Thư mục hoạt động so với OpenLDAP

Đây là một công ty nhỏ (12 nhà phát triển) đã không triển khai bất kỳ cơ sở dữ liệu người dùng tập trung nào - họ đã phát triển một cách hữu cơ và chỉ tạo tài khoản trên máy tính khi họ cần.

Từ quan điểm quản lý, đó là một cơn ác mộng - 10 máy tính tất cả có tài khoản người dùng khác nhau. Nếu người dùng được thêm vào một máy tính, họ cần được thêm thủ công vào tất cả các máy tính khác (mà họ cần truy cập). Điều này là xa lý tưởng. Tiến về phía trước và phát triển doanh nghiệp sẽ có nghĩa là làm việc theo cấp số nhân hơn khi nhiều máy tính / người dùng được thêm / thuê.

Tôi biết rằng một số loại quản lý người dùng tập trung là vô cùng cần thiết. Tuy nhiên, tôi đang tranh luận giữa Active Directory và OpenLDAP. Hai máy chủ hiện tại hoạt động như các máy chủ sao lưu và chia sẻ tệp đơn giản, cả hai đều chạy Ubuntu 8.04LTS. Các máy tính là sự pha trộn giữa Windows XP và Ubuntu 9.04.

Tôi không có kinh nghiệm với Active Directory (hoặc thực sự là OpenLDAP cho vấn đề đó, nhưng tôi cảm thấy thoải mái với Linux), nhưng nếu một giải pháp vượt trội hơn giải pháp kia thì tôi chắc chắn rằng tôi học được điều đó.

Chi phí trả trước không thực sự là một vấn đề, TCO là. Nếu Windows (SBS tôi giả sử?) Sẽ tiết kiệm cho tôi đủ thời gian để bù cho chi phí trả trước tăng, thì tôi nghĩ tôi nên đi với giải pháp đó.

Đối với nhu cầu của tôi, tôi nên xem xét giải pháp nào?

chỉnh sửa: Email được lưu trữ ngoài trang web, vì vậy Exchange không cần thiết.

Tiếp tục với nguồn mở, nếu tôi đang đọc chính xác câu hỏi của bạn:

• Bạn không quan tâm đến trao đổi
• Bạn không có nhu cầu lớn về kiểm soát phút đối với cài đặt XP - Tôi yêu chính sách nhóm chủ yếu là để cứu quản trị viên / nhân viên bán hàng khỏi chính họ, các nhà phát triển chủ yếu cần tôi tránh xa mái tóc của họ
• Bạn thấy thoải mái hơn với * nix so với windows

AD rất giỏi trong việc quản lý các cửa sổ ở mức độ tốt, nhưng nếu bạn không cần điều đó, bạn sẽ tự mua cho mình một đường cong học tập có thể sẽ không mang lại nhiều lợi ích.

2 hãy cẩn thận

• Nếu bạn có thời gian / sở thích để thúc đẩy bản thân nhiều hơn về phía MS, đây là một cách tốt để cung cấp điều đó.
• WSUS là một cách tốt để kiểm soát các bản vá máy trạm / máy chủ. Nếu bạn không thể bật công tắc "tự động" trên tất cả các máy, điều này có thể đẩy số dư sang SBS (nếu SBS có WSUS?)

Bạn sẽ nhận được rất nhiều tính năng hay từ Active Directory mà bạn không có với OpenLDAP. Đứng đầu trong số họ là cả hai đăng nhập một lần (tức là một tài khoản người dùng hoạt động trên tất cả các máy khách và máy chủ) và Chính sách nhóm.

Tôi yêu phần mềm nguồn mở, nhưng cho đến khi Samba 4 đáo hạn, Active Directory cung cấp trải nghiệm quản trị tốt nhất với Windows 2000 và các máy khách mới hơn.

Không sử dụng phần mềm của bên thứ ba, sẽ không có xác thực LDAP dựa trên tiêu chuẩn với các máy khách Windows XP. Đọc lại câu trả lời của tôi ở đây: Tích hợp Kerberos với Windows XP-- trải nghiệm sử dụng OpenLDAP sẽ rất giống nhau (ngoại trừ việc bạn sẽ cần phần mềm của bên thứ ba như pGINA trước để thực hiện xác thực LDAP): Cách lấy windows xp để xác thực kerberos hoặc heimdal

Việc có đi cùng với Windows Small Business Server hay không phụ thuộc vào số tiền bạn muốn chi tiêu (chi phí ban đầu và chi phí giấy phép truy cập máy khách cho SBS nhiều hơn Windows "vanilla") và liệu bạn có nhận được giá trị bổ sung hay không đặc trưng". Tôi thích nghĩ về Windows SBS như một gói Windows và Exchange rẻ tiền (với một công cụ quản trị phức tạp và thiết lập quá phức tạp mà tôi không bao giờ sử dụng.) Tôi có xu hướng quản trị Windows SBS như một máy Windows và Exchange Server "bình thường", và nó hoạt động rất tốt như vậy.

Máy chủ Windows có Active Directory, Microsoft DHCP / DNS, WSUS (để cung cấp các bản cập nhật cho máy khách) và một số đối tượng Chính sách nhóm để xử lý cấu hình môi trường người dùng / máy tính và cài đặt phần mềm sẽ giúp giảm tải rất nhiều cho quản trị viên của bạn. Trao đổi không khó để bắt đầu và chạy (vấn đề lớn nhất liên quan đến việc chuyển thư của bạn đến Internet - vì vậy nhiều người dường như không hiểu làm thế nào DNS và SMTP hoạt động cùng nhau).

Giả sử cài đặt của bạn được thực hiện bởi một người biết họ đang làm gì và bạn đối xử tốt với mọi thứ sau thực tế, nó sẽ chạy tốt cho bạn khi bạn bị đau đầu hành chính. Tôi loại bỏ những người than phiền về sự không đáng tin cậy của Windows và Exchange, bởi vì thông thường họ đang gặp vấn đề vì họ (a) sử dụng phần cứng kém hơn và đang trả giá trong thời gian dài, hoặc (b) không đủ khả năng quản trị phần mềm. Tôi có các bản cài đặt Windows SBS hoàn toàn quay lại khung thời gian 4.0 đang hoạt động tốt sau nhiều năm cài đặt - bạn cũng có thể có một bản.

Nếu bạn không có bất kỳ kinh nghiệm nào với các sản phẩm này, tôi khuyên bạn nên làm việc với một chuyên gia tư vấn có uy tín để thực hiện cài đặt và giúp bạn bắt đầu tự chủ về quản trị. Tôi muốn giới thiệu một cuốn sách hay nếu tôi biết, nhưng tôi khá khó chịu với gần như tất cả những cuốn sách mà tôi đã đọc (tất cả chúng dường như đều thiếu các ví dụ thực tế và nghiên cứu trường hợp điển hình).

Có rất nhiều chuyên gia tư vấn có thể giúp bạn rời khỏi mặt đất một cách rẻ tiền (thiết lập mà bạn đang nói đến, giả sử rằng bạn sẽ tự mình làm công việc "số lượng lớn", cảm giác như khoảng một ngày rưỡi đến hai ngày trong một cài đặt Windows và Exchange cơ bản, với tôi) và có thể giúp bạn "tìm hiểu các sợi dây". Phần lớn lao động sẽ chuyển sang môi trường người dùng hiện tại của bạn (di chuyển các tài liệu và hồ sơ hiện có của họ vào hồ sơ người dùng chuyển vùng của tài khoản AD mới của họ và chuyển hướng các thư mục "Tài liệu của tôi", v.v.) nếu bạn chọn làm điều đó. (Tôi sẽ, chỉ vì nó sẽ làm cho người dùng hạnh phúc hơn và hiệu quả hơn trong thời gian dài.)

Bạn nên lập kế hoạch cho một số loại thiết bị sao lưu và phần mềm quản lý sao lưu, máy tính máy chủ có đĩa dự phòng ( tối thiểu RAID-1) và một số loại bảo vệ nguồn (UPS). Tôi mong đợi, với một máy chủ cấp thấp, chi phí cấp phép và phần cứng bảo vệ nguồn mà bạn có thể có trong cửa với Windows SBS với giá khoảng $ 3500,00 - $ 4000,00. Cá nhân, tôi cho bạn biết khoảng 10 - 20 giờ lao động thiết lập, tùy thuộc vào mức độ quen thuộc của bạn với nhu cầu của bạn và mức độ công việc bạn muốn được dạy, so với việc trình cài đặt thực hiện.

Đây là danh sách cấp cao về các loại tác vụ cài đặt điển hình mà tôi thấy trong một triển khai như của bạn:

• Thiết lập vật lý máy tính máy chủ, UPS, v.v.
• Cài đặt Windows, Exchange, WSUS, dịch vụ cơ sở hạ tầng, gói dịch vụ, phần mềm quản lý sao lưu, phần mềm quản lý UPS, v.v.
• Thảo luận về chia sẻ tệp (quyền, vị trí tệp được chia sẻ, phân cấp thư mục).
• Tạo tài khoản người dùng (thư mục hồ sơ chuyển vùng, thư mục "Tài liệu của tôi", v.v.), nhóm bảo mật, nhóm phân phối, GPO cơ bản.
• Thảo luận về việc di chuyển dữ liệu email hiện có và xây dựng chiến lược, thay đổi DNS để đưa email trực tiếp đến Exchange.
• Thảo luận về việc di chuyển môi trường người dùng sang tài khoản AD mới. Xây dựng quy trình di chuyển nếu muốn đào tạo để thực hiện di chuyển.
• Thực hiện di chuyển thử nghiệm (các) máy tính khách và hồ sơ người dùng vào miền.
• Thảo luận về các tác vụ sysadmin hàng ngày (đặt lại mật khẩu, thay đổi tư cách thành viên nhóm người dùng, xem lại thông báo thành công / thất bại sao lưu, giám sát WSUS và cài đặt cập nhật), thảo luận về các vấn đề phổ biến, khắc phục sự cố và giải quyết, tiến hành phiên hỏi đáp.
• Đưa ra khuyến nghị cho các hoạt động trong tương lai (tự động cài đặt phần mềm, kết nối VPN, v.v.)

OpenLDAP có thể được sử dụng để kiểm tra mật khẩu nhưng chủ yếu là một cách tập trung để quản lý danh tính. AD tích hợp ldap, kerberos, DNS và DHCP. Nó là một hệ thống toàn diện hơn nhiều so với chỉ OpenLDAP.

Từ góc độ quản lý, bạn chỉ cần cài đặt AD trên một cặp máy chủ win2k3 và trỏ tất cả các hệ thống unix vào đó và chỉ sử dụng máy chủ AD để kiểm tra mật khẩu. Thật là tầm thường khi tạo ra một hệ thống unix với pam sử dụng kerberos để kiểm tra mật khẩu và các tệp mật khẩu cục bộ để ủy quyền. Nó không hoàn toàn tốt như tích hợp AD đầy đủ nhưng cũng không quan trọng để thực hiện.

ưu và nhược điểm của tích hợp linux linux

sử dụng AD làm máy chủ kerberos để xác thực tài khoản cục bộ

Bạn cũng nên xem qua máy chủ thư mục Fedora (hiện tại chính thức là "máy chủ thư mục 389"), dựa trên cơ sở mã cơ sở Netscape LDAP. Nó được bán bởi RedHat dưới thương hiệu của họ, và vì vậy được tích cực duy trì. Tôi đã nghe nói nó đẹp hơn OpenLDAP ở một số khía cạnh, mặc dù tôi chưa bao giờ sử dụng nó. Có lẽ nó gần với AD hơn về chức năng so với OpenLdap, đây thực sự chỉ là cốt lõi của một hệ thống thư mục chính thức.

Ngoài ra còn có Máy chủ thư mục Apache , là Java thuần túy và cũng có vẻ như nó được phát triển tích cực.

Vì bạn không có kinh nghiệm với một trong hai, sẽ có chi phí (chủ yếu là thời gian) liên quan đến đường cong học tập. Từ quan điểm bảo trì, lần duy nhất bạn thực sự phải chạm vào LDAP là khi bạn thêm / xóa tài khoản hoặc sửa đổi các thuộc tính của chúng (thay đổi tên / địa chỉ). Điều này được thực hiện đủ dễ dàng với cả hai. Từ quan điểm triển khai, đó là thư mục mà bạn muốn có thể có thời gian dễ dàng nhất cho phép khách hàng giao tiếp với: Active Directory dễ dàng hơn vì các máy khách Windows có thể 'nói chuyện' với bộ điều khiển miền và tài liệu để cho phép Ubuntu / Linux khác xác thực từ AD là có sẵn. Nếu bạn muốn các máy khách Windows của mình có thể xác thực tắt openLDAP, bạn sẽ cần một máy chủ SAMBA lắng nghe các yêu cầu (openLDAP không thực hiện điều này một cách tự nhiên).

AD cung cấp những thứ như Chính sách nhóm và các công cụ quản lý khác mà bạn sẽ không dễ dàng với giải pháp openLDAP, thật nhanh chóng để cài đặt một triển khai cơ bản của Windows Server và tích hợp nó với các máy khách XP / Vista / 7 và tích hợp các máy khách Ubuntu là độ khó tương đương với AD và openLDAP.

Các sản phẩm như Suse SLES và Redhat Enterprise Server (hoặc CentOS) giúp tích hợp Win và Linux dễ dàng hơn so với Máy chủ Ubuntu hoặc Debian, nhưng vẫn còn nhiều điều phải tìm hiểu.

Nếu chi phí là một vấn đề, bạn có thể tạo một thiết lập với Linux và một số phần mềm bổ sung, như chính sách của Nitrobit Group, cho phép số lượng chức năng tương đương, nhưng với đường cong học tập dốc.