Назад | Перейти на главную страницу

Различия между Active Directory Server и PDC

В Документация по Samba совершенно ясно заявляет, что может работать только как основной контроллер домена в стиле NT4 и не может функционировать как сервер Active Directory. Я управляю группой смешанных систем (рабочие станции Windows XP и серверы Linux различных типов) и ищу централизованную аутентификацию различных серверных приложений, а также клиентских рабочих станций. Я подумываю о настройке сервера Samba, но я не могу найти разделение функций между тем, что было бы предложено PDC и ADS, чтобы помочь мне решить, удовлетворит ли сервер Samba мои цели. Кто-нибудь знает, где можно найти такое сравнение функций?

Изменить: рабочие станции в настоящее время не находятся в домене. Какую бы конфигурацию Active Directory / samba я ни представил, это будет первым шагом нашей группы к централизованной аутентификации. Это означает, что установка контроллера домена Windows Server - возможный вариант, но я бы предпочел сделать это с помощью Samba, так как я больше разбираюсь в Linux.

ВЫСОКИЙ УРОВЕНЬ

Контроллер домена Active Directory - это, по сути, сервер, обеспечивающий доступ к распределенной системе, которой является Active Directory. В домене Active Directory любой контроллер домена может предоставить полный доступ для чтения и записи к домену. Это был PDC (первичный контроллер домена) в доменах NT4, который предоставил доступ для записи, а затем синхронизировался с BDC (резервными контроллерами домена).

Один сервер в домене Active Directory будет выполнять роль эмулятора PDC в целях обратной совместимости со старыми доменами NT4. Сервер, выполняющий эту роль, действует как посредник между AD и BDC старого домена в целях синхронизации и прочего.

Вы хорошо используете Samba, если вы дадите ему знать, что PDC - это сервер AD в домене, который выполняет роль эмулятора PDC.

РЕДАКТИРОВАТЬ: Я предполагаю, что в вашей среде уже работает AD. Не совсем уверен, безопасно ли это предположение или нет, но поскольку у вас уже есть несколько компьютеров с Windows, я думаю, что мой мозг просто отправился туда.

РЕДАКТИРОВАТЬ2: Хорошо, поскольку в настоящее время домена не существует, я бы действительно рекомендовал настроить Active Directory и интегрировать в него что-то. Довольно просто настроить небольшую среду AD, и есть масса ресурсов, которые помогут вам начать работу.

Не знаю, где найти такое сравнение по точкам. Я быстро обыскал и не собираюсь ни с чем. В официальном Samba HOWTO есть сравнение: http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html

Вот некоторые из таких сравнений, основанных на том, что я знаю:

  • Используя Samba «PDC», вы получаете централизованную базу данных учетных записей / групп для своих рядовых компьютеров, как и в случае с доменом Active Directory.

  • Вы можете использовать инструмент NT 4.0 «Диспетчер пользователей для доменов» для управления пользователями Samba PDC. Active Directory можно управлять с помощью (IMHO, более чистого и простого в использовании) инструмента «Пользователи и компьютеры Active Directory».

  • Вы можете реплицировать базу данных безопасности Samba PDC в режиме одного или нескольких мастеров между несколькими компьютерами с контроллерами домена (в зависимости от серверной части, в которой вы хотите хранить данные пароля). Active Directory - это мультимастер.

  • Samba PDC будет выполнять аутентификацию на основе NTLM. Active Directory также может выполнять проверку подлинности NTLMV2 и Kerberos.

  • PDC Samba не может обеспечивать функциональность групповой политики, как компьютер контроллера домена Active Directory.

Функционально Samba действует как PDC NT 4.0, поэтому вы можете использовать сравнительные документы между системой домена Windows NT 4.0 и Active Directory, чтобы дать вам некоторые дополнительные идеи.

Samba 4.0, которая все еще находится в стадии разработки, должна выполнять функцию контроллера домена Active Directory. Экспериментальная ветвь кода Samba, называемая Frankly, также стремится реализовать функциональность контроллера домена Active Directory (см. http://wiki.samba.org/index.php/Franky).

Установки в стиле PDC - это «плоские» схемы, где безопасность находится на уровне пиринга. Идентификация / аутентификация выполняется внутри «домена»; думайте об этом как о стене замка, внутри которой живут «аутентифицированные» пользователи, компьютеры и другие представления. Когда вам нужно сделать что-то в другом домене, вы должны установить доверительные отношения между ними.

ADS предоставляет иерархические элементы управления в виде древовидной структуры. Он объединяет концепции Kerberos, DNS и LDAP в единый целостный подход. Домены, использующие эту структуру, теперь могут быть вложены в основной домен.

С одним сервером только для аутентификации, как кажется, в случае вопроса, вероятно, нет никакой разницы. Либо переходите на Linux, потому что это то, что вы знаете, либо с Windows, чтобы узнать что-то новое.

Режим Samba "PDC" подобен доменам в стиле Windows NT 4.0. Active Directory вошла в состав Windows 2000, и помимо этого добавлены дополнительные функции. Чем более новая версия Windows Server у вас установлена, тем больше функций имеет Active Directory. (Нужны они вам или нет - другой вопрос.)

Контроллер домена Active Directory будет обеспечивать централизованную проверку подлинности, а также позволит использовать другие функции AD, такие как групповая политика.

Помимо групповой политики, многие другие улучшения в Active Directory действительно проявляются только с масштабированием: либо больше клиентов в более крупных сетях в большем количестве местоположений, либо с большим количеством контроллеров домена.