Alternativas ao Active Directory

Existem boas alternativas para o diretório ativo?

Para esclarecer, depois de implantar e manter muitos sites somente para Windows usando o Active Directory, comecei a me perguntar por que nunca pensei duas vezes em usar outra coisa, por exemplo, Linux. Entendo que ainda não exista uma alternativa completa, mas pelo menos estou procurando por algo que aspira a ser o diretório ativo e a trabalhar nesse sentido.

Da mesma forma, o Open torna bastante simples a integração de clientes Linux e servidores membros em um Active Directory existente. Nós o usamos em alguns servidores Ubuntu para NAS - apenas atualizamos para o Jaunty e ele funciona muito bem, embora tenhamos ficado com o pacote da mesma forma open (4.x) em vez da mesma maneira open5, pois há algumas mudanças no mais novo versão que ainda não descobrimos completamente. Em particular, o Likewise remove parte da sobrecarga e configuração da instalação do krb5 / pam / winbind / samba. Supostamente, seu mecanismo de autenticação também é mais eficiente, mas isso não é algo que realmente notamos.

Além disso, o tão esperado Samba 4 deve chegar em um futuro não muito distante e promete uma série de melhorias na interoperabilidade, como o suporte à Diretiva de Grupo, que pode valer a pena ficar atento.

Estou surpreso que ninguém tenha mencionado o eDirectory da Novell . Existe desde 1993 (claro, se era chamado NDS naquela época). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos seria a única outra opção que eu consideraria.

O OpenLDAP pode fazer a parte de autenticação do diretório ativo. Não acredito que haja uma substituição para a diretiva de grupo no Windows.

Pode ajudar se você explicar exatamente o que não gosta no Active Directory e por que está tentando evitá-lo, presumo que seja um custo?

O OSX Server fornece uma pilha de código aberto incorporada para substituir o diretório ativo baseado no OpenLDAP. Não é o mais fácil de instalar e executar, mas 99% disso pode ser feito através da GUI e, se você tiver experiência com o AD, é bastante simples.

Além disso, a Apple fornece suporte para atualizar, executar e configurar as coisas, caso você fique preso :)

Se você está procurando algo na arena do SOHO, o "SME Server" pode ajudar.

http://wiki.contribs.org

Eu o encontrei recentemente e tenho brincado com ele em uma caixa de teste. Parece bastante sólido.

Ele cuidará de todas as coisas normais; compartilhamento de arquivo / impressão, web, email e NAT.

Ele também atuará como um antigo PDC no estilo NT.

Uma boa revisão pode ser encontrada aqui http://www.theregister.co.uk/2010/11/17/review_sme_server/

Depende principalmente se o Windows está envolvido como consumidor do AD. Caso contrário, existem dezenas de tecnologias para atender partes independentes do AD:

• LDAP / Kerberos: autenticação e dados do usuário
• BIND / ldap2dns / djbdns: nomeação de domínio DNS
• cfengine / puppet: distribuição e aplicação de políticas de grupo (um dia elas também podem ser executadas no Windows)

Mas aqui está o problema: o Windows não pode consumir nada além de AD, então você está preso. Abrace, Estenda, Apague.

Segundo no eDirectory. Ele faz tudo o que o AD pode, mas é muito mais escalável e compatível com os padrões e é executado em vários tipos de * nix.

Resposta curta é Não.

Nenhum projeto conseguiu nenhum tipo de atração ao aspirar a ser um substituto completo do AD. O AD é um ecossistema em si mesmo como o núcleo, coisas como segurança, troca, DNS, GPO são ramos disso e, por sua vez, estão entrelaçadas com o Office, Sharepoint, SQL, Outlook, etc. A maioria dos projetos que estão por aí são apenas substituições ou replicações de ramificações individuais e, principalmente, para que sistemas não Windows possam se vincular às redes Windows.

Você pode associar máquinas Windows aos reinos do Kerberos. Ao fazer isso, você perde o restante do que o Active Directory faz. Não é diferente de configurar uma máquina Unix para usar um domínio.

A maior desvantagem é que a máquina não redefine automaticamente sua senha. E grupos. E política. E, bem, o restante da experiência de gerenciamento do Windows.

Aqui está um link sobre como fazê-lo, no entanto ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Você pode fazer o OpenLDAP / Samba / Kerberos funcionar, mas não é a coisa mais fácil de fazer. Você precisará passar por muitas configurações significativamente maiores do que o tempo necessário para levantar dois servidores Windows e torná-los controladores de domínio e estar em funcionamento com um domínio do Active Directory. E, como indicado, obtendo GPOs e alguns dos outros recursos (servidores DHCP autoritativos, DNS integrado ao Active Directory, políticas IPSEC suportadas pelo Active Directory Kerberos, integração Exchange / OCS, etc.).

Eu tive algumas boas experiências com a Kaseya. É muito pesado em scripts, mas fornece um bom editor com muitas opções. ele executa um agente na máquina, para que você possa fazer basicamente qualquer coisa que o diretório ativo possa fazer, desde a alteração de senhas até a política de envio.

Existem muitos sites de intercâmbio hospedados na Internet que também resolvem problemas de email.