Direktori Aktif vs OpenLDAP

Ini untuk perusahaan kecil (12 pengembang) yang belum menerapkan basis data pengguna terpusat - mereka telah tumbuh secara organik dan baru saja membuat akun di komputer sesuai kebutuhan.

Dari sudut pandang manajemen, ini adalah mimpi buruk - 10 komputer semuanya dengan akun pengguna yang berbeda. Jika pengguna ditambahkan ke satu komputer, mereka secara manual perlu ditambahkan pada semua yang lain (yang mereka perlu akses). Ini jauh dari ideal. Memajukan dan menumbuhkan bisnis akan berarti lebih banyak pekerjaan secara eksponensial karena lebih banyak komputer / pengguna ditambahkan / dipekerjakan.

Saya tahu bahwa beberapa jenis manajemen pengguna terpusat sangat dibutuhkan. Namun, saya sedang berdebat antara Active Directory dan OpenLDAP. Dua server saat ini berfungsi sebagai cadangan sederhana dan server berbagi file, keduanya menjalankan Ubuntu 8.04LTS. Komputer adalah campuran dari Windows XP dan Ubuntu 9.04.

Saya tidak memiliki pengalaman dengan Active Directory (atau benar-benar OpenLDAP dalam hal ini, tetapi saya merasa nyaman dengan Linux), tetapi jika satu solusi melebihi yang lain maka dijamin bahwa saya mempelajarinya.

Biaya dimuka tidak benar - benar masalah, TCO adalah. Jika Windows (SBS saya asumsikan?) Akan menghemat waktu yang cukup untuk menebus kenaikan biaya dimuka, maka saya pikir saya harus pergi dengan solusi itu.

Untuk kebutuhan saya, solusi apa yang harus saya perhatikan dalam implementasi?

sunting: Email di-host di luar situs, jadi Exchange tidak perlu.

Tetap menggunakan sumber terbuka, jika saya membaca pertanyaan Anda dengan benar:

• Anda tidak peduli dengan Exchange
• Anda tidak memiliki kebutuhan besar untuk kontrol menit pengaturan XP - Saya suka kebijakan grup terutama untuk menyelamatkan admin / staf penjualan dari diri mereka sendiri, para pengembang sebagian besar membutuhkan saya untuk menghindari rambut mereka.
• Anda lebih nyaman dengan * nix daripada windows

AD hebat dalam mengelola windows hingga tingkat yang baik, tetapi jika Anda tidak membutuhkannya, Anda membeli sendiri kurva pembelajaran yang kemungkinan tidak akan membawa banyak manfaat.

2 peringatan

• Jika Anda punya waktu / minat untuk mendorong diri Anda lebih banyak di sisi MS hal, ini adalah cara yang baik untuk memberikan itu.
• WSUS adalah cara yang baik untuk mengontrol patch workstation / server. Jika Anda tidak bisa langsung menyalakan sakelar "otomatis" di semua mesin, ini mungkin mendorong keseimbangan ke SBS (jika SBS melakukan WSUS?)

Anda akan mendapatkan banyak fitur bagus dari Active Directory yang tidak Anda peroleh dengan OpenLDAP. Yang paling utama adalah keduanya sistem masuk tunggal (yaitu satu akun pengguna yang berfungsi pada semua komputer klien dan server), dan Kebijakan Grup.

Saya suka perangkat lunak open source, tetapi sampai Samba 4 matang, Active Directory memberikan pengalaman administratif terbaik dengan Windows 2000 dan komputer klien yang lebih baru.

Tanpa menggunakan perangkat lunak pihak ketiga, tidak ada otentikasi LDAP berbasis standar dengan klien Windows XP. Baca jawaban saya di sini kembali: Integrasi Kerberos dengan Windows XP - pengalaman menggunakan OpenLDAP akan sangat mirip (kecuali bahwa Anda akan memerlukan perangkat lunak pihak ketiga seperti pGINA di depan untuk membuat otentikasi otentikasi LDAP): Cara mendapatkan windows xp untuk mengotentikasi terhadap kerberos atau heimdal

Apakah pergi atau tidak dengan Windows Small Business Server tergantung pada apa yang ingin Anda keluarkan (biaya awal dan biaya lisensi akses klien untuk SBS lebih dari sekadar "vanilla polos" Windows) dan apakah Anda akan mendapatkan nilai dari tambahan " fitur". Saya lebih suka menganggap Windows SBS sebagai bundel Windows dan Exchange yang murah (dengan pengaturan yang terlalu rumit dan alat admin kasar yang tidak pernah saya gunakan.) Saya cenderung mengelola Windows SBS seperti mesin Windows dan Exchange Server yang "normal", dan berfungsi sangat baik seperti itu.

Server Windows dengan Direktori Aktif, Microsoft DHCP / DNS, WSUS (untuk memberikan pembaruan ke komputer klien), dan beberapa objek Kebijakan Grup untuk menangani mengonfigurasi lingkungan pengguna / komputer dan menginstal perangkat lunak akan meringankan beban administrasi Anda dengan luar biasa dan membuat menambah komputer di masa depan menjadi mudah. Pertukaran tidak begitu sulit untuk dibangun dan dijalankan (masalah terbesar terkait dengan pengiriman surat Anda dari Internet - begitu banyak orang tampaknya tidak memahami bagaimana DNS dan SMTP bekerja bersama-sama).

Dengan asumsi instalasi Anda dilakukan oleh seseorang yang tahu apa yang mereka lakukan, dan bahwa Anda memperlakukan semuanya dengan baik setelah itu, itu akan berjalan dengan baik untuk Anda dengan banyak sakit kepala administratif. Saya menghapus orang-orang yang meratapi ketidaklayakan Windows dan Exchange, karena biasanya mereka mengalami masalah karena mereka (a) menggunakan perangkat keras yang lebih rendah dan membayar harga dalam jangka panjang, atau (b) tidak kompeten untuk mengelola perangkat lunak. Saya memiliki instalasi Windows SBS yang akan kembali ke kerangka waktu versi 4.0 yang berjalan bertahun-tahun setelah instalasi - Anda juga dapat memilikinya.

Jika Anda tidak memiliki pengalaman dengan produk-produk ini, saya akan merekomendasikan bekerja dengan konsultan yang memiliki reputasi untuk melakukan instalasi dan membuat Anda mulai mandiri dalam administrasi. Saya akan merekomendasikan buku yang bagus jika saya mengetahuinya, tetapi saya sudah cukup tidak senang dengan hampir semua yang saya baca (mereka semua tampaknya kurang dalam contoh kehidupan nyata dan studi kasus, biasanya).

Ada banyak konsultan yang dapat membuat Anda keluar dari tanah dengan biaya murah (pengaturan yang Anda bicarakan, dengan asumsi bahwa Anda akan melakukan pekerjaan "massal" sendiri, terasa seperti sekitar satu setengah hari hingga dua hari untuk Instal Windows dan Exchange dasar, untuk saya) dan dapat membantu Anda "mempelajari tali". Mayoritas tenaga kerja akan masuk ke memigrasi lingkungan pengguna Anda yang ada (memigrasi dokumen dan profil mereka yang ada ke profil pengguna roaming akun AD baru mereka dan diarahkan ke folder "My Docuemnts", dll) jika Anda memilih untuk melakukannya. (Saya mau, hanya karena itu akan membuat pengguna lebih bahagia dan lebih produktif dalam jangka panjang.)

Anda harus merencanakan beberapa jenis perangkat cadangan dan perangkat lunak manajemen cadangan, komputer server dengan disk redundan ( minimum RAID-1), dan beberapa jenis perlindungan daya (UPS). Saya harapkan, dengan server low-end, biaya lisensi, dan perangkat keras perlindungan daya yang bisa Anda dapatkan di pintu dengan Windows SBS untuk sekitar $ 3500,00 - $ 4000,00. Secara pribadi, saya akan menyarankan Anda kira-kira 10 - 20 jam kerja pengaturan, tergantung pada seberapa akrab Anda dengan kebutuhan Anda dan berapa banyak pekerjaan yang ingin Anda ajarkan untuk dilakukan, dibandingkan dengan meminta installer melakukannya.

Berikut daftar tingkat tinggi dari jenis-jenis tugas instalasi yang saya lihat dalam penyebaran seperti milik Anda:

• Setup secara fisik komputer server, UPS, dll.
• Instal Windows, Exchange, WSUS, layanan infrastruktur, paket layanan, perangkat lunak manajemen cadangan, perangkat lunak manajemen UPS, dll.
• Diskusikan berbagi file (izin, lokasi file bersama, hierarki direktori).
• Buat akun pengguna (roaming folder profil, folder "My Documents", dll), grup keamanan, grup distribusi, GPO dasar.
• Diskusikan migrasi data email yang ada dan rumuskan strategi, perubahan pada DNS untuk membawa email langsung ke Exchange.
• Diskusikan migrasi lingkungan pengguna ke akun AD baru. Kembangkan prosedur untuk migrasi jika pelatihan untuk melakukan migrasi diinginkan.
• Lakukan migrasi percontohan komputer klien dan profil pengguna ke domain.
• Diskusikan tugas sysadmin sehari-hari (pengaturan ulang kata sandi, mengubah keanggotaan grup pengguna, meninjau pemberitahuan keberhasilan / kegagalan cadangan, memantau WSUS dan memperbarui instalasi), membahas masalah umum, pemecahan masalah, dan resolusi, melakukan sesi tanya jawab.
• Buat rekomendasi untuk kegiatan di masa mendatang (mengotomatisasi instalasi perangkat lunak, konektivitas VPN, dll)

OpenLDAP dapat digunakan untuk memeriksa kata sandi tetapi sebagian besar merupakan cara terpusat untuk mengelola identitas. AD mengintegrasikan ldap, kerberos, DNS, dan DHCP. Ini adalah sistem yang jauh lebih komprehensif daripada hanya OpenLDAP saja.

Dari perspektif manajemen, Anda cukup menginstal AD pada sepasang server win2k3 dan arahkan semua sistem unix padanya dan gunakan server AD hanya untuk memeriksa kata sandi. Sangat sepele untuk membuat sistem unix dengan pam menggunakan kerberos untuk memeriksa kata sandi dan file kata sandi lokal untuk otorisasi. Ini tidak sebagus integrasi AD penuh tetapi juga sepele untuk diterapkan.

pro dan kontra dari integrasi linux AD

menggunakan AD sebagai server kerberos untuk mengautentikasi akun lokal

Anda juga harus melihatnya server direktori Fedora (yang tampaknya sekarang resmi "389 direktori server"), berdasarkan pada basis kode Netscape LDAP. Itu dijual oleh RedHat di bawah merek mereka, dan begitu juga dipertahankan secara aktif. Saya pernah mendengar itu lebih baik daripada OpenLDAP dalam beberapa hal, meskipun saya tidak pernah menggunakannya sendiri. Ini mungkin lebih dekat ke AD dalam fungsionalitas daripada OpenLdap dengan sendirinya, yang sebenarnya hanya inti dari sistem direktori yang lengkap.

Ada juga Apache Directory Server , yang merupakan Java murni dan juga sepertinya dikembangkan secara aktif.

Karena Anda tidak memiliki pengalaman dengan keduanya, akan ada biaya (terutama dalam waktu) yang terkait dengan kurva belajar. Dari sudut pandang pemeliharaan, satu-satunya saat Anda benar-benar harus menyentuh LDAP adalah ketika Anda menambah / menghapus akun atau mengubah atributnya (perubahan nama / alamat). Ini cukup mudah dilakukan dengan keduanya. Dari sudut pandang implementasi, itu adalah direktori yang Anda inginkan untuk dapat memiliki waktu termudah yang memungkinkan klien untuk berkomunikasi dengan: Active Directory lebih mudah karena klien Windows dapat 'berbicara' secara native ke pengontrol domain dan dokumentasi untuk memungkinkan Ubuntu / Linux lain untuk otentikasi dari AD sudah tersedia. Jika Anda ingin klien Windows Anda dapat mengautentikasi dari openLDAP, Anda akan memerlukan server SAMBA mendengarkan permintaan (openLDAP tidak melakukan ini secara asli).

AD menawarkan hal-hal seperti Kebijakan Grup dan hal-hal manajemen lainnya yang tidak akan Anda dapatkan dengan sangat mudah dengan solusi openLDAP, sangat mudah untuk menginstal penyebaran dasar Windows Server dan mengintegrasikannya dengan klien XP / Vista / 7, dan integrasi klien Ubuntu adalah kesulitan yang sebanding dengan AD dan openLDAP.

Produk seperti Suse SLES dan Redhat Enterprise Server (atau CentOS) membuat mengintegrasikan Win dan Linux lebih mudah daripada, kata Ubuntu atau Server Debian, tetapi masih banyak yang harus dipelajari.

Jika biaya akan menjadi masalah, Anda dapat membuat pengaturan dengan Linux dan beberapa perangkat lunak tambahan, seperti kebijakan Nitrobit Group, yang akan memungkinkan jumlah fungsional yang sebanding, tetapi dengan kurva belajar yang curam.