Примечание: я знаю, что есть некоторые вопросы, касающиеся схожей темы, но всем им было пару лет, поэтому я предпочел указать свою точную ситуацию, чтобы получить наиболее правильное решение в соответствии с временными методами. Я хочу обсудить несколько разных случаев, чтобы получить полное понимание.
Я хочу управлять системой компании или университета (так средний и большой масштаб case), и я намерен предоставить следующие услуги для пользователей системы на сервере Ubuntu: OpenVPN, Jabber, Git, FreeRadius, электронная почта, Redmine и обмен файлами sambaи т.д ... хочу все услуги для аутентификации с использованием то же имя пользователя и пароль (чтобы получить имя пользователя и пароль из централизованной системы аутентификации, OpenLDAP или Active Directory (с Samba4 в качестве контроллера домена)). И я хочу позволить клиентам вход на общедоступные ПК в компании или университете используя их прежнее имя пользователя и пароль, и эти общедоступные ПК клиентов являются смесь Windows, Linux, MAC, (и давайте обсудим случай, когда у нас есть только Окноклиентов, поэтому НЕТ смеси).
Раньше я использовал OpenLDAP для аутентификации всех упомянутых служб и для обработки входа в Windows с помощью pGina, через OpenLDAP, и для меня это было неплохо.
Но я запутался, когда начал изучать контроллеры домена для Windows с помощью samba4, и я не мог решить, что для меня лучше, это pGina, или это контроллер домена Samba4? Имея в виду, что в этом случае (Контроллер домена) я больше не могу использовать OpenLDAP, потому что я не могу аутентифицировать окна против OpenLDAP, а только с samba4 AD (и я не могу запускать Samba4DC параллельно с OpenLDAP на том же сервере, потому что они оба являются серверами LDAP) .
Я знаю, что в настоящее время я не могу выполнить аутентификацию входа в Windows с помощью OpenLDAP, но не могу ли я заставить их каким-то образом взаимодействовать друг с другом или использовать их преимущества (в случае, если мне нужно, чтобы OpenLDAP делал что-то, недоступное в AD)?
Вы советуете использовать OpenLDAP или Active Directory (используя Samba4 в качестве контроллера домена) и почему? (с учетом обработки аутентификации всех упомянутых сервисов и аутентификации входа в систему с использованием ТОЛЬКО ОДНОГО имени пользователя и пароля для каждого клиента). Что я смогу (а что нет), если буду использовать Samba4AD, а не OpenLDAP (и наоборот). Судя по тому, что я понял из предыдущих чтений, они сказали, что преимущество AD состоит в том, что он может управлять групповой политикой в Windows. Каким образом групповая политика может быть полезна в моем случае? и какие альтернативы у меня есть, если вы посоветовали использовать OpenLDAP?
Резюмируя основные вопросы:
И, пожалуйста, примите во внимание, что я предпочитаю решения с открытым исходным кодом, поддерживаемые и долгосрочные живые решения (логически).
Заранее спасибо!
Я думаю, что это слишком широкий вопрос, чтобы здесь действительно хорошо работать, но я думаю, что есть более простой вопрос: «Я смотрю на Samba4 и OpenLDAP, на чем мне следует основывать свое решение?»
Ответ на этот вопрос: Samba4 имеет смысл, если вам нужны некоторые из специфичных для Windows (или, по крайней мере, Windows-ориентированных) функций, которые предоставляет AD. (И если вы не хотите покупать Windows Server и клиентские лицензии.)
Рассматривая использование Samba4, вы должны думать об этом как об эквиваленте Windows Server. Вы получаете (почти) то же самое, что получаете от Microsoft: интегрированный вход из клиентов Windows, управление с помощью инструментов Windows, ACL в стиле Windows, групповые политики, репликация каталогов (но не в OpenLDAP!) И LDAP-совместимый каталог, который другие приложения могут пройти аутентификацию.
Я бы сказал, что наиболее полезными особенностями Windows, которые предоставляет Samba4 (или Windows Server), являются групповые политики и управление клиентами / файлами / общими ресурсами с помощью инструментов Windows. Ни то, ни другое не кажется вам сейчас особенно важным.
OTOH, я не знаком с pGina или другими инструментами, позволяющими клиентам Windows аутентифицироваться с помощью OpenLDAP. Я не знаю, хорошо ли они работают, легко ли их настроить и поддерживать. Конечно, ими не так легко управлять, как подключенным к домену ПК с Windows.
В нашем случае у нас были в основном клиенты Windows с некоторыми пользователями Linux и Mac, и мы решили, что подключение клиентов Windows к домену AD важно, поэтому мы настроили Samba4 и сбросили наш сервер OpenLDAP. Мы смогли это сделать, потому что у нас не было слишком много учетных записей, и мы смогли найти обходные пути для синхронизации паролей между OpenLDAP и AD. У нас не было проблем с аутентификацией Redmine, OpenVPN, Owncloud и другими сервисами с помощью Samba4.