web-dev-qa-db-ja.com

Active DirectoryとOpenLDAP

これは、一元化されたユーザーデータベースを実装していない中小企業(12人の開発者)向けです-彼らは有機的に成長し、必要に応じてコンピューターにアカウントを作成しました。

管理の観点から見ると、悪夢-すべてが異なるユーザーアカウントを持つ10台のコンピューター。ユーザーが1台のコンピューターに追加された場合、それらは(アクセスする必要がある)他のすべてのコンピューターに手動で追加する必要があります。これは理想からかけ離れています。前進し、ビジネスを成長させることは、より多くのコンピューター/ユーザーが追加/雇用されるにつれて、指数関数的により多くの仕事を意味するでしょう。

some集中型のユーザー管理が非常に必要であることがわかっています。ただし、私はActive DirectoryとOpenLDAPの間で議論しています。現在の2台のサーバーは、どちらもUbuntu 8.04LTSを実行している単純なバックアップサーバーとファイル共有サーバーとして機能します。コンピューターはWindows XPとUbuntu 9.04が混在しています。

私はActive Directoryの経験はありません(あるいは、実際にはOpenLDAPですが、Linuxには慣れています)が、あるソリューションが他のソリューションよりも優れている場合は、そのことを知って間違いない。

初期コストは本当に問題ではなく、TCOです。 Windows(私が想定しているSBS?)によって、増加した初期費用を補うのに十分な時間を節約できる場合は、そのソリューションを使用する必要があると思います。

私のニーズに対して、実装を検討すべきソリューションは何ですか?

編集:メールはオフサイトでホストされるため、Exchangeは必要ありません。

ubuntuactive-directoryopenldapsmall-business
16
Cory Plastek

私があなたの質問を正しく読んでいるなら、オープンソースに固執する:

  • あなたは交換を気にしません
  • XP=設定を細かく制御する必要はあまりない
  • Windowsより* nixの方が快適です

ADはウィンドウを細かく管理するのが得意ですが、それが必要ない場合は、大きなメリットをもたらさない学習曲線を自分で購入していることになります。

2つの警告

  • あなたが物事のMS側にもっと自分をプッシュする時間/興味があるなら、これはそれを提供する良い方法です。
  • WSUSは、ワークステーション/サーバーのパッチを制御するための優れた方法です。すべてのマシンで「自動」スイッチを切り替えることができない場合、これにより天びんがSBSにプッシュされる可能性があります(SBSがWSUSを実行している場合)。
13
Kara Marfia

OpenLDAPでは得られない多くの素敵な機能をActive Directoryから取得します。それらの主なものは、シングルサインオン(つまり、すべてのクライアントおよびサーバーコンピューターで機能する1つのユーザーアカウント)とグループポリシーの両方です。

私はオープンソースソフトウェアが大好きですが、Samba 4が成熟するまで、Active DirectoryはWindows 2000以降のクライアントコンピュータで最高の管理エクスペリエンスを提供します。

サードパーティのソフトウェアを使用しないと、Windows XPクライアントでの標準ベースのLDAP認証はありません。私の答えをここで読んでください:Windows XPとのKerberos統合-OpenLDAPを使用したエクスペリエンスは非常によく似ています(ただし、LDAPを作成するためにpGINAなどのサードパーティソフトウェアを必要とします認証作業): Windows XPでkerberosまたはheimdalを認証する方法

Windows Small Business Serverを使用するかどうかは、何を使いたいか(SBSの初期コストとクライアントアクセスライセンスのコストは「単純なバニラ」Windowsよりも多い)と、追加のコストから価値を得るかどうかによって異なります。特徴"。私はWindows SBSを安価なWindowsとExchangeのバンドルとして考えたいと思います(セットアップが非常に複雑で、私が使用することのないぎこちない管理ツールが使用されています)。そのように非常によく。

Active Directory、Microsoft DHCP/DNS、WSUS(クライアントコンピューターに更新を提供するため)、およびユーザー/コンピューター環境の構成とソフトウェアのインストールを処理するいくつかのグループポリシーオブジェクトを備えたWindowsサーバーは、管理負荷を大幅に軽減し、将来のコンピューターの追加を容易にします。 Exchangeの起動と実行はそれほど難しくありません(インターネットからメールを配信することに関連する最大の問題です。DNSとSMTPがどのように連携するかを理解していない人が多いためです)。

インストールが何をしているかを知っている誰かによって実行され、実際にすべてをうまく処理すると仮定すると、多くの管理上の頭痛がなくても問題なく実行されます。 WindowsとExchangeの信頼性の低さを嘆く人々は、通常、(a)劣ったハードウェアを使用し、長期的に価格を支払っている、または(b)ソフトウェアを管理する能力がないために問題を抱えているため、書き留めます。私はWindows SBSインストールをバージョン4.0のタイムフレームにまで遡り、インストール後何年も実行されています-あなたも1つ持つことができます。

これらの製品についての経験がない場合は、評判の良いコンサルタントと協力してインストールを実行し、管理を十分に行えるようにすることをお勧めします。知っていれば良い本をお勧めしますが、読んだほとんどすべてに不満を抱いています(実際には、実際の例やケーススタディにはすべて欠けているようです)。

あなたを安価に地面から降ろすことができるコンサルタントはたくさんいます(あなたが話しているセットアップは、あなたが「バルク」作業を自分で行うと仮定すると、約1日半から2日のように感じます基本的なWindowsとExchangeのインストール(私にとって)、そして「ロープを学ぶ」のを助けることができます。労働力の大半は、既存のユーザー環境の移行(既存のドキュメントとプロファイルを新しいADアカウントのローミングユーザープロファイルに移行し、「My Docuemnts」フォルダーをリダイレクトするなど)を行うことを選択した場合に移動します。 (私がそうするのは、それが長期的にユーザーをより幸せでより生産的にするからです。)

ある種のバックアップデバイスとバックアップ管理ソフトウェア、冗長ディスクを備えたサーバーコンピュータ(minimumRAID-1)、およびある種の電源保護(UPS)を計画する必要があります。ローエンドサーバー、ライセンスコスト、およびWindows SBSを使用してドアに納めることができる電源保護ハードウェアがあれば、およそ3500.00ドルから4000.00ドルになると思います。個人的には、セットアップ作業に約10〜20時間かかると思います。これは、ユーザーのニーズにどれだけ精通しているか、また、インストーラーにどの程度の作業を教えたいかによって異なります。

これは、あなたのような配置で私が見る典型的な種類のインストールタスクの高レベルのリストです。

  • サーバーコンピューター、UPSなどの物理的なセットアップ.
  • Windows、Exchange、WSUS、インフラストラクチャサービス、サービスパック、バックアップ管理ソフトウェア、UPS管理ソフトウェアなどをインストールします。
  • ファイル共有について話し合います(権限、共有ファイルの場所、ディレクトリ階層)。
  • ユーザーアカウント(ローミングプロファイルフォルダー、「マイドキュメント」フォルダーなど)、セキュリティグループ、配布グループ、基本GPOを作成します。
  • 既存の電子メールデータの移行について話し合い、戦略を策定し、DNSに変更を加えて、電子メールを直接Exchangeに転送します。
  • ユーザー環境の新しいADアカウントへの移行について話し合います。移行を実行するトレーニングが必要な場合は、移行手順を作成します。
  • クライアントコンピューターとユーザープロファイルをドメインにパイロット移行します。
  • 日常のsysadminタスク(パスワードのリセット、ユーザーグループメンバーシップの変更、バックアップの成功/失敗の通知の確認、WSUSの監視と更新のインストール)について話し合い、一般的な問題、トラブルシューティング、解決策について話し合い、Q&Aセッションを実施します。
  • 今後のアクティビティ(ソフトウェアのインストールの自動化、VPN接続など)についての推奨事項を作成する
19
Evan Anderson

OpenLDAPはパスワードのチェックに使用できますが、ほとんどの場合、IDを管理するための集中管理された方法です。 ADはldap、kerberos、DNS、およびDHCPを統合します。これは、OpenLDAP自体よりもはるかに包括的なシステムです。

管理の観点からは、win2k3サーバーのペアにADをインストールし、すべてのUNIXシステムをそのサーバーに向けて、ADサーバーをパスワードチェックにのみ使用することができます。 pamを使用してUNIXシステムでパスワードチェックにkerberosを使用し、認証にローカルパスワードファイルを使用するようにするのは非常に簡単です。 ADの完全な統合ほど良くはありませんが、実装も簡単です。

AD Linux統合の長所と短所

ADをkerberosサーバーとして使用してローカルアカウントを認証する

4
chris

また、Netscape LDAPコードベースに基づく Fedoraディレクトリサーバー (これは正式には「389ディレクトリサーバー」になっているようです)も確認する必要があります。 RedHatのブランドで販売されているため、積極的に維持されています。自分で使ったことはありませんが、いくつかの点でOpenLDAPより優れていると聞きました。それはおそらくOpenLdap自体よりも機能的にはADに近いでしょう。それは完全に本格的なディレクトリシステムのコアにすぎません。

Apache Directory Server もあります。これは純粋なJavaであり、活発に開発されているようにも見えます。

1
niXar

どちらの経験もないため、学習曲線に関連するコスト(主に時間内)が発生します。メンテナンスの観点から見ると、実際にLDAPに触れる必要があるのは、アカウントを追加/削除したり、属性(名前/アドレスの変更)を変更したりするときだけです。これは両方で十分簡単に​​行えます。実装の観点からは、クライアントが最も簡単に通信できるようにしたいディレクトリです。Windowsクライアントは、Ubuntu /その他のLinuxに次のことを許可するためのドメインコントローラーやドキュメントとネイティブに通信できるため、Active Directoryの方が簡単です。 ADからの認証はすぐに利用できます。 WindowsクライアントがopenLDAPから認証できるようにしたい場合は、リクエストをリッスンするSAMBAサーバーが必要になります(openLDAPはこれをネイティブでは行いません)。 Sambaを使用すると、openLDAPを認証に使用でき、Windowsのようなファイル共有が可能になります。

0
sledge

ADは、openLDAPソリューションでは簡単には得られないグループポリシーやその他の管理機能など​​を提供します。WindowsServerの基本的な展開をインストールしてXP/Vista/7クライアントと統合するのは簡単です。Ubuntuクライアントの統合はADとopenLDAPに匹敵する難しさ。

Suse SLESやRedhat Enterprise Server(またはCentOS)のような製品は、UbuntuやDebianサーバーよりもWinとLinuxの統合を容易にしますが、学ぶことはまだたくさんあります。

コストが問題になる場合は、LinuxとNitrobit Groupポリシーなどの追加ソフトウェアを使用して、同等の機能を可能にするが、学習曲線が急になるようなセットアップを作成できます。

0
Sven