Isso é para uma pequena empresa (12 desenvolvedores) que não implementou nenhum banco de dados centralizado de usuários - eles cresceram organicamente e criaram contas nos computadores conforme necessário.
Do ponto de vista do gerenciamento, é um pesadelo - 10 computadores, todos com diferentes contas de usuário. Se um usuário for adicionado a um computador, ele precisará ser adicionado manualmente a todos os outros (que eles precisam acessar). Isso está longe de ser o ideal. Avançar e expandir os negócios significará exponencialmente mais trabalho à medida que mais computadores / usuários forem adicionados / contratados.
Eu sei que algum tipo de gerenciamento centralizado de usuários é extremamente necessário. No entanto, estou debatendo entre o Active Directory e o OpenLDAP. Dois servidores atuais funcionam como servidores simples de backup e compartilhamento de arquivos, ambos executando o Ubuntu 8.04LTS. Os computadores são uma mistura do Windows XP e Ubuntu 9.04.
Não tenho experiência com o Active Directory (ou realmente o OpenLDAP, mas estou confortável com o Linux), mas se uma solução supera a outra, é justificável que eu saiba disso.
O custo inicial não é realmente um problema, é o custo total de propriedade. Se o Windows (SBS, suponho?) Economizará tempo suficiente para compensar o aumento do custo inicial, acho que devo usar essa solução.
Para minhas necessidades, que solução devo procurar implementar?
editar: o email é hospedado fora do local, portanto, o Exchange não é necessário.
fonte
Respostas:
Fique com o código aberto, se eu estiver lendo sua pergunta corretamente:
O AD é ótimo no gerenciamento de janelas, mas se você não precisar disso, estará comprando uma curva de aprendizado que provavelmente não trará muitos benefícios.
2 advertências
fonte
Você obterá muitos recursos interessantes do Active Directory que não está obtendo com o OpenLDAP. O principal deles é o logon único (ou seja, uma conta de usuário que funcione em todos os computadores clientes e servidores) e a Diretiva de Grupo.
Eu amo software de código aberto, mas até o Samba 4 amadurecer, o Active Directory fornece a melhor experiência administrativa com o Windows 2000 e computadores clientes mais recentes.
Sem usar software de terceiros, não há autenticação LDAP baseada em padrões nos clientes Windows XP. Leia minha resposta aqui: re: integração do Kerberos com o Windows XP - a experiência com o OpenLDAP será muito semelhante (exceto que você precisará de software de terceiros como o pGINA para fazer a autenticação LDAP funcionar): Como fazer com que o Windows xp se autentique kerberos ou heimdal
A escolha ou não do Windows Small Business Server depende do que você deseja gastar (o custo inicial e o custo das licenças de acesso do cliente para o SBS são mais que o Windows "simples") e se você obterá ou não o valor adicional " características". Prefiro pensar no Windows SBS como um pacote barato do Windows e do Exchange (com uma configuração muito complicada e ferramentas de administração grosseiras que nunca uso). Costumo administrar o Windows SBS como uma máquina "normal" do Windows e Exchange Server e funciona muito bem como tal.
Um Windows Server com Active Directory, Microsoft DHCP / DNS, WSUS (para fornecer atualizações aos computadores clientes) e alguns objetos de Diretiva de Grupo para lidar com a configuração de ambientes de usuário / computador e a instalação de software aliviam tremendamente sua carga administrativa e facilitam a adição de futuros computadores. O Exchange não é tão difícil de instalar (o maior problema está relacionado ao fluxo de emails na Internet - muitas pessoas parecem não entender como o DNS e o SMTP funcionam juntos).
Supondo que sua instalação seja executada por alguém que sabe o que está fazendo e que você trata tudo bem após o fato de que ela funcionará bem para você sem muita dor de cabeça administrativa. Eu escrevo pessoas que lamentam a falta de confiabilidade do Windows e do Exchange, porque normalmente estão tendo problemas porque (a) usavam hardware inferior e pagam o preço a longo prazo, ou (b) não são competentes para administrar o software. Eu tenho as instalações do Windows SBS desde o período da versão 4.0 que estão em execução bem anos após a instalação - você também pode ter uma.
Se você não tiver experiência com esses produtos, recomendo trabalhar com um consultor respeitável para executar a instalação e começar a ser auto-suficiente na administração. Eu recomendaria um bom livro se conhecesse um, mas fiquei bastante descontente com quase todos os que li (todos parecem faltar em exemplos da vida real e estudos de caso, normalmente).
Existem muitos consultores que podem tirar você do chão de forma barata (a configuração de que você está falando, supondo que você faça o trabalho "em massa", parece um dia e meio a dois dias por um instalação básica do Windows e do Exchange, para mim) e pode ajudá-lo a "aprender as regras". A maior parte do trabalho será direcionada à migração dos ambientes de usuário existentes (migração dos documentos e perfis existentes para o perfil de usuário móvel da nova conta do AD e redirecionado para as pastas "Meus documentos", etc.), se você optar por fazer isso. (Eu o faria, apenas porque isso tornará os usuários mais felizes e produtivos a longo prazo.)
Você deve planejar algum tipo de dispositivo de backup e software de gerenciamento de backup, um computador servidor com discos redundantes ( mínimo de RAID-1) e algum tipo de proteção de energia (UPS). Eu esperaria, com um servidor de baixo custo, os custos de licenciamento e o hardware de proteção de energia que você poderia colocar na porta com o Windows SBS por aproximadamente US $ 3.500,00 a US $ 4.000,00. Pessoalmente, eu especificaria cerca de 10 a 20 horas de trabalho de instalação, dependendo de como você está familiarizado com suas necessidades e de quanto do trabalho você deseja que seja ensinado a fazer, em comparação com o instalador.
Aqui está uma lista de alto nível dos tipos típicos de tarefas de instalação que vejo em uma implantação como a sua:
fonte
O OpenLDAP pode ser usado para verificar senhas, mas é principalmente uma maneira centralizada de gerenciar identidades. O AD integra LDAP, Kerberos, DNS e DHCP. É um sistema muito mais abrangente do que apenas o OpenLDAP por si só.
Da perspectiva do gerenciamento, você pode simplesmente instalar o AD em um par de servidores win2k3 e apontar todos os sistemas unix para ele e usar os servidores do AD apenas para verificação de senha. É super trivial fazer um sistema unix com o pam usar o kerberos para verificação de senha e arquivos de senha local para autorização. Não é tão bom quanto a integração total do AD, mas também é trivial de implementar.
prós e contras da integração do AD linux
usando o AD como um servidor kerberos para autenticar contas locais
fonte
Você também deve dar uma olhada no servidor de diretório do Fedora (que aparentemente agora é oficialmente "389 server de diretório"), baseado na base de código LDAP do Netscape. É vendido pela RedHat sob a sua marca e, portanto, é mantido ativamente. Ouvi dizer que é melhor do que o OpenLDAP em alguns aspectos, embora nunca o tenha usado. Provavelmente é mais próximo do AD do que o OpenLdap, que é apenas o núcleo de um sistema de diretório completo.
Há também o Apache Directory Server , que é puro Java e também parece que foi desenvolvido ativamente.
fonte
Como você também não tem experiência, haverá custos (principalmente no tempo) associados à curva de aprendizado. Do ponto de vista de manutenção, a única vez em que você realmente precisa tocar no LDAP é quando você adiciona / remove contas ou modifica seus atributos (alterações de nome / endereço). Isso é feito com bastante facilidade com ambos. Do ponto de vista da implementação, é o diretório com o qual você deseja ter o tempo mais fácil, permitindo que os clientes se comuniquem: O Active Directory é mais fácil, pois os clientes Windows podem "conversar" nativamente com controladores de domínio e documentação para permitir que o Ubuntu / outros Linux autenticação do AD está prontamente disponível. Se você deseja que seus clientes Windows possam se autenticar fora do openLDAP, precisará de um servidor SAMBA atendendo a solicitações (o openLDAP não faz isso nativamente).
fonte
O AD oferece coisas como Diretivas de Grupo e outros itens de gerenciamento que você não ficará muito fácil com uma solução openLDAP, é fácil instalar uma implantação básica do Windows Server e integrá-la aos clientes XP / Vista / 7, e a integração dos clientes Ubuntu é de dificuldade comparável com AD e openLDAP.
Produtos como Suse SLES e Redhat Enterprise Server (ou CentOS) tornam a integração do Win e Linux mais fácil do que, digamos, Ubuntu ou Debian Servers, mas ainda há muito a aprender.
Se o custo fosse um problema, você poderia criar uma configuração com Linux e algum software adicional, como a política do Nitrobit Group, que permitiria uma quantidade comparável de funcionalidades, mas com uma curva de aprendizado acentuada.
fonte