Active Directory vs OpenLDAP

16

Questo è per una piccola azienda (12 sviluppatori) che non ha implementato alcun database utente centralizzato: sono cresciuti organicamente e hanno appena creato account sui computer di cui avevano bisogno.

Da un punto di vista gestionale, è un incubo: 10 computer tutti con account utente diversi. Se un utente viene aggiunto a un computer, devono essere aggiunti manualmente su tutti gli altri (a cui devono accedere). Questo è tutt'altro che ideale. Andare avanti e far crescere l'azienda significherà esponenzialmente più lavoro man mano che verranno aggiunti / assunti più computer / utenti.

So che è assolutamente necessario un tipo di gestione centralizzata degli utenti. Tuttavia, sto discutendo tra Active Directory e OpenLDAP. Due server attuali funzionano come semplici server di backup e condivisione file, entrambi con Ubuntu 8.04LTS. I computer sono un mix di Windows XP e Ubuntu 9.04.

Non ho esperienza con Active Directory (o davvero OpenLDAP per quella materia, ma sono a mio agio con Linux), ma se una soluzione supera l'altra, è garantito che io lo impari.

Il costo iniziale non è davvero un problema, lo è il TCO. Se Windows (SBS sto assumendo?) Mi farà risparmiare abbastanza tempo per compensare l'aumento dei costi iniziali, allora penso che dovrei andare con quella soluzione.

Per le mie esigenze, quale soluzione dovrei cercare di implementare?

modifica: l' email è ospitata fuori sede, quindi Exchange non è necessario.

ubuntu  active-directory  openldap  small-business 
Cory Plastek
fonte
1
Non dimenticare OpenDS, potrebbe essere più stabile di OpenLDAP.
Joshua,

Risposte:

13

Attenersi all'open-source, se sto leggendo correttamente la tua domanda:

  • Non ti importa di Exchange
  • Non hai un enorme bisogno di un controllo minuto delle impostazioni di XP: adoro la politica di gruppo principalmente per salvare il personale di amministrazione / vendita da se stessi, gli sviluppatori per lo più hanno bisogno di me per stare lontano dai loro capelli
  • Sei più a tuo agio con * nix rispetto a Windows

AD è in grado di gestire Windows in modo soddisfacente, ma se non ne hai bisogno, ti stai comprando una curva di apprendimento che probabilmente non porterà grandi benefici.

2 avvertenze

  • Se hai il tempo / l'interesse per spingerti di più dal lato della SM, questo è un buon modo per farlo.
  • WSUS è un buon modo per controllare le patch di workstation / server. Se non riesci semplicemente a invertire l'interruttore "automatico" su tutte le macchine, questo potrebbe portare il saldo su SBS (se SBS fa WSUS?)
Kara Marfia
fonte
+1 per "Sei più a tuo agio con * nix rispetto a Windows", questo per me è il fattore decisivo.
Maximus Minimus,
1
SBS "fa" WSUS. WSUS 3.0 installa Windows Server 2003 e versioni successive. Avendo fatto una buona quantità di Samba nei giorni NT 4.0, non riesco a immaginare di tornarci, per quanto mi piaccia. Alla fine mi sono rotto e ho acquistato una licenza per Windows Server 2003 per la casa (dove uso Samba come server dal '97) perché volevo WSUS e criteri di gruppo (tutti per due (2) laptop e due ( 2) PC desktop). I criteri di gruppo non sono solo per "bloccare i desktop", ma anche per distribuire software, rendere le operazioni di aggiunta / spostamento / modifica del PC completamente automatiche e, in generale, automatizzare l'inferno.
Evan Anderson,
+1 per riconoscere che mi sento più a mio agio con * nix di Windows, anche se sono stato veloce a scartarlo da solo. Questo è quello che ho finito per mancanza di fondi. Capire OpenLDAP è stata una sfida, ma dovrebbe pagare.
Cory Plastek,
Dici che i server eseguono Ubuntu ma che hai delle workstation che eseguono Windows. Ciò ha a che fare con il panorama delle applicazioni, ovvero solo versioni Windows di determinati software? Potresti voler avere un piano per il futuro del panorama delle applicazioni e prendere in considerazione anche i server * IX / Windows basati su quel piano.
PdC,
19

Avrai molte funzionalità interessanti da Active Directory che non ottieni con OpenLDAP. Il principale tra questi è il single sign-on (ovvero un account utente che funziona su tutti i computer client e server) e Criteri di gruppo.

Adoro il software open source, ma fino alla scadenza di Samba 4, Active Directory offre la migliore esperienza amministrativa con Windows 2000 e computer client più recenti.

Senza l'utilizzo di software di terze parti non esiste un'autenticazione LDAP basata su standard con client Windows XP. Leggi la mia risposta qui su: Integrazione Kerberos con Windows XP: l'esperienza con OpenLDAP sarà molto simile (tranne per il fatto che avrai bisogno di software di terze parti come pGINA in anticipo per far funzionare l'autenticazione LDAP): Come fare in modo che Windows XP esegua l' autenticazione Kerberos o Heimdal

L'utilizzo o meno di Windows Small Business Server dipende da ciò che si desidera spendere (il costo iniziale e il costo delle licenze di accesso client per SBS sono più che semplici "Windows vanilla") e se si otterrà valore dall'addizionale " Caratteristiche". Preferisco pensare a Windows SBS come a un pacchetto economico di Windows ed Exchange (con un'installazione eccessivamente complicata e strumenti di amministrazione rozzi che non uso mai.) Tendo ad amministrare Windows SBS come una "normale" macchina Windows ed Exchange Server, e funziona molto bene come tale.

Un server Windows con Active Directory, Microsoft DHCP / DNS, WSUS (per fornire aggiornamenti ai computer client) e alcuni oggetti Criteri di gruppo per gestire la configurazione di ambienti utente / computer e l'installazione di software alleggeriranno notevolmente il carico amministrativo e semplificheranno l'aggiunta di computer futuri. Lo scambio non è così difficile da avviare (i maggiori problemi sono legati al flusso della posta da Internet, quindi molte persone non sembrano capire come DNS e SMTP lavorano insieme).

Supponendo che l'installazione venga eseguita da qualcuno che sa cosa stanno facendo e che trattate bene tutto dopo il fatto che funzionerà bene per voi con un sacco di mal di testa amministrativo. Annullo le persone che lamentano l'irregolarità di Windows e Exchange, perché in genere stanno avendo problemi perché (a) hanno utilizzato hardware inferiore e stanno pagando il prezzo nel lungo periodo, oppure (b) non sono competenti per amministrare il software. Ho installazioni di Windows SBS che risalgono al periodo di tempo della versione 4.0 che sono in esecuzione ben anni dopo l'installazione: puoi averne anche una.

Se non hai alcuna esperienza con questi prodotti, ti consiglio di collaborare con un consulente affidabile per eseguire l'installazione e iniziare con l'autosufficienza nell'amministrazione. Consiglierei un buon libro se ne conoscessi uno, ma sono stato abbastanza scontento di quasi tutti quelli che ho letto (sembra che manchino tutti esempi di casi reali e casi studio, in genere).

Ci sono molti consulenti che possono farti decollare a buon mercato (la configurazione di cui stai parlando, supponendo che farai il lavoro "in blocco" da solo, ti senti circa un giorno e mezzo o due giorni per un installazione di Windows ed Exchange di base, per me) e può aiutarti a "imparare le corde". La maggior parte della manodopera investirà nella migrazione degli ambienti utente esistenti (migrazione dei documenti e dei profili esistenti nelle loro profili utente in roaming del nuovo account AD e reindirizzamento delle cartelle "Documenti personali", ecc.) Se si sceglie di farlo. (Vorrei, solo perché renderà gli utenti più felici e più produttivi nel lungo periodo.)

È necessario pianificare un tipo di dispositivo di backup e software di gestione del backup, un computer server con dischi ridondanti ( RAID-1 minimo ) e un tipo di protezione dell'alimentazione (UPS). Mi aspetterei, con un server di fascia bassa, i costi di licenza e l'hardware di protezione dell'alimentazione che potresti ottenere con Windows SBS per circa $ 3500,00 - $ 4000,00. Personalmente, ti specificherei per circa 10-20 ore di lavoro di installazione, a seconda di quanto tu abbia familiarità con le tue esigenze e di quanta parte del lavoro che vuoi che ti venga insegnato a fare, piuttosto che farlo fare all'installatore.

Ecco un elenco di alto livello dei tipi tipici di attività di installazione che vedo in una distribuzione come la tua:

  • Configurare fisicamente il server, l'UPS, ecc.
  • Installa Windows, Exchange, WSUS, servizi di infrastruttura, service pack, software di gestione backup, software di gestione UPS, ecc.
  • Discutere della condivisione di file (autorizzazioni, posizioni dei file condivisi, gerarchia di directory).
  • Creare account utente (cartelle dei profili mobili, cartelle "Documenti", ecc.), Gruppi di sicurezza, gruppi di distribuzione, oggetti Criteri di gruppo di base.
  • Discutere della migrazione dei dati di posta elettronica esistenti e formulare la strategia, le modifiche al DNS per portare la posta elettronica direttamente su Exchange.
  • Discutere della migrazione degli ambienti utente su nuovi account AD. Sviluppare la procedura per la migrazione se si desidera la formazione per eseguire la migrazione.
  • Eseguire la migrazione / i pilota / i di computer client e profili utente nel dominio.
  • Discutere delle attività quotidiane del sysadmin (reimpostazioni della password, modifica delle appartenenze ai gruppi di utenti, revisione delle notifiche di esito positivo / negativo del backup, monitoraggio di WSUS e aggiornamento dell'installazione), discussione di problemi comuni, risoluzione dei problemi e risoluzione, conduzione di sessioni di domande e risposte.
  • Fornire raccomandazioni per attività future (automazione delle installazioni di software, connettività VPN, ecc.)
Evan Anderson
fonte
Sto usando i due server Ubuntu per gestire i backup (entrambi RAID 10) su UPS. Il buon libro che ho preso è "The Practice of System and Network Administration"
Cory Plastek,
Il libro di Limoncelli è OK, tieni presente che questa è la scuola di gestione IT di McDonald's (gli utenti sono clienti e devono essere mantenuti felici con questa e-mail?) Un approccio ITIL / MOF lo considera da un business prima, gli utenti sono un idea di effetto collaterale.
Jim B,
3
Sono un po 'turbato dalla parola "RAID" in così stretta vicinanza alla parola "backup" nella tua dichiarazione sopra. Non si può dire abbastanza "RAID non è un backup". Forse vuoi dire qualcosa come "Sto andando per copiare periodicamente il contenuto di Windows Server su uno dei server Ubuntu. "Qui non entrerò in un rant religioso, ma caratterizzerei quella strategia come una strategia di backup non ottimale.
Evan Anderson,
1
In realtà, Samba 3 fornisce ancora solo servizi di autenticazione a livello NT ... Samba 4 fornirà infine l'autenticazione a livello AD.
Avery Payne,
@Overy: Mio cattivo-- hai ragione riguardo: la versione di Samba! Uovo sulla mia faccia ...
Evan Anderson,
4

OpenLDAP può essere usato per controllare le password ma è principalmente un modo centralizzato per gestire le identità. AD integra ldap, kerberos, DNS e DHCP. È un sistema molto più completo di OpenLDAP da solo.

Dal punto di vista della gestione, è possibile semplicemente installare AD su una coppia di server win2k3 e puntare tutti i sistemi unix su di esso e utilizzare i server AD solo per il controllo della password. È super banale fare in modo che un sistema unix con pam usi kerberos per il controllo della password e file di password locali per l'autorizzazione. Non è buono quanto la piena integrazione AD ma è anche banale da implementare.

pro e contro dell'integrazione di AD linux

utilizzando AD come server Kerberos per autenticare gli account locali

Chris
fonte
1

Dovresti anche dare un'occhiata al server di directory Fedora (che apparentemente ora è ufficialmente "389 directory server"), basato sulla base di codice LDAP di Netscape. È venduto da RedHat con il loro marchio e quindi è attivamente mantenuto. Ho sentito che è più bello di OpenLDAP per alcuni aspetti, anche se non l'ho mai usato da solo. Probabilmente è più vicino all'AD in termini di funzionalità rispetto a OpenLdap da solo, che è in realtà solo il nucleo di un sistema di directory completo.

C'è anche Apache Directory Server , che è puro Java e sembra anche che sia sviluppato attivamente.

Nixar
fonte
0

Dato che non hai esperienza con nessuno dei due, ci saranno costi (principalmente nel tempo) associati alla curva di apprendimento. Dal punto di vista della manutenzione, l'unica volta in cui devi davvero toccare LDAP è quando aggiungi / rimuovi account o modifichi i loro attributi (cambiamenti di nome / indirizzo). Questo è fatto abbastanza facilmente con entrambi. Dal punto di vista dell'implementazione, è la directory che si desidera essere in grado di avere il tempo più semplice permettendo ai client di comunicare: Active Directory è più semplice poiché i client Windows possono "parlare" in modo nativo con controller di dominio e documentazione per consentire a Ubuntu / altri Linux di autenticare da AD è prontamente disponibile. Se vuoi che i tuoi client Windows siano in grado di autenticarsi da openLDAP, avrai bisogno di un server SAMBA che ascolti le richieste (openLDAP non lo fa in modo nativo).

slitta
fonte
0

AD offre cose come Criteri di gruppo e altre cose di gestione che non otterrai molto facili con una soluzione openLDAP, è semplicissimo installare una distribuzione di base di Windows Server e integrarla con client XP / Vista / 7 e l'integrazione dei client Ubuntu è di difficoltà comparabile con AD e openLDAP.

Prodotti come Suse SLES e Redhat Enterprise Server (o CentOS) rendono l'integrazione di Win e Linux più semplice di, diciamo Ubuntu o Debian Server, ma è ancora molto da imparare.

Se il costo fosse un problema, potresti creare una configurazione con Linux e alcuni software aggiuntivi, come i criteri del gruppo Nitrobit, che consentirebbero una quantità comparabile di funzionalità, ma con una curva di apprendimento ripida.

Sven
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.