Active Directory a OpenLDAP

16

To jest dla małej firmy (12 programistów), która nie wdrożyła żadnej scentralizowanej bazy danych użytkowników - rozwinęli się organicznie i właśnie utworzyli konta na komputerach zgodnie z potrzebami.

Z punktu widzenia zarządzania jest to koszmar - 10 komputerów z różnymi kontami użytkowników. Jeśli użytkownik zostanie dodany do jednego komputera, musi zostać ręcznie dodany do wszystkich pozostałych (do których musi uzyskać dostęp). To jest dalekie od ideału. Postęp i rozwój firmy będą oznaczać wykładniczo więcej pracy w miarę dodawania / zatrudniania większej liczby komputerów / użytkowników.

Wiem, że pewien rodzaj scentralizowanego zarządzania użytkownikami jest bardzo potrzebny. Jednak debatuję między Active Directory a OpenLDAP. Dwa obecne serwery działają jako proste serwery kopii zapasowych i udostępniania plików, oba z systemem Ubuntu 8.04LTS. Komputery to połączenie Windows XP i Ubuntu 9.04.

Nie mam doświadczenia z Active Directory (a tak naprawdę OpenLDAP pod tym względem, ale czuję się dobrze z Linuksem), ale jeśli jedno rozwiązanie przeważa nad drugim, to jest uzasadnione, że się tego nauczę.

Koszt początkowy nie jest tak naprawdę problemem, TCO jest. Jeśli Windows (SBS zakładam?) Pozwoli mi zaoszczędzić wystarczająco dużo czasu, aby nadrobić wzrost kosztów wstępnych, myślę, że powinienem wybrać to rozwiązanie.

Na jakie potrzeby powinienem patrzeć na wdrożenie?

edycja: e-mail jest hostowany poza witryną, więc wymiana nie jest konieczna.

Cory Plastek
źródło
1
Nie zapomnij o OpenDS, może być bardziej stabilny niż OpenLDAP.
Joshua

Odpowiedzi:

13

Trzymaj się open source, jeśli poprawnie czytam twoje pytanie:

  • Nie obchodzi Cię Exchange
  • Nie potrzebujesz dużej kontroli nad ustawieniami XP - uwielbiam zasady grupy, aby przede wszystkim uratować administratorów / sprzedawców przed sobą, programiści przede wszystkim potrzebują mnie, bym trzymał się z daleka
  • Z * nix jesteś wygodniejszy niż Windows

AD świetnie sobie radzi z zarządzaniem oknami w dobrym stopniu, ale jeśli tego nie potrzebujesz, kupujesz sobie krzywą uczenia się, która prawdopodobnie nie przyniesie wiele korzyści.

2 zastrzeżenia

  • Jeśli masz czas / zainteresowanie, aby popchnąć się bardziej po stronie stwardnienia rozsianego, jest to dobry sposób na zapewnienie tego.
  • WSUS to dobry sposób na kontrolowanie poprawek stacji roboczych / serwerów. Jeśli nie możesz po prostu przełączyć przełącznika „automatycznego” na wszystkich komputerach, może to przełożyć saldo na SBS (jeśli SBS robi WSUS?)
Kara Marfia
źródło
+1 dla „Czujesz się bardziej komfortowo z * nix niż Windows”, to dla mnie decydujący czynnik.
Maximus Minimus
1
SBS „robi” WSUS. WSUS 3.0 zainstaluje system Windows Server 2003 i nowsze wersje. Po tym, jak wykonałem sporo Samby w NT 4.0 dni, nie wyobrażam sobie powrotu, tak jak lubię. W końcu się zepsułem i kupiłem licencję na system Windows Server 2003 dla domu (gdzie używam Samby jako serwera od około 97 roku), ponieważ chciałem WSUS i zasad grupy (wszystko dla dwóch (2) laptopów i dwóch ( 2) komputery stacjonarne). Zasady grupy nie służą tylko do „blokowania pulpitów” - służą do wdrażania oprogramowania, dodawania / przenoszenia / zmian na PC całkowicie zautomatyzowanych oraz ogólnie do automatyzacji.
Evan Anderson
+1 za uznanie, że czuję się bardziej komfortowo z * nix niż Windows, nawet jeśli sam go szybko odrzuciłem. Właśnie z tym skończyłem z powodu braku funduszy. Odkrywanie OpenLDAP było wyzwaniem, ale powinno się opłacić.
Cory Plastek
Wspominasz, że na serwerach działa Ubuntu, ale masz stacje robocze z systemem Windows. Czy ma to związek z krajobrazem aplikacji, tj. Tylko wersjami niektórych programów dla Windows? Możesz mieć plan na przyszłość środowiska aplikacji i rozważyć również serwery * IX / Windows oparte na tym planie.
PdC
19

Dostaniesz wiele fajnych funkcji z Active Directory, których nie dostaniesz dzięki OpenLDAP. Najważniejsze z nich to zarówno logowanie jednokrotne (tj. Jedno konto użytkownika, które działa na wszystkich komputerach klienckich i serwerowych), jak i zasady grupy.

Uwielbiam oprogramowanie typu open source, ale dopóki Samba 4 nie dojrzeje, usługa Active Directory zapewnia najlepszą obsługę administracyjną w systemie Windows 2000 i nowszych komputerach klienckich.

Bez korzystania z oprogramowania innych firm nie ma uwierzytelniania LDAP opartego na standardach w przypadku klientów Windows XP. Przeczytaj moją odpowiedź tutaj: integracja Kerberos z Windows XP - doświadczenie w korzystaniu z OpenLDAP będzie bardzo podobne (z wyjątkiem tego, że będziesz potrzebował oprogramowania innej firmy, takiego jak pGINA, aby uwierzytelnianie LDAP działało): Jak uzyskać Windows XP, aby uwierzytelniał się przeciwko Kerberos lub Heimdal

To, czy zdecydujesz się na Windows Small Business Server, zależy od tego, co chcesz wydać (początkowy koszt i koszt licencji dostępu klienta dla SBS to więcej niż Windows „zwykły waniliowy”) i to, czy zyskasz na dodatkowym „ cechy". Wolę myśleć o Windows SBS jako o niedrogim pakiecie Windows i Exchange (z nadmiernie skomplikowaną konfiguracją i nieprzyzwoitymi narzędziami administracyjnymi, których nigdy nie używam.) Mam tendencję do administrowania Windows SBS jak „normalny” komputer z Windows i Exchange Server i działa bardzo dobrze jako takie.

Windows Server z Active Directory, Microsoft DHCP / DNS, WSUS (w celu dostarczania aktualizacji komputerom klienckim) i niektóre obiekty zasad grupy do obsługi konfigurowania środowisk użytkowników / komputerów i instalowania oprogramowania znacznie zmniejszą obciążenie administracyjne i ułatwią dodawanie przyszłych komputerów. Wymiana nie jest trudna do uruchomienia (największe problemy wiążą się z przepływem poczty z Internetu - tak wiele osób nie rozumie, jak działają DNS i SMTP).

Zakładając, że instalacja jest wykonywana przez kogoś, kto wie, co robią, i że wszystko traktujesz dobrze po fakcie, że będzie działać dobrze bez nadmiernego bólu administracyjnego. Odpisuję osoby, które narzekają na niewiarygodność Windows i Exchange, ponieważ zazwyczaj mają problemy, ponieważ albo (a) korzystały z gorszego sprzętu i płacą cenę w dłuższej perspektywie, albo (b) nie są kompetentne do administrowania oprogramowaniem. Mam instalacje systemu Windows SBS sięgające wstecz do ramy czasowej wersji 4.0, które działają dobrze po latach od instalacji - możesz też mieć taką.

Jeśli nie masz doświadczenia w korzystaniu z tych produktów, zalecam współpracę z renomowanym konsultantem w celu przeprowadzenia instalacji i rozpoczęcia samodzielnej administracji. Poleciłbym dobrą książkę, gdybym ją znał, ale byłem dość niezadowolony z prawie wszystkich, które przeczytałem (zazwyczaj wydaje się, że brakuje im prawdziwych przykładów i studiów przypadku).

Jest wielu konsultantów, którzy mogą niedrogo oderwać się od ziemi (konfiguracja, o której mówisz, zakładając, że sam wykonasz „masową” pracę, wydaje się, że około półtora do dwóch dni na dla mnie podstawowa instalacja systemu Windows i Exchange) i może pomóc Ci „nauczyć się lin”. Większość pracy włożą się w migrację istniejących środowisk użytkownika (migrację istniejących dokumentów i profili do profilu użytkownika mobilnego nowego konta AD i przekierowanie folderów „My Docuemnts” itp.), Jeśli zdecydujesz się to zrobić. (Zrobiłbym to tylko dlatego, że w dłuższej perspektywie sprawi, że użytkownicy będą szczęśliwsi i bardziej produktywni).

Powinieneś zaplanować jakieś urządzenie do tworzenia kopii zapasowych i oprogramowanie do zarządzania kopiami zapasowymi, komputer serwera z redundantnymi dyskami ( minimum RAID-1) i pewnego rodzaju ochronę zasilania (UPS). Oczekiwałbym, z niskim serwerem, kosztami licencjonowania i sprzętem do ochrony zasilania, który można dostać w drzwiach z Windows SBS za około 3500,00 - 4000,00 $. Osobiście zaleciłbym ci około 10–20 godzin pracy przygotowawczej, w zależności od tego, jak dobrze znasz swoje potrzeby i ile pracy chcesz nauczyć, a nie od instalatora.

Oto lista wysokiego poziomu typowych zadań instalacyjnych, które widzę w takim wdrożeniu:

  • Fizycznie skonfigurowany komputer serwera, UPS itp.
  • Zainstaluj Windows, Exchange, WSUS, usługi infrastrukturalne, dodatki Service Pack, oprogramowanie do zarządzania kopiami zapasowymi, oprogramowanie do zarządzania UPS itp.
  • Omów udostępnianie plików (uprawnienia, udostępnione lokalizacje plików, hierarchia katalogów).
  • Utwórz konta użytkowników (foldery profilu mobilnego, foldery „Moje dokumenty” itp.), Grupy zabezpieczeń, grupy dystrybucyjne, podstawowe obiekty zasad grupy.
  • Omów migrację istniejących danych e-mail i sformułuj strategię, zmiany w DNS, aby przynieść e-mail bezpośrednio do Exchange.
  • Omów migrację środowisk użytkowników na nowe konta AD. Opracuj procedurę migracji, jeśli szkolenie w zakresie przeprowadzania migracji jest pożądane.
  • Przeprowadzaj migrację pilotażową komputerów klienckich i profili użytkowników do domeny.
  • Omów codzienne zadania sysadmin (resetowanie hasła, zmiana członkostwa w grupach użytkowników, przeglądanie powiadomień o powodzeniu / niepowodzeniu tworzenia kopii zapasowej, monitorowanie WSUS i instalacji aktualizacji), omawianie typowych problemów, rozwiązywanie problemów i rozwiązywanie problemów, przeprowadzanie sesji pytań i odpowiedzi.
  • Przedstaw zalecenia dotyczące przyszłych działań (automatyzacja instalacji oprogramowania, łączności VPN itp.)
Evan Anderson
źródło
Korzystam z dwóch serwerów Ubuntu do obsługi kopii zapasowych (oba RAID 10) na UPSach. Dobrą książką, którą wybrałem, jest „Praktyka administracji systemem i siecią”
Cory Plastek
Książka Limoncelli jest OK, pamiętaj tylko, że to szkoła informatyki McDonald's (użytkownicy są klientami i muszą być zadowoleni z frytek z tego e-maila?) Podejście ITIL / MOF najpierw analizuje je z biznesu, użytkownicy są pomysł na efekt uboczny.
Jim B
3
Jestem trochę zaniepokojony słowem „RAID” w tak bliskiej odległości od słowa „kopie zapasowe” w powyższym zestawieniu. Nie można powiedzieć wystarczająco „RAID nie jest kopią zapasową”. Być może masz na myśli coś w rodzaju „Idę okresowo kopiować zawartość Windows Server na jeden z serwerów Ubuntu. „Nie będę się tutaj sprzeczać z religią, ale scharakteryzuję tę strategię jako nieoptymalną strategię tworzenia kopii zapasowych.
Evan Anderson
1
W rzeczywistości Samba 3 nadal zapewnia tylko usługi uwierzytelniania na poziomie NT ... Samba 4 wreszcie zapewni uwierzytelnianie na poziomie AD.
Avery Payne
@Avery: My bad-- masz rację, wersja: Samba! Jajko na mojej twarzy ...
Evan Anderson
4

OpenLDAP może być używany do sprawdzania haseł, ale jest to głównie scentralizowany sposób zarządzania tożsamościami. AD integruje ldap, kerberos, DNS i DHCP. Jest to znacznie bardziej wszechstronny system niż sam OpenLDAP.

Z punktu widzenia zarządzania można po prostu zainstalować AD na parze serwerów win2k3 i skierować na nią wszystkie systemy uniksowe i używać serwerów AD tylko do sprawdzania hasła. Bardzo trywialne jest, aby system uniksowy z pamięcią używał Kerberos do sprawdzania haseł i lokalnych plików haseł do autoryzacji. Nie jest tak dobra jak pełna integracja AD, ale jest także łatwa do wdrożenia.

zalety i wady integracji AD linux

używanie AD jako serwera Kerberos do uwierzytelniania lokalnych kont

Chris
źródło
1

Powinieneś także rzucić okiem na serwer katalogowy Fedory (który najwyraźniej jest teraz oficjalnie „serwerem katalogowym 389”), oparty na bazie kodów Netscape LDAP. Jest sprzedawany przez RedHat pod ich marką, a więc jest aktywnie utrzymywany. Pod pewnymi względami słyszałem, że jest ładniejszy niż OpenLDAP, chociaż sam nigdy z niego nie korzystałem. Prawdopodobnie jest bliżej AD pod względem funkcjonalności niż sam OpenLdap, który tak naprawdę jest jedynie rdzeniem w pełni rozwiniętego systemu katalogowego.

Istnieje również serwer Apache Directory Server , który jest czystą Javą i również wygląda na aktywnie rozwijany.

niXar
źródło
0

Ponieważ nie masz z nimi żadnego doświadczenia, pojawią się koszty (głównie czasowe) związane z krzywą uczenia się. Z punktu widzenia konserwacji jedyny raz, kiedy naprawdę musisz dotykać LDAP, jest dodawanie / usuwanie kont lub modyfikowanie ich atrybutów (zmiany nazwy / adresu). Można to zrobić dość łatwo w obu przypadkach. Z punktu widzenia implementacji jest to katalog, w którym chcesz mieć najłatwiejszy czas umożliwiający klientom komunikację: Active Directory jest łatwiejszy, ponieważ klienci Windows mogą natywnie „rozmawiać” z kontrolerami domeny i dokumentacją pozwalającą Ubuntu / innym linuksom na uwierzytelnianie z AD jest łatwo dostępne. Jeśli chcesz, aby klienci Windows mogli uwierzytelniać się poza openLDAP, będziesz potrzebować serwera SAMBA nasłuchującego żądań (openLDAP nie robi tego natywnie).

saneczki
źródło
0

AD oferuje takie zasady, jak zasady grupy i inne funkcje zarządzania, które nie będą łatwe z rozwiązaniem openLDAP, instalacja podstawowego wdrożenia systemu Windows Server i zintegrowanie go z klientami XP / Vista / 7 jest bardzo prosta, a integracja klientów Ubuntu jest o porównywalnym stopniu trudności z AD i openLDAP.

Produkty takie jak Suse SLES i Redhat Enterprise Server (lub CentOS) sprawiają, że integracja Win i Linux jest łatwiejsza niż, powiedzmy, Ubuntu lub Debian Servers, ale wciąż jest wiele do nauczenia się.

Jeśli koszt stanowiłby problem, możesz stworzyć konfigurację z Linuksem i dodatkowym oprogramowaniem, takim jak zasady Grupy Nitrobit, które pozwoliłyby na porównywalną funkcjonalność, ale z dużą krzywą uczenia się.

Sven
źródło