Есть ли хорошие альтернативы активному каталогу?
Чтобы прояснить, после развертывания и поддержки многих сайтов только для Windows, использующих Active Directory, я начал задаваться вопросом, почему я никогда не думал дважды об использовании чего-то еще, например Linux. Я понимаю, что полнофункциональной альтернативы может еще не существовать, но я, по крайней мере, ищу что-то, что стремится стать активным каталогом и работаю над этим.
Я удивлен, что никто не упомянул о Novell eDirectory. Он существует с 1993 года (конечно, тогда он назывался NDS). http://www.novell.com/products/edirectory/whychoose.html
Samba / LDAP / Kerberos - единственный вариант, который я бы рассмотрел.
Likewise-Open упрощает интеграцию клиентов и рядовых серверов Linux в существующую Active Directory. Мы используем его на нескольких серверах Ubuntu для NAS - только что обновили до Jaunty, и он отлично работает, хотя мы остановились на пакете likewise-open (4.x), а не аналогично-open5, так как в новейшей версии есть некоторые изменения. версия, с которой мы еще не разобрались. В частности, Likewise берет на себя часть накладных расходов и настройки при настройке krb5 / pam / winbind / samba. Предположительно его механизм аутентификации также более эффективен, но мы этого не заметили.
Кроме того, долгожданная Samba 4 должна появиться в недалеком будущем и обещает ряд улучшений взаимодействия, таких как поддержка групповой политики, возможно, стоит следить за обновлениями.
OpenLDAP может выполнять часть аутентификации активного каталога. Однако я не верю, что в Windows есть замена групповой политике.
Было бы полезно, если бы вы объяснили, что именно вам не нравится в Active Directory и почему вы пытаетесь этого избежать. Я предполагаю, что это дорого?
OSX Server предоставляет встроенный стек с открытым исходным кодом для замены активного каталога на основе OpenLDAP. Это не самый простой способ начать работу, но 99% этого можно сделать через графический интерфейс, и если у вас есть опыт работы с AD, это довольно просто.
Плюс Apple предоставляет поддержку по настройке, запуску и настройке на случай, если вы застрянете :)
Если вы ищете что-то на арене SOHO, тогда «SME Server» может помочь.
Я недавно нашел его и играл с ним на тестовой коробке. Вроде довольно солидно.
Он позаботится обо всех обычных вещах; обмен файлами / печатью, Интернет, электронная почта и NAT.
Он также будет действовать как старый PDC в стиле NT.
Хороший обзор можно найти здесь http://www.theregister.co.uk/2010/11/17/review_sme_server/
В основном это зависит от того, участвует ли Windows в качестве потребителя AD. Если нет, существуют десятки технологий для выполнения независимых частей AD:
Но вот в чем дело: Windows не может легко потреблять ничего, кроме AD, так что вы застряли. Обнимать, расширять, гасить.
Второй по eDirectory. Он делает все, что может AD, но гораздо более масштабируемый и совместимый со стандартами, и он работает на нескольких разновидностях * nix.
Короткий ответ - нет.
Ни один из проектов не получил поддержки от стремления стать полной заменой AD. AD - это экосистема, ядро которой является самим собой, такие вещи, как безопасность, обмен, DNS, GPO, являются его ветвями, и они, в свою очередь, связаны с Office, Sharepoint, SQL, Outlook и т. Д. Большинство существующих проектов - это просто замены или репликации отдельных ветвей и в основном просто для того, чтобы системы, отличные от Windows, могли подключаться к сетям Windows.
Вы можете присоединить машины Windows к областям Kerberos. При этом вы теряете все остальное, что делает активный каталог. Это мало чем отличается от настройки Unix-машины для использования области.
Самым большим недостатком является то, что машина не сбрасывает пароль автоматически. И группы. И политика. И, ну, остальное управление окнами.
Вот ссылка, как это сделать ...
http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA
Вы можете заставить OpenLDAP / Samba / Kerberos работать, но это не самый простой способ. Вам придется пройти через множество настроек, которые значительно превышают время, необходимое для установки двух серверов Windows, превращения их в контроллеры домена и запуска и работы с доменом Active Directory. И, как указано, получение объектов групповой политики и некоторых других функций (авторитетные DHCP-серверы, DNS, интегрированный в Active Directory, политики IPSEC, поддерживаемые протоколом Active Directory Kerberos, интеграция Exchange / OCS и т. Д.).
У меня был хороший опыт общения с Касеей. Это очень тяжеловесный сценарий, но в нем есть хороший редактор с множеством опций. он запускает агент на машине, поэтому вы можете делать практически все, что может делать активный каталог, от изменения паролей до выталкивания политики.
В Интернете есть множество размещенных сайтов обмена, которые также решают проблемы с электронной почтой.