคุ้นเคยกับความต้องการของคุณมากแค่ไหนและงานที่คุณต้องการได้รับการสอนมากน้อยแค่ไหนเมื่อเทียบกับการติดตั้ง

นี่คือรายการระดับสูงของงานติดตั้งชนิดทั่วไปที่ฉันเห็นในการปรับใช้เช่นเดียวกับคุณ:

  • ตั้งค่าคอมพิวเตอร์เซิร์ฟเวอร์, UPS, ฯลฯ
  • ติดตั้ง Windows, Exchange, WSUS, บริการโครงสร้างพื้นฐาน, เซอร์วิสแพ็ค, ซอฟต์แวร์การจัดการการสำรองข้อมูล, ซอฟต์แวร์การจัดการ UPS, ฯลฯ
  • หารือเกี่ยวกับการแชร์ไฟล์ (สิทธิ์, ตำแหน่งไฟล์ที่แชร์, ลำดับชั้นไดเรกทอรี)
  • สร้างบัญชีผู้ใช้ (โฟลเดอร์โปรไฟล์ข้ามเขต, โฟลเดอร์ "เอกสารของฉัน" ฯลฯ ), กลุ่มความปลอดภัย, กลุ่มการแจกจ่าย, GPO พื้นฐาน
  • หารือเกี่ยวกับการโยกย้ายข้อมูลอีเมลที่มีอยู่และกำหนดกลยุทธ์การเปลี่ยนแปลง DNS เพื่อนำอีเมลไปยัง Exchange โดยตรง
  • หารือเกี่ยวกับการโยกย้ายสภาพแวดล้อมของผู้ใช้ไปยังบัญชี AD ใหม่ พัฒนาขั้นตอนการโอนย้ายหากต้องการการฝึกอบรมเพื่อดำเนินการโยกย้าย
  • ดำเนินการโอนย้ายระบบของคอมพิวเตอร์ไคลเอนต์และโปรไฟล์ผู้ใช้ไปยังโดเมน
  • หารือเกี่ยวกับภารกิจดูแลระบบประจำวัน (รีเซ็ตรหัสผ่านเปลี่ยนสมาชิกกลุ่มผู้ใช้ตรวจสอบการแจ้งเตือนความสำเร็จ / ความล้มเหลวในการสำรองข้อมูลการตรวจสอบ WSUS และการติดตั้งการอัพเดท) อภิปรายปัญหาทั่วไปการแก้ไขปัญหาและการแก้ไข
  • ให้คำแนะนำสำหรับกิจกรรมในอนาคต (การติดตั้งซอฟต์แวร์อัตโนมัติการเชื่อมต่อ VPN ฯลฯ )
Evan Anderson
แหล่งที่มา
ฉันใช้เซิร์ฟเวอร์ Ubuntu สองเครื่องเพื่อจัดการการสำรองข้อมูล (ทั้ง RAID 10) บน UPSes หนังสือที่ดีที่ฉันเลือกคือ "การปฏิบัติงานของระบบและเครือข่าย"
Cory Plastek
หนังสือของ Limoncelli นั้นใช้งานได้โปรดจำไว้ว่านั่นคือโรงเรียนการจัดการด้านไอทีของ McDonald (ผู้ใช้เป็นลูกค้าและต้องมีความสุขที่ต้องการทอดด้วยอีเมลนั้นหรือไม่) วิธี ITIL / MOF ดูจากธุรกิจเป็นครั้งแรก ความคิดผลข้างเคียง
Jim B
3
ฉันรู้สึกสับสนเล็กน้อยกับคำว่า 'RAID' ที่อยู่ใกล้ ๆ เช่นนี้ tp คำว่า "backups" ในคำสั่งของคุณด้านบนไม่สามารถพูดได้มากพอว่า "RAID ไม่ใช่การสำรองข้อมูล" บางทีคุณอาจหมายถึงบางสิ่งเช่น "ฉันกำลังจะไป เพื่อคัดลอกเนื้อหาของ Windows Server เป็นระยะ ๆ ไปยังหนึ่งในเซิร์ฟเวอร์อูบุนตู "ฉันจะไม่พูดจาโวยวายทางศาสนาที่นี่ แต่ฉันจะอธิบายลักษณะกลยุทธ์การสำรองข้อมูลย่อยที่ดีที่สุด
Evan Anderson
1
ที่จริงแล้วแซมบ้า 3 ยังให้บริการตรวจสอบสิทธิ์ระดับ NT เท่านั้น ... แซมบ้า 4 จะให้การตรวจสอบสิทธิ์ระดับโฆษณาในที่สุด
Avery Payne
@ ทุกอย่าง: ไม่ดีของฉัน - คุณพูดถูก: เวอร์ชั่นของ Samba! ไข่บนใบหน้าของฉัน ...
อีวานเดอร์สัน
4

OpenLDAP สามารถใช้ตรวจสอบรหัสผ่านได้ แต่ส่วนใหญ่จะเป็นวิธีการจัดการข้อมูลประจำตัวจากส่วนกลาง AD ผสานรวม ldap, kerberos, DNS และ DHCP มันเป็นระบบที่ครอบคลุมมากกว่า OpenLDAP เพียงอย่างเดียว

จากมุมมองของการจัดการคุณสามารถติดตั้ง AD บนเซิร์ฟเวอร์ win2k3 และชี้ไปที่ระบบยูนิกซ์ทั้งหมดและใช้เซิร์ฟเวอร์ AD สำหรับการตรวจสอบรหัสผ่านเท่านั้น มันสำคัญมากที่จะทำให้ระบบยูนิกซ์ที่มีแพมใช้ kerberos สำหรับการตรวจสอบรหัสผ่านและไฟล์รหัสผ่านท้องถิ่นเพื่อขออนุมัติ มันไม่ได้ค่อนข้างดีเท่าการรวม AD แบบเต็มรูปแบบ แต่ยังเป็นเรื่องง่ายที่จะใช้

ข้อดีข้อเสียของการรวม AD linux

ใช้ AD เป็นเซิร์ฟเวอร์ kerberos เพื่อตรวจสอบสิทธิ์บัญชีท้องถิ่น

คริส
แหล่งที่มา
1

คุณควรดูเซิร์ฟเวอร์ไดเรกทอรีของ Fedora (ซึ่งตอนนี้เห็นได้ชัดว่าเป็น "เซิร์ฟเวอร์ไดเรกทอรี 389") ตามฐานข้อมูล Netscape LDAP มันขายโดย RedHat ภายใต้แบรนด์ของพวกเขาและยังคงรักษาไว้อย่างแข็งขัน ฉันได้ยินมาว่ามันดีกว่า OpenLDAP ในบางประเด็นถึงแม้ว่าฉันจะไม่เคยใช้มันเลย มันอาจจะใกล้เคียงกับโฆษณาในฟังก์ชั่นมากกว่า OpenLdap ด้วยตัวมันเองซึ่งเป็นแกนหลักของระบบไดเรกทอรีที่สมบูรณ์เท่านั้น

นอกจากนี้ยังมีApache Directory Serverซึ่งเป็นจาวาบริสุทธิ์และดูเหมือนว่าจะมีการพัฒนาอย่างแข็งขัน

niXar
แหล่งที่มา
0

เนื่องจากคุณไม่มีประสบการณ์ด้วยเช่นกันจะมีค่าใช้จ่าย (ส่วนใหญ่ตรงเวลา) ที่เกี่ยวข้องกับช่วงการเรียนรู้ จากมุมมองการบำรุงรักษาครั้งเดียวที่คุณต้องแตะ LDAP คือเมื่อคุณเพิ่ม / ลบบัญชีหรือแก้ไขแอตทริบิวต์ (การเปลี่ยนชื่อ / ที่อยู่) ทำได้ง่ายพอกับทั้งคู่ จากมุมมองการนำไปใช้งานนั้นเป็นไดเรกทอรีที่คุณต้องการให้มีเวลาที่ง่ายที่สุดในการสื่อสารกับลูกค้า: Active Directory นั้นง่ายกว่าเนื่องจากไคลเอนต์ Windows สามารถ 'พูดคุย' กับตัวควบคุมโดเมนและเอกสารประกอบเพื่อให้ Ubuntu / Linux อื่น ๆ รับรองความถูกต้องจาก AD พร้อมใช้งาน หากคุณต้องการให้ไคลเอนต์ Windows ของคุณสามารถรับรองความถูกต้องนอก openLDAP คุณจะต้องใช้เซิร์ฟเวอร์ SAMBA เพื่อรับการร้องขอ (openLDAP ไม่ได้ทำสิ่งนี้ตามธรรมชาติ)

เลื่อน
แหล่งที่มา
0

โฆษณานำเสนอสิ่งต่าง ๆ เช่นนโยบายกลุ่มและสิ่งการจัดการอื่น ๆ ที่คุณจะไม่ได้ง่ายด้วยโซลูชัน openLDAP เพียงแค่ติดตั้งการปรับใช้ Windows Server ขั้นพื้นฐานและรวมเข้ากับไคลเอนต์ XP / Vista / 7 และการรวมไคลเอนต์ Ubuntu ของปัญหาเทียบเคียงกับโฆษณาและ openLDAP

ผลิตภัณฑ์อย่าง Suse SLES และ Redhat Enterprise Server (หรือ CentOS) ทำให้การบูรณาการ Win และ Linux ง่ายกว่าพูดว่า Ubuntu หรือ Debian Servers แต่ก็ยังมีอีกมากที่ต้องเรียนรู้

หากค่าใช้จ่ายจะเป็นปัญหาคุณสามารถสร้างการตั้งค่าด้วย Linux และซอฟต์แวร์เพิ่มเติมบางอย่างเช่นนโยบายกลุ่ม Nitrobit ที่จะช่วยให้มีจำนวนฟังก์ชั่นที่เทียบเท่า แต่มีช่วงการเรียนรู้ที่สูงชัน

สเวน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.