Active Directory와 OpenLDAP


16

이것은 중앙 집중식 사용자 데이터베이스를 구현하지 않은 소규모 회사 (12 개발자)를위한 것입니다. 유기적으로 성장하고 필요에 따라 컴퓨터에서 계정을 만들었습니다.

관리 관점에서 볼 때 악몽-다른 사용자 계정을 가진 10 대의 컴퓨터. 한 컴퓨터에 사용자를 추가 한 경우 다른 모든 컴퓨터에 액세스해야하는 수동으로 추가해야합니다. 이것은 이상과는 거리가 멀다. 앞으로 나아가고 비즈니스를 성장시키는 것은 더 많은 컴퓨터 / 사용자가 추가 / 채용 될 때 기하 급수적으로 더 많은 작업을 의미합니다.

내가 알고 일부 중앙 집중식 사용자 관리의 종류가 몹시 필요하다. 그러나 Active Directory와 OpenLDAP 사이에서 토론하고 있습니다. 현재 두 대의 서버가 Ubuntu 8.04LTS를 실행하는 간단한 백업 및 파일 공유 서버로 작동합니다. 컴퓨터는 Windows XP와 Ubuntu 9.04가 혼합되어 있습니다.

나는 Active Directory (또는 그 문제에 대해서는 실제로 OpenLDAP에 대한 경험이 없지만 Linux에 익숙합니다)에 대한 경험이 없지만 한 솔루션이 다른 솔루션보다 중요하다면 그 사실을 알게되었습니다.

선불 비용은 실제로 문제 가되지 않습니다 ( TCO). Windows (SBS라고 가정하고 있습니까?)로 초기 비용 증가에 대비할 수있는 충분한 시간을 절약 할 수 있다면 해당 솔루션을 사용해야한다고 생각합니다.

내 요구에 따라 어떤 솔루션을 구현해야합니까?

편집 : 전자 메일은 사이트 외부에서 호스팅되므로 Exchange가 필요하지 않습니다.


1
OpenDS를 잊지 마십시오. OpenLDAP보다 안정적 일 수 있습니다.
Joshua

답변:


13

귀하의 질문을 올바르게 읽고 있다면 오픈 소스를 고수하십시오.

  • 당신은 교환에 관심이 없습니다
  • XP 설정에 대한 미세한 제어가 필요하지 않습니다. 나는 주로 관리자 / 판매 직원을 구하기 위해 그룹 정책을 좋아합니다. 개발자는 대부분 머리카락을 멀리해야합니다.
  • 창문보다 * nix에 더 편합니다

AD는 창을 잘 관리하는 데 능숙하지만, 필요하지 않은 경우 큰 이익을 얻지 못할 학습 곡선을 구입하고 있습니다.

2 가지 경고

  • MS쪽에 더 많은 시간을 투자 할 시간이 있거나 관심이 있다면 이것이 좋은 방법입니다.
  • WSUS는 워크 스테이션 / 서버 패치를 제어하는 ​​좋은 방법입니다. 모든 기계에서 "자동"스위치를 뒤집을 수 없다면, SBS로 저울을 밀어 넣을 수 있습니다 (SBS가 WSUS를 수행하는 경우).

"윈도우보다 * nix에 더 익숙하다"는 +1은 나에게 결정 요소이다.
Maximus Minimus

1
SBS는 WSUS를 "한다". WSUS 3.0은 Windows Server 2003 이상을 설치합니다. NT 4.0 일에 상당한 양의 삼바를 되돌려 놓았을 때, 내가 좋아하는만큼 되돌아가는 것을 상상할 수 없습니다. WSUS와 그룹 정책 (모두 2 개, 노트북 2 개)을 원했기 때문에 필자는 결국 가정용 Windows Server 2003 라이센스를 구입했습니다 ('97 년 이후로 Samba를 서버로 사용했던 곳). 2) 데스크탑 PC). 그룹 정책은 단순히 "데스크톱 잠금"을위한 것이 아니라 소프트웨어를 배포하고 PC 추가 / 이동 / 변경을 완전히 자동으로 수행하며 일반적으로 문제를 자동화하는 것입니다.
Evan Anderson

내가 스스로를 기각하는 것이 빠르더라도 Windows보다 * nix에 더 익숙하다는 것을 인정하여 +1. 이것은 자금 부족으로 인해 결국 끝났습니다. OpenLDAP를 알아내는 것은 어려운 일이지만 돈을 지불해야합니다.
Cory Plastek

서버가 Ubuntu를 실행하고 있지만 Windows를 실행하는 워크 스테이션이 있다고 언급했습니다. 응용 프로그램 환경과 관련이 있습니까 (예 : 특정 소프트웨어의 Windows 버전 만 해당)? 향후 애플리케이션 환경에 대한 계획을 세우고 해당 계획을 기반으로 * IX / Windows 서버를 고려할 수도 있습니다.
PdC

19

OpenLDAP에서는 얻을 수없는 많은 훌륭한 기능을 Active Directory에서 얻을 수 있습니다. 그중 가장 중요한 것은 단일 사인온 (즉, 모든 클라이언트 및 서버 컴퓨터에서 작동하는 하나의 사용자 계정)과 그룹 정책입니다.

저는 오픈 소스 소프트웨어를 좋아하지만 Samba 4가 성숙 할 때까지 Active Directory는 Windows 2000 이상 클라이언트 컴퓨터에서 최상의 관리 환경을 제공합니다.

타사 소프트웨어를 사용하지 않으면 Windows XP 클라이언트에 대한 표준 기반 LDAP 인증이 없습니다. 여기에서 내 대답을 읽으십시오 : Windows XP와 Kerberos 통합-OpenLDAP 사용 경험은 매우 유사합니다 ( LDAP 인증을 위해 pGINA와 같은 타사 소프트웨어 가 필요하지 않음) : Windows XP를 인증하는 방법 kerberos 또는 heimdal

Windows Small Business Server와 함께 갈지 여부는 지출하려는 대상 (SBS에 대한 클라이언트 액세스 라이센스의 초기 비용 및 비용이 "일반 바닐라"Windows 이상)에 따라 결정되며 추가 " 풍모". 저는 Windows SBS를 저렴한 Windows 및 Exchange 번들 (과도하게 사용하지 않는 지나치게 복잡한 설치 및 복잡한 관리 도구 포함)으로 생각하고 싶습니다. "일반적인"Windows 및 Exchange Server 컴퓨터처럼 Windows SBS를 관리하는 경향이 있습니다. 아주 잘.

Active Directory, Microsoft DHCP / DNS, WSUS (클라이언트 컴퓨터에 대한 업데이트 제공) 및 사용자 / 컴퓨터 환경 구성 및 소프트웨어 설치를 처리하기위한 일부 그룹 정책 개체가있는 Windows Server는 관리 부담을 크게 줄이고 향후 컴퓨터를 쉽게 추가 할 수 있습니다. Exchange는 시작하기가 어렵지 않습니다 (인터넷에서 메일을 메일로 전달하는 것과 관련된 가장 큰 문제-많은 사람들이 DNS와 SMTP가 함께 작동하는 방식을 이해하지 못하는 것 같습니다).

설치가 수행되고있는 작업을 아는 사람이 수행한다고 가정하고 실제로 모든 것을 잘 처리한다고 가정하면 많은 관리 문제없이 제대로 실행됩니다. 필자는 일반적으로 (a) 열등한 하드웨어를 사용하고 장기적으로 가격을 지불하거나 (b) 소프트웨어를 관리 할 능력이 없기 때문에 문제가 발생하기 때문에 Windows 및 Exchange의 불안정성을 싫어하는 사람들을 작성합니다. Windows SBS 설치는 설치 후 몇 년이 지난 버전 4.0 시간대로 되돌아갑니다. 설치도 가능합니다.

이러한 제품에 대한 경험이없는 경우 평판이 좋은 컨설턴트와 함께 설치를 수행하고 관리에 대한 자급 자족을 시작하는 것이 좋습니다. 좋은 책을 알고 있다면 추천 할 것이지만, 내가 읽은 거의 모든 책에 대해 상당히 불쾌감을 느꼈습니다 (실제 사례와 사례 연구에서는 모두 부족한 것 같습니다).

저렴한 비용으로 현장에서 벗어날 수있는 컨설턴트가 많이 있습니다 ( "벌크"작업을한다고 가정 할 경우, 하루에 약 2 ~ 2 일 정도 소요됩니다) 기본 Windows 및 Exchange 설치, 나에게) "로프를 배우십시오". 원하는 경우 기존 사용자 환경을 마이그레이션 (기존 문서 및 프로필을 새 AD 계정의 로밍 사용자 프로필로 마이그레이션하고 "내 문서"폴더로 리디렉션하는 등)로 이동해야합니다. (장기적으로는 사용자를 더 행복하고 생산적으로 만들 것이기 ​​때문입니다.)

일종의 백업 장치 및 백업 관리 소프트웨어, 중복 디스크가있는 서버 컴퓨터 ( 최소 RAID-1) 및 일종의 전원 보호 (UPS)를 계획해야합니다. 저사양 서버, 라이센스 비용 및 Windows SBS를 통해 약 $ 3500.00-$ 4000.00에 구입할 수있는 전원 보호 하드웨어가 필요합니다. 개인적으로, 나는 당신이 당신의 요구에 얼마나 친숙하고 당신이 가르치고 자하는 일의 양에 따라 대략 10-20 시간의 설치 작업을 지정합니다.

다음은 배포와 같은 일반적인 설치 작업 유형에 대한 고급 목록입니다.

  • 서버 컴퓨터, UPS 등의 물리적 설정
  • Windows, Exchange, WSUS, 인프라 서비스, 서비스 팩, 백업 관리 소프트웨어, UPS 관리 소프트웨어 등을 설치하십시오.
  • 파일 공유 (권한, 공유 파일 위치, 디렉토리 계층)를 논의하십시오.
  • 사용자 계정 (로밍 프로필 폴더, "내 문서"폴더 등), 보안 그룹, 메일 그룹, 기본 GPO를 만듭니다.
  • 기존 전자 메일 데이터의 마이그레이션에 대해 토론하고 전략을 수립하고 DNS로 변경하여 전자 메일을 Exchange로 직접 가져옵니다.
  • 사용자 환경을 새 AD 계정으로 마이그레이션하는 것에 대해 논의하십시오. 마이그레이션 수행 훈련이 필요한 경우 마이그레이션 절차를 개발하십시오.
  • 클라이언트 컴퓨터 및 사용자 프로필의 파일럿 마이그레이션을 도메인으로 수행합니다.
  • 일상적인 sysadmin 작업 (암호 재설정, 사용자 그룹 구성원 변경, 백업 성공 / 실패 알림 검토, WSUS 및 업데이트 설치 모니터링)에 대해 토론하고 일반적인 문제에 대한 토론, 문제 해결 및 해결, Q & A 세션 수행.
  • 향후 활동에 대한 권장 사항 (소프트웨어 설치 자동화, VPN 연결 등)

두 개의 Ubuntu 서버를 사용하여 UPS의 백업 (RAID 10)을 처리하고 있습니다. 내가 집어 좋은 책은 "시스템 및 네트워크 관리의 연습"입니다
코리 PLASTEK

Limoncelli의 책은 괜찮습니다 .McDonald 's IT 관리 학교라는 사실을 명심하십시오. 부작용 아이디어.
Jim B

3
위의 설명에서 "백업"이라는 단어에 근접하여 'RAID'라는 단어가 약간 문제가 있습니다. "RAID가 백업되지 않았습니다"라고 충분히 말할 수는 없습니다. Windows Server의 내용을 주기적으로 Ubuntu 서버 중 하나에 복사합니다. "저는 여기서 종교적 지원에 들어 가지 않지만 그 전략을 차선책 백업 전략으로 특성화 할 것입니다.
Evan Anderson

1
실제로 Samba 3는 여전히 NT 수준 인증 서비스 만 제공합니다 ... Samba 4는 AD 수준 인증을 제공합니다.
Avery Payne

@Avery : 내 나쁜 점 : 당신은 옳습니다 : 삼바 버전! 내 얼굴에 계란 ...
에반 앤더슨

4

OpenLDAP는 비밀번호 확인에 사용될 수 있지만 대부분 ID를 관리하는 중앙 집중식 방법입니다. AD는 ldap, kerberos, DNS 및 DHCP를 통합합니다. OpenLDAP 자체보다 훨씬 포괄적 인 시스템입니다.

관리 측면에서 win2k3 서버 쌍에 AD를 설치하고 모든 유닉스 시스템을 가리키고 AD 서버를 암호 확인 용도로만 사용할 수 있습니다. pam을 가진 유닉스 시스템이 암호 확인을 위해 kerberos를 사용하고 권한 부여를 위해 로컬 암호 파일을 만드는 것은 매우 간단합니다. 전체 AD 통합만큼 좋지는 않지만 구현하기도 쉽지 않습니다.

AD 리눅스 통합의 장단점

AD를 kerberos 서버로 사용하여 로컬 계정 인증


1

또한 Netscape LDAP 코드베이스를 기반으로 Fedora 디렉토리 서버 (현재 공식적으로 "389 디렉토리 서버"임)를 살펴 봐야 합니다. RedHat은 자사 브랜드로 판매하므로 적극적으로 관리됩니다. 나는 그것을 개인적으로 사용한 적이 없지만 OpenLDAP보다 좋은 점을 들었습니다. 아마도 OpenLdap보다 AD에서 기능에 더 가깝을 것입니다. 이는 완전히 본격적인 디렉토리 시스템의 핵심 일뿐입니다.

또한이 아파치 디렉토리 서버 순수 자바이며, 또한 적극적으로 개발 한 것처럼 보인다.


0

어느 쪽도 경험이 없기 때문에 학습 곡선과 관련된 비용 (주로 시간)이 있습니다. 유지 관리 관점에서 LDAP를 실제로 만져야하는 유일한 경우는 계정을 추가 / 제거하거나 속성 (이름 / 주소 변경)을 수정하는 경우입니다. 이것은 둘 다로 쉽게 수행됩니다. 구현 관점에서 볼 때이 디렉토리는 클라이언트가 가장 쉽게 통신 할 수 있도록하려는 디렉토리입니다. Active Directory는 Windows 클라이언트가 도메인 컨트롤러 및 문서에 '토론'하여 Ubuntu / 기타 Linux가 AD에서 인증을 쉽게 사용할 수 있습니다. Windows 클라이언트가 openLDAP에서 인증을 받으려면 요청을 수신하는 SAMBA 서버가 필요합니다 (openLDAP는 기본적으로이 작업을 수행하지 않음).


0

AD는 OpenLDAP 솔루션으로 쉽게 얻을 수없는 그룹 정책 및 기타 관리 기능을 제공합니다. Windows Server의 기본 배포를 설치하고 XP / Vista / 7 클라이언트와 통합하는 것은 간단합니다. AD 및 openLDAP와 비슷한 어려움을 겪고 있습니다.

Suse SLES 및 Redhat Enterprise Server (또는 CentOS)와 같은 제품을 사용하면 Ubuntu 또는 Debian Server보다 Win과 Linux를 쉽게 통합 할 수 있지만 여전히 배울 점이 많습니다.

비용이 문제가 될 경우 Linux 및 Nitrobit Group 정책과 같은 추가 소프트웨어를 사용하여 비슷한 기능을 허용하지만 학습 곡선이 가파른 설정을 만들 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.