Alternative ad Active Directory

Esistono buone alternative per active directory?

Per chiarire, dopo aver distribuito e mantenuto molti siti solo per Windows utilizzando tutti Active Directory, ho iniziato a chiedermi perché non avevo mai pensato due volte all'utilizzo di qualcos'altro, ad esempio Linux. Capisco che potrebbe non esistere ancora un'alternativa completa, ma almeno sto cercando qualcosa che aspira ad essere directory attiva e ci sto lavorando.

Allo stesso modo, Open semplifica l'integrazione di client Linux e server membri in una Active Directory esistente. Lo usiamo su un paio di server Ubuntu per NAS - appena aggiornato a Jaunty e funziona benissimo, anche se siamo rimasti bloccati con il pacchetto likewise-open (4.x) piuttosto che allo stesso modo-open5, poiché ci sono alcune modifiche nel più recente versione che non abbiamo capito completamente. In particolare, allo stesso modo prende un po 'dell'overhead e della configurazione dall'impostazione krb5 / pam / winbind / samba. Presumibilmente anche il suo meccanismo di autenticazione è più efficiente, ma questo non è qualcosa che abbiamo davvero notato.

Inoltre, si prevede che il tanto atteso Samba 4 arriverà in un futuro non troppo lontano e promette che valga la pena rimanere sintonizzati su una serie di miglioramenti dell'interoperabilità come il supporto di Criteri di gruppo.

Sono sorpreso che nessuno abbia menzionato l' eDirectory di Novell . È in circolazione dal 1993 (ovviamente se all'epoca si chiamava NDS). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos sarebbe l'unica altra opzione che prenderei in considerazione.

OpenLDAP può eseguire la parte di autenticazione di active directory. Non credo che ci sia un sostituto per i criteri di gruppo su Windows.

Potrebbe essere utile se spiegassi cosa non ti piace esattamente di Active Directory e perché stai tentando di evitarlo, presumo il costo?

OSX Server fornisce uno stack open source integrato per sostituire la directory attiva basata su OpenLDAP. Non è il modo più semplice per iniziare e funzionare, ma il 99% può essere fatto tramite la GUI e se hai esperienza AD è abbastanza semplice.

Inoltre, Apple fornisce supporto per avviare, eseguire e configurare le cose nel caso in cui rimanga bloccato :)

Se stai cercando qualcosa nell'arena SOHO, allora "SME Server" potrebbe fare il trucco.

http://wiki.contribs.org

L'ho trovato di recente e ci ho giocato su una scatola di prova. Sembra abbastanza solido.

Si occuperà di tutte le cose normali; condivisione file / stampa, web, e-mail e NAT.

Funzionerà anche come un vecchio PDC in stile NT.

Una bella recensione può essere trovata qui http://www.theregister.co.uk/2010/11/17/review_sme_server/

Dipende principalmente dal fatto che Windows sia coinvolto come consumatore AD. In caso contrario, ci sono decine di tecnologie per soddisfare parti indipendenti di AD:

• LDAP / Kerberos: autenticazione e dati utente
• BIND / ldap2dns / djbdns: denominazione del dominio DNS
• cfengine / puppet: distribuzione e applicazione delle policy di gruppo (un giorno potrebbero funzionare anche su Windows)

Ma ecco il problema: Windows non può facilmente consumare altro che AD, quindi sei bloccato. Abbraccia, Estendi, Estingui.

Secondo su eDirectory. Fa tutto ciò che è in grado di offrire AD, ma è molto più scalabile e conforme agli standard e funziona su diverse versioni di * nix.

La risposta breve è No.

Nessun progetto ha mai avuto alcun tipo di trazione sull'aspirare a sostituire completamente l'AD. AD è un ecosistema con se stesso come nucleo, cose come sicurezza, scambio, DNS, GPO ne sono i rami e questi a loro volta si intrecciano con Office, Sharepoint, SQL, Outlook, ecc. La maggior parte dei progetti che sono là fuori sono solo sostituzioni o le repliche dei singoli rami e soprattutto solo per i sistemi non Windows possono legarsi alle reti Windows.

È possibile unire i computer Windows ai regni Kerberos. Quando lo fai, perdi il resto di ciò che fa active directory. Non è diverso da configurare una macchina Unix per usare un regno.

Il più grande svantaggio è che la macchina non reimposta automaticamente la sua password. E gruppi. E politica. E, bene, il resto dell'esperienza di gestione di Windows.

Ecco un link su come farlo, sebbene ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Puoi far funzionare OpenLDAP / Samba / Kerberos, ma non è la cosa più semplice da fare. C'è molta configurazione che dovrete attraversare che è significativamente maggiore del tempo necessario per alzare in piedi due server Windows e renderli controller di dominio ed essere operativi con un dominio Active Directory. E come indicato, ottenere oggetti Criteri di gruppo e alcune delle altre funzionalità (server DHCP autorevoli, DNS integrato in Active Directory, criteri IPSEC supportati da Kerberos di Active Directory, integrazione Exchange / OCS, ecc.).

Ho avuto delle belle esperienze con Kaseya. È molto pesante, ma offre un editor piacevole con molte opzioni. esegue un agente sulla macchina, quindi puoi praticamente fare tutto ciò che Active Directory potrebbe fare, dalla modifica delle password alla diffusione della politica.

Ci sono tonnellate di siti di scambio ospitati su Internet che risolvono anche problemi di posta elettronica.