Các lựa chọn thay thế cho Active Directory

Có bất kỳ lựa chọn thay thế tốt cho thư mục hoạt động?

Để làm rõ, sau khi triển khai và duy trì nhiều trang web chỉ có Windows sử dụng Active Directory, tôi bắt đầu tự hỏi tại sao tôi không bao giờ nghĩ hai lần về việc sử dụng cái gì khác, ví dụ như Linux. Tôi hiểu rằng một sự thay thế đầy đủ tính năng có thể chưa tồn tại, nhưng ít nhất tôi đang tìm kiếm thứ gì đó đang khao khát trở thành thư mục hoạt động và làm việc hướng tới nó.

Likewise-Open giúp tích hợp các máy khách Linux và máy chủ thành viên vào một Active Directory hiện có khá đơn giản. Chúng tôi sử dụng nó trên một vài máy chủ Ubuntu cho NAS - vừa được nâng cấp lên Jaunty và nó hoạt động rất tốt, mặc dù chúng tôi bị mắc kẹt với gói mở tương tự (4.x) thay vì tương tự open5, vì có một số thay đổi mới nhất phiên bản mà chúng tôi chưa tìm ra hoàn toàn. Cụ thể, Likewise lấy một số chi phí và cấu hình ra khỏi thiết lập krb5 / pam / winbind / samba. Giả sử cơ chế xác thực của nó cũng hiệu quả hơn, nhưng đây không phải là điều mà chúng tôi thực sự nhận thấy.

Ngoài ra, Samba 4 được chờ đợi từ lâu được cho là sẽ xuất hiện trong tương lai không xa, và hứa hẹn một số cải tiến về khả năng tương tác như hỗ trợ Chính sách nhóm, có thể đáng để theo dõi.

Tôi ngạc nhiên không ai nhắc đến eDirectory của Novell . Nó đã được khoảng từ năm 1993 (Tất nhiên nếu được gọi là NDS trước đó). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos sẽ là lựa chọn duy nhất khác mà tôi xem xét.

OpenLDAP có thể thực hiện phần xác thực của thư mục hoạt động. Tôi không tin rằng có một sự thay thế cho chính sách nhóm tuy nhiên trên Windows.

Nó có thể hữu ích nếu bạn giải thích chính xác những gì bạn không thích về Active Directory và tại sao bạn lại cố gắng tránh nó, tôi cho là chi phí?

OSX Server cung cấp một ngăn xếp nguồn mở tích hợp để thay thế thư mục hoạt động dựa trên OpenLDAP. Đây không phải là cách dễ nhất để khởi động và chạy nhưng 99% có thể được thực hiện thông qua GUI và nếu bạn đã có trải nghiệm về AD thì điều đó khá đơn giản.

Plus Apple cung cấp hỗ trợ để khởi động, chạy và định cấu hình trong trường hợp bạn gặp khó khăn :)

Nếu bạn đang tìm kiếm thứ gì đó trong lĩnh vực SOHO, thì "Máy chủ SME" có thể thực hiện thủ thuật.

http://wiki.contribs.org

Gần đây tôi đã tìm thấy nó và đã chơi với nó trên một hộp thử nghiệm. Có vẻ khá vững chắc.

Nó sẽ chăm sóc tất cả những thứ bình thường; chia sẻ tập tin / in, web, email và NAT.

Nó cũng sẽ hoạt động như một PDC kiểu NT cũ.

Một đánh giá đẹp có thể được tìm thấy ở đây http://www.theregister.co.uk/2010/11/17/review_sme_server/

Nó phụ thuộc chủ yếu vào việc Windows có tham gia với tư cách là người tiêu dùng AD hay không. Nếu không, có hàng tá công nghệ để thực hiện các phần độc lập của AD:

• LDAP / Kerberos: Xác thực và dữ liệu người dùng
• BIND / ldap2dns / djbdns: Đặt tên miền DNS
• cengine / con rối: phân phối và thực thi chính sách nhóm (một ngày nào đó chúng cũng có thể chạy trên windows)

Nhưng đây là thỏa thuận: Windows không thể dễ dàng tiêu thụ bất cứ thứ gì trừ AD, vì vậy bạn bị mắc kẹt. Ôm, mở rộng, dập tắt.

Thứ hai về eDirectory. Nó làm mọi thứ mà AD có thể, nhưng có khả năng mở rộng và tuân thủ các tiêu chuẩn hơn nhiều và nó chạy trên một số hương vị của * nix.

Câu trả lời ngắn gọn là Không.

Không có dự án nào từng nhận được bất kỳ lực kéo nào về tham vọng trở thành một sự thay thế hoàn toàn AD. AD là một hệ sinh thái với cốt lõi là cốt lõi, những thứ như bảo mật, trao đổi, DNS, GPO là các nhánh của điều này và lần lượt chúng được đan xen với Office, Sharepoint, SQL, Outlook, v.v. Hầu hết các dự án ngoài kia chỉ là thay thế hoặc bản sao của các nhánh riêng lẻ và hầu hết chỉ để các hệ thống không có cửa sổ có thể kết nối với các mạng windows.

Bạn có thể tham gia các máy windows để đến cõi Kerberos. Khi bạn làm điều này, bạn sẽ mất phần còn lại của thư mục hoạt động. Nó không giống như cấu hình một máy Unix để sử dụng một lĩnh vực.

Nhược điểm lớn nhất là máy không tự động đặt lại mật khẩu. Và các nhóm. Và chính sách. Và, tốt, phần còn lại của kinh nghiệm quản lý cửa sổ.

Đây là một liên kết về cách làm điều đó, mặc dù ...

http://technet.microsoft.com/en-us/l Library / bb742433.aspx #EDAA

Bạn có thể làm cho OpenLDAP / Samba / Kerberos hoạt động, nhưng đó không phải là điều dễ nhất để làm. Có rất nhiều cấu hình bạn sẽ phải trải qua, lớn hơn đáng kể so với thời gian cần thiết để đứng lên hai máy chủ Windows và biến chúng thành DC và hoạt động với miền Active Directory. Và như đã chỉ ra, nhận GPO và một số tính năng khác (máy chủ DHCP có thẩm quyền, DNS tích hợp Active Directory, Active Directory Kerberos hỗ trợ các chính sách IPSEC, tích hợp Exchange / OCS, v.v.).

Tôi đã có một số kinh nghiệm tốt với Kaseya. Nó rất nặng kịch bản nhưng nó cung cấp một trình soạn thảo đẹp với nhiều tùy chọn. nó chạy một tác nhân trên máy, vì vậy về cơ bản bạn có thể làm bất cứ điều gì mà thư mục hoạt động có thể làm, từ thay đổi mật khẩu đến đẩy ra chính sách.

Có rất nhiều trang web trao đổi được lưu trữ trên internet cũng giải quyết các vấn đề về email.