Active Directory x OpenLDAP

16

Isso é para uma pequena empresa (12 desenvolvedores) que não implementou nenhum banco de dados centralizado de usuários - eles cresceram organicamente e criaram contas nos computadores conforme necessário.

Do ponto de vista do gerenciamento, é um pesadelo - 10 computadores, todos com diferentes contas de usuário. Se um usuário for adicionado a um computador, ele precisará ser adicionado manualmente a todos os outros (que eles precisam acessar). Isso está longe de ser o ideal. Avançar e expandir os negócios significará exponencialmente mais trabalho à medida que mais computadores / usuários forem adicionados / contratados.

Eu sei que algum tipo de gerenciamento centralizado de usuários é extremamente necessário. No entanto, estou debatendo entre o Active Directory e o OpenLDAP. Dois servidores atuais funcionam como servidores simples de backup e compartilhamento de arquivos, ambos executando o Ubuntu 8.04LTS. Os computadores são uma mistura do Windows XP e Ubuntu 9.04.

Não tenho experiência com o Active Directory (ou realmente o OpenLDAP, mas estou confortável com o Linux), mas se uma solução supera a outra, é justificável que eu saiba disso.

O custo inicial não é realmente um problema, é o custo total de propriedade. Se o Windows (SBS, suponho?) Economizará tempo suficiente para compensar o aumento do custo inicial, acho que devo usar essa solução.

Para minhas necessidades, que solução devo procurar implementar?

editar: o email é hospedado fora do local, portanto, o Exchange não é necessário.

Cory Plastek
fonte
11
Não se esqueça do OpenDS, ele pode ser mais estável que o OpenLDAP.
Joshua

Respostas:

13

Fique com o código aberto, se eu estiver lendo sua pergunta corretamente:

  • Você não se importa com o Exchange
  • Você não tem uma enorme necessidade de controle minucioso das configurações do XP - eu amo a política de grupo principalmente para salvar a equipe de administração / vendas deles mesmos, os desenvolvedores geralmente precisam de mim para ficar longe de seus cabelos
  • Você está mais confortável com * nix do que com o windows

O AD é ótimo no gerenciamento de janelas, mas se você não precisar disso, estará comprando uma curva de aprendizado que provavelmente não trará muitos benefícios.

2 advertências

  • Se você tiver tempo / interesse para se dedicar mais ao lado das coisas, essa é uma boa maneira de fornecer isso.
  • O WSUS é uma boa maneira de controlar os patches da estação de trabalho / servidor. Se você não pode simplesmente ativar a opção "automática" em todas as máquinas, isso pode levar a balança para o SBS (se o SBS executar o WSUS?)
Kara Marfia
fonte
+1 para "Você está mais confortável com * nix do que com o Windows", esse para mim é o fator decisivo.
Maximus Minimus
11
SBS "faz" WSUS. O WSUS 3.0 instalará o Windows Server 2003 e superior. Tendo feito uma boa quantidade de samba nos NT 4.0 dias, não consigo imaginar voltar, por mais que eu goste. Finalmente quebrei e comprei uma licença para o Windows Server 2003 para uso doméstico (onde uso o Samba como servidor desde, tipo, '97) porque queria o WSUS e a política de grupo (todos para dois (2) laptops e dois ( 2) PCs de mesa). A política de grupo não é apenas para "bloquear os desktops" - é para implantar software, tornar as alterações / alterações / alterações do PC completamente automáticas e, em geral, automatizar o inferno.
Evan Anderson
+1 por reconhecer que estou mais confortável com * nix que o Windows, mesmo que eu fosse rápido em descartá-lo. Foi com isso que acabei indo devido à falta de fundos. Descobrir o OpenLDAP tem sido um desafio, mas deve valer a pena.
Cory Plastek
Você menciona que os servidores estão executando o Ubuntu, mas que você tem estações de trabalho executando o Windows. Isso tem a ver com o cenário de aplicativos, ou seja, apenas versões do Windows de determinado software? Você pode querer ter um plano para o futuro do cenário de aplicativos e considerar os servidores * IX / Windows com base nesse plano.
PdC
19

Você obterá muitos recursos interessantes do Active Directory que não está obtendo com o OpenLDAP. O principal deles é o logon único (ou seja, uma conta de usuário que funcione em todos os computadores clientes e servidores) e a Diretiva de Grupo.

Eu amo software de código aberto, mas até o Samba 4 amadurecer, o Active Directory fornece a melhor experiência administrativa com o Windows 2000 e computadores clientes mais recentes.

Sem usar software de terceiros, não há autenticação LDAP baseada em padrões nos clientes Windows XP. Leia minha resposta aqui: re: integração do Kerberos com o Windows XP - a experiência com o OpenLDAP será muito semelhante (exceto que você precisará de software de terceiros como o pGINA para fazer a autenticação LDAP funcionar): Como fazer com que o Windows xp se autentique kerberos ou heimdal

A escolha ou não do Windows Small Business Server depende do que você deseja gastar (o custo inicial e o custo das licenças de acesso do cliente para o SBS são mais que o Windows "simples") e se você obterá ou não o valor adicional " características". Prefiro pensar no Windows SBS como um pacote barato do Windows e do Exchange (com uma configuração muito complicada e ferramentas de administração grosseiras que nunca uso). Costumo administrar o Windows SBS como uma máquina "normal" do Windows e Exchange Server e funciona muito bem como tal.

Um Windows Server com Active Directory, Microsoft DHCP / DNS, WSUS (para fornecer atualizações aos computadores clientes) e alguns objetos de Diretiva de Grupo para lidar com a configuração de ambientes de usuário / computador e a instalação de software aliviam tremendamente sua carga administrativa e facilitam a adição de futuros computadores. O Exchange não é tão difícil de instalar (o maior problema está relacionado ao fluxo de emails na Internet - muitas pessoas parecem não entender como o DNS e o SMTP funcionam juntos).

Supondo que sua instalação seja executada por alguém que sabe o que está fazendo e que você trata tudo bem após o fato de que ela funcionará bem para você sem muita dor de cabeça administrativa. Eu escrevo pessoas que lamentam a falta de confiabilidade do Windows e do Exchange, porque normalmente estão tendo problemas porque (a) usavam hardware inferior e pagam o preço a longo prazo, ou (b) não são competentes para administrar o software. Eu tenho as instalações do Windows SBS desde o período da versão 4.0 que estão em execução bem anos após a instalação - você também pode ter uma.

Se você não tiver experiência com esses produtos, recomendo trabalhar com um consultor respeitável para executar a instalação e começar a ser auto-suficiente na administração. Eu recomendaria um bom livro se conhecesse um, mas fiquei bastante descontente com quase todos os que li (todos parecem faltar em exemplos da vida real e estudos de caso, normalmente).

Existem muitos consultores que podem tirar você do chão de forma barata (a configuração de que você está falando, supondo que você faça o trabalho "em massa", parece um dia e meio a dois dias por um instalação básica do Windows e do Exchange, para mim) e pode ajudá-lo a "aprender as regras". A maior parte do trabalho será direcionada à migração dos ambientes de usuário existentes (migração dos documentos e perfis existentes para o perfil de usuário móvel da nova conta do AD e redirecionado para as pastas "Meus documentos", etc.), se você optar por fazer isso. (Eu o faria, apenas porque isso tornará os usuários mais felizes e produtivos a longo prazo.)

Você deve planejar algum tipo de dispositivo de backup e software de gerenciamento de backup, um computador servidor com discos redundantes ( mínimo de RAID-1) e algum tipo de proteção de energia (UPS). Eu esperaria, com um servidor de baixo custo, os custos de licenciamento e o hardware de proteção de energia que você poderia colocar na porta com o Windows SBS por aproximadamente US $ 3.500,00 a US $ 4.000,00. Pessoalmente, eu especificaria cerca de 10 a 20 horas de trabalho de instalação, dependendo de como você está familiarizado com suas necessidades e de quanto do trabalho você deseja que seja ensinado a fazer, em comparação com o instalador.

Aqui está uma lista de alto nível dos tipos típicos de tarefas de instalação que vejo em uma implantação como a sua:

  • Configure fisicamente o servidor, o no-break etc.
  • Instale o Windows, Exchange, WSUS, serviços de infraestrutura, service packs, software de gerenciamento de backup, software de gerenciamento de UPS, etc.
  • Discuta o compartilhamento de arquivos (permissões, locais de arquivos compartilhados, hierarquia de diretórios).
  • Crie contas de usuário (pastas de perfil móvel, pastas "Meus documentos", etc.), grupos de segurança, grupos de distribuição, GPOs básicos.
  • Discutir a migração dos dados de email existentes e formular estratégias, alterações no DNS para trazer email diretamente para o Exchange.
  • Discuta a migração de ambientes de usuário para novas contas do AD. Desenvolva o procedimento para a migração, se desejar treinamento para executar a migração.
  • Execute migração (ões) piloto (s) de computadores clientes e perfis de usuário para o domínio.
  • Discutir as tarefas diárias do administrador de sistemas (redefinições de senha, alterar associações de grupos de usuários, revisar notificações de êxito / falha de backup, monitorar o WSUS e atualizar a instalação), discutir problemas comuns, solução de problemas e resolução, conduzir uma sessão de perguntas e respostas.
  • Faça recomendações para atividades futuras (automatizando instalações de software, conectividade VPN etc.)
Evan Anderson
fonte
Estou usando os dois servidores Ubuntu para lidar com os backups (ambos RAID 10) em no-breaks. O bom livro que eu peguei é "A Prática da Sistema e Administração de Redes"
Cory Plastek
O livro de Limoncelli está OK, mas lembre-se de que essa é a escola de gerenciamento de TI do McDonald's (os usuários são clientes e devem ser satisfeitos com esse email?). idéia de efeito colateral.
21139 Jim B
3
Estou um pouco preocupado com a palavra 'RAID' tão próxima da palavra 'backups' em sua declaração acima. Não se pode dizer o suficiente 'RAID não é backup'. Talvez você queira dizer algo como 'Estou indo copiar o conteúdo do Windows Server, periodicamente, para um dos servidores Ubuntu. "Não vou entrar em um discurso religioso aqui, mas gostaria de caracterizar essa estratégia como uma estratégia de backup subótima.
Evan Anderson
11
Na verdade, o Samba 3 ainda fornece apenas serviços de autenticação no nível NT ... O Samba 4 finalmente fornecerá a autenticação no nível AD.
Avery Payne
@ Avery: Meu mal-- você está certo re: a versão Samba! Ovo em minha cara ...
Evan Anderson
4

O OpenLDAP pode ser usado para verificar senhas, mas é principalmente uma maneira centralizada de gerenciar identidades. O AD integra LDAP, Kerberos, DNS e DHCP. É um sistema muito mais abrangente do que apenas o OpenLDAP por si só.

Da perspectiva do gerenciamento, você pode simplesmente instalar o AD em um par de servidores win2k3 e apontar todos os sistemas unix para ele e usar os servidores do AD apenas para verificação de senha. É super trivial fazer um sistema unix com o pam usar o kerberos para verificação de senha e arquivos de senha local para autorização. Não é tão bom quanto a integração total do AD, mas também é trivial de implementar.

prós e contras da integração do AD linux

usando o AD como um servidor kerberos para autenticar contas locais

chris
fonte
1

Você também deve dar uma olhada no servidor de diretório do Fedora (que aparentemente agora é oficialmente "389 server de diretório"), baseado na base de código LDAP do Netscape. É vendido pela RedHat sob a sua marca e, portanto, é mantido ativamente. Ouvi dizer que é melhor do que o OpenLDAP em alguns aspectos, embora nunca o tenha usado. Provavelmente é mais próximo do AD do que o OpenLdap, que é apenas o núcleo de um sistema de diretório completo.

Há também o Apache Directory Server , que é puro Java e também parece que foi desenvolvido ativamente.

niXar
fonte
0

Como você também não tem experiência, haverá custos (principalmente no tempo) associados à curva de aprendizado. Do ponto de vista de manutenção, a única vez em que você realmente precisa tocar no LDAP é quando você adiciona / remove contas ou modifica seus atributos (alterações de nome / endereço). Isso é feito com bastante facilidade com ambos. Do ponto de vista da implementação, é o diretório com o qual você deseja ter o tempo mais fácil, permitindo que os clientes se comuniquem: O Active Directory é mais fácil, pois os clientes Windows podem "conversar" nativamente com controladores de domínio e documentação para permitir que o Ubuntu / outros Linux autenticação do AD está prontamente disponível. Se você deseja que seus clientes Windows possam se autenticar fora do openLDAP, precisará de um servidor SAMBA atendendo a solicitações (o openLDAP não faz isso nativamente).

trenó
fonte
0

O AD oferece coisas como Diretivas de Grupo e outros itens de gerenciamento que você não ficará muito fácil com uma solução openLDAP, é fácil instalar uma implantação básica do Windows Server e integrá-la aos clientes XP / Vista / 7, e a integração dos clientes Ubuntu é de dificuldade comparável com AD e openLDAP.

Produtos como Suse SLES e Redhat Enterprise Server (ou CentOS) tornam a integração do Win e Linux mais fácil do que, digamos, Ubuntu ou Debian Servers, mas ainda há muito a aprender.

Se o custo fosse um problema, você poderia criar uma configuração com Linux e algum software adicional, como a política do Nitrobit Group, que permitiria uma quantidade comparável de funcionalidades, mas com uma curva de aprendizado acentuada.

Sven
fonte