Это для небольшой компании (12 разработчиков), которая не внедрила централизованную базу данных пользователей - они выросли органически и просто создали учетные записи на компьютерах по мере необходимости.
С точки зрения управления, это кошмар - 10 компьютеров с разными учетными записями пользователей. Если пользователь добавляется на один компьютер, его нужно вручную добавить на все остальные (к которым им нужен доступ). Это далеко не идеально. Движение вперед и рост бизнеса будут означать экспоненциально больше работы по мере добавления / найма большего количества компьютеров / пользователей.
я знаю это некоторые крайне необходимо централизованное управление пользователями. Однако я спорю между Active Directory и OpenLDAP. Два текущих сервера работают как простые серверы резервного копирования и обмена файлами, оба работают под управлением Ubuntu 8.04LTS. Компьютеры представляют собой смесь Windows XP и Ubuntu 9.04.
У меня нет опыта работы с Active Directory (или с OpenLDAP, если на то пошло, но с Linux мне комфортно), но если одно решение перевешивает другое, значит, я должен это изучить.
Авансовая стоимость не взимается действительно проблема, TCO есть. Если Windows (я полагаю, SBS?) Сэкономит мне достаточно времени, чтобы компенсировать возросшие первоначальные затраты, то я думаю, что мне следует выбрать это решение.
Какое решение я должен искать для моих нужд?
редактировать: Электронная почта размещается за пределами сайта, поэтому в Exchange нет необходимости.
Вы получите много хороших функций от Active Directory, которых вы не получите с OpenLDAP. Главными из них являются как единый вход (т. Е. Одна учетная запись пользователя, которая работает на всех клиентских и серверных компьютерах), так и групповая политика.
Мне нравится программное обеспечение с открытым исходным кодом, но до тех пор, пока Samba 4 не станет зрелой, Active Directory обеспечивает наилучшие возможности администрирования с Windows 2000 и новыми клиентскими компьютерами.
Без использования стороннего программного обеспечения стандартная аутентификация LDAP с клиентами Windows XP невозможна. Прочтите мой ответ здесь: Интеграция Kerberos с Windows XP - опыт использования OpenLDAP будет очень похожим (за исключением того, что вы необходимость стороннее программное обеспечение, такое как pGINA, для обеспечения работы аутентификации LDAP): Как заставить windows xp аутентифицироваться против Kerberos или Heimdal
Переходить на Windows Small Business Server или нет, зависит от того, сколько вы хотите потратить (начальная стоимость и стоимость лицензий клиентского доступа для SBS больше, чем «обычная ванильная» Windows), а также от того, получите ли вы выгоду от дополнительных затрат. функции". Я предпочитаю думать о Windows SBS как о недорогом пакете Windows и Exchange (с чрезмерно сложной настройкой и грубыми инструментами администрирования, которые я никогда не использую). Я склонен администрировать Windows SBS как «нормальный» компьютер с Windows и Exchange Server, и он работает очень хорошо как таковой.
Сервер Windows с Active Directory, Microsoft DHCP / DNS, WSUS (для предоставления обновлений клиентским компьютерам) и некоторые объекты групповой политики для настройки пользовательских / компьютерных сред и установки программного обеспечения значительно облегчат вашу административную нагрузку и упростят добавление будущих компьютеров. Установить и запустить Exchange не так уж и сложно (самые большие проблемы связаны с отправкой вашей почты к нему из Интернета - многие люди, похоже, не понимают, как DNS и SMTP работают вместе).
Предполагая, что ваша установка выполняется кем-то, кто знает, что он делает, и что вы хорошо ко всему относитесь, постфактум она будет работать нормально для вас без большой административной головной боли. Я списываю со счетов людей, которые сетуют на ненадежность Windows и Exchange, потому что обычно у них возникают проблемы из-за того, что они либо (а) использовали низкое оборудование и расплачивались за это в долгосрочной перспективе, либо (б) не компетентны в администрировании программного обеспечения. У меня есть установки Windows SBS, относящиеся к временным рамкам версии 4.0, которые работают хорошо спустя годы после установки - вы тоже можете ее установить.
Если у вас нет опыта работы с этими продуктами, я бы порекомендовал работать с авторитетным консультантом, чтобы выполнить установку и помочь вам начать самостоятельное администрирование. Я бы порекомендовал хорошую книгу, если бы знал одну, но меня довольно не устраивают почти все из них, которые я прочитал (как правило, им всем не хватает реальных примеров и тематических исследований).
Есть множество консультантов, которые могут помочь вам начать работу без больших затрат (установка, о которой вы говорите, предполагая, что вы собираетесь выполнять «объемную» работу самостоятельно, кажется, что на это потребуется полтора-два дня. базовая установка Windows и Exchange, для меня) и может помочь вам "научиться играть". Большая часть работы будет направлена на миграцию существующих пользовательских сред (перенос существующих документов и профилей в перемещаемый профиль пользователя их новой учетной записи AD и перенаправленные папки «Мои документы» и т. Д.), Если вы решите это сделать. (Я бы хотел, потому что это сделает пользователей более счастливыми и продуктивными в долгосрочной перспективе.)
Вы должны запланировать какое-то устройство резервного копирования и программное обеспечение для управления резервным копированием, серверный компьютер с резервными дисками (минимум RAID-1) и какую-то защиту по питанию (UPS). Я ожидал, что с недорогим сервером, затратами на лицензирование и оборудованием для защиты электропитания, которое вы можете получить с Windows SBS примерно за 3500–4000 долларов. Лично я рекомендую вам примерно 10-20 часов работы по настройке, в зависимости от того, насколько вы знакомы со своими потребностями и какой объем работы вы хотите научить делать, по сравнению с тем, чтобы это делал установщик.
Вот высокоуровневый список типичных задач установки, которые я вижу в развертывании, подобном вашему:
Если я правильно читаю ваш вопрос, придерживайтесь открытого исходного кода:
AD отлично справляется с управлением окнами, но если вам это не нужно, вы покупаете себе кривую обучения, которая вряд ли принесет большую пользу.
2 предостережения
OpenLDAP можно использовать для проверки паролей, но в основном это централизованный способ управления удостоверениями. AD объединяет ldap, kerberos, DNS и DHCP. Это гораздо более комплексная система, чем просто OpenLDAP.
С точки зрения управления, вы можете просто установить AD на пару серверов win2k3, указать на него все системы unix и использовать серверы AD только для проверки пароля. Очень просто заставить систему unix с pam использовать Kerberos для проверки паролей и локальные файлы паролей для авторизации. Это не так хорошо, как полная интеграция с AD, но его также легко реализовать.
плюсы и минусы интеграции AD с Linux
использование AD в качестве сервера Kerberos для аутентификации локальных учетных записей
Вам также следует взглянуть на Сервер каталогов Fedora (который, по-видимому, теперь официально является «сервером каталогов 389»), основанный на кодовой базе Netscape LDAP. Он продается RedHat под своим брендом и поэтому активно поддерживается. Я слышал, что в некоторых отношениях он лучше, чем OpenLDAP, хотя сам никогда не использовал его. По функциональности он, вероятно, ближе к AD, чем сам по себе OpenLdap, который на самом деле является только ядром полноценной системы каталогов.
А также есть Сервер каталогов Apache, который представляет собой чистую Java и, похоже, активно развивается.
Поскольку у вас нет ни того, ни другого, вам потребуются затраты (в основном по времени), связанные с кривой обучения. С точки зрения обслуживания единственный раз, когда вам действительно нужно прикоснуться к LDAP, - это когда вы добавляете / удаляете учетные записи или изменяете их атрибуты (изменение имени / адреса). Это делается достаточно легко с обоими. С точки зрения реализации, это каталог, с которым вы хотите иметь возможность максимально упростить взаимодействие клиентов: с Active Directory проще, поскольку клиенты Windows могут изначально `` разговаривать '' с контроллерами домена и документацией, позволяющей Ubuntu / другим Linux аутентификация из AD легко доступна. Если вы хотите, чтобы ваши клиенты Windows могли аутентифицироваться вне openLDAP, вам понадобится сервер SAMBA, который будет прослушивать запросы (openLDAP не делает этого изначально). Samba позволит вам использовать openLDAP для аутентификации, одновременно обеспечивая совместное использование файлов в стиле Windows.
AD предлагает такие вещи, как групповые политики и другие средства управления, которые вы не сможете получить очень легко с решением openLDAP, установить базовое развертывание Windows Server и интегрировать его с клиентами XP / Vista / 7 совсем несложно, а интеграция клиентов Ubuntu - это несложно. сопоставимой сложности с AD и openLDAP.
Такие продукты, как Suse SLES и Redhat Enterprise Server (или CentOS), упрощают интеграцию Win и Linux, чем, скажем, серверы Ubuntu или Debian, но этому еще предстоит многому научиться.
Если стоимость будет проблемой, вы можете создать установку с Linux и некоторым дополнительным программным обеспечением, например политикой Nitrobit Group, которое обеспечит сопоставимый объем функций, но с крутой кривой обучения.