Active Directory와 OpenLDAP

이것은 중앙 집중식 사용자 데이터베이스를 구현하지 않은 소규모 회사 (12 개발자)를위한 것입니다. 유기적으로 성장하고 필요에 따라 컴퓨터에서 계정을 만들었습니다.

관리 관점에서 볼 때 악몽-다른 사용자 계정을 가진 10 대의 컴퓨터. 한 컴퓨터에 사용자를 추가 한 경우 다른 모든 컴퓨터에 액세스해야하는 수동으로 추가해야합니다. 이것은 이상과는 거리가 멀다. 앞으로 나아가고 비즈니스를 성장시키는 것은 더 많은 컴퓨터 / 사용자가 추가 / 채용 될 때 기하 급수적으로 더 많은 작업을 의미합니다.

내가 알고 일부 중앙 집중식 사용자 관리의 종류가 몹시 필요하다. 그러나 Active Directory와 OpenLDAP 사이에서 토론하고 있습니다. 현재 두 대의 서버가 Ubuntu 8.04LTS를 실행하는 간단한 백업 및 파일 공유 서버로 작동합니다. 컴퓨터는 Windows XP와 Ubuntu 9.04가 혼합되어 있습니다.

나는 Active Directory (또는 그 문제에 대해서는 실제로 OpenLDAP에 대한 경험이 없지만 Linux에 익숙합니다)에 대한 경험이 없지만 한 솔루션이 다른 솔루션보다 중요하다면 그 사실을 알게되었습니다.

선불 비용은 실제로 문제 가되지 않습니다 ( TCO). Windows (SBS라고 가정하고 있습니까?)로 초기 비용 증가에 대비할 수있는 충분한 시간을 절약 할 수 있다면 해당 솔루션을 사용해야한다고 생각합니다.

내 요구에 따라 어떤 솔루션을 구현해야합니까?

편집 : 전자 메일은 사이트 외부에서 호스팅되므로 Exchange가 필요하지 않습니다.

귀하의 질문을 올바르게 읽고 있다면 오픈 소스를 고수하십시오.

• 당신은 교환에 관심이 없습니다
• XP 설정에 대한 미세한 제어가 필요하지 않습니다. 나는 주로 관리자 / 판매 직원을 구하기 위해 그룹 정책을 좋아합니다. 개발자는 대부분 머리카락을 멀리해야합니다.
• 창문보다 * nix에 더 편합니다

AD는 창을 잘 관리하는 데 능숙하지만, 필요하지 않은 경우 큰 이익을 얻지 못할 학습 곡선을 구입하고 있습니다.

2 가지 경고

• MS쪽에 더 많은 시간을 투자 할 시간이 있거나 관심이 있다면 이것이 좋은 방법입니다.
• WSUS는 워크 스테이션 / 서버 패치를 제어하는 ​​좋은 방법입니다. 모든 기계에서 "자동"스위치를 뒤집을 수 없다면, SBS로 저울을 밀어 넣을 수 있습니다 (SBS가 WSUS를 수행하는 경우).

OpenLDAP에서는 얻을 수없는 많은 훌륭한 기능을 Active Directory에서 얻을 수 있습니다. 그중 가장 중요한 것은 단일 사인온 (즉, 모든 클라이언트 및 서버 컴퓨터에서 작동하는 하나의 사용자 계정)과 그룹 정책입니다.

저는 오픈 소스 소프트웨어를 좋아하지만 Samba 4가 성숙 할 때까지 Active Directory는 Windows 2000 이상 클라이언트 컴퓨터에서 최상의 관리 환경을 제공합니다.

타사 소프트웨어를 사용하지 않으면 Windows XP 클라이언트에 대한 표준 기반 LDAP 인증이 없습니다. 여기에서 내 대답을 읽으십시오 : Windows XP와 Kerberos 통합-OpenLDAP 사용 경험은 매우 유사합니다 ( LDAP 인증을 위해 pGINA와 같은 타사 소프트웨어 가 필요하지 않음) : Windows XP를 인증하는 방법 kerberos 또는 heimdal

Windows Small Business Server와 함께 갈지 여부는 지출하려는 대상 (SBS에 대한 클라이언트 액세스 라이센스의 초기 비용 및 비용이 "일반 바닐라"Windows 이상)에 따라 결정되며 추가 " 풍모". 저는 Windows SBS를 저렴한 Windows 및 Exchange 번들 (과도하게 사용하지 않는 지나치게 복잡한 설치 및 복잡한 관리 도구 포함)으로 생각하고 싶습니다. "일반적인"Windows 및 Exchange Server 컴퓨터처럼 Windows SBS를 관리하는 경향이 있습니다. 아주 잘.

Active Directory, Microsoft DHCP / DNS, WSUS (클라이언트 컴퓨터에 대한 업데이트 제공) 및 사용자 / 컴퓨터 환경 구성 및 소프트웨어 설치를 처리하기위한 일부 그룹 정책 개체가있는 Windows Server는 관리 부담을 크게 줄이고 향후 컴퓨터를 쉽게 추가 할 수 있습니다. Exchange는 시작하기가 어렵지 않습니다 (인터넷에서 메일을 메일로 전달하는 것과 관련된 가장 큰 문제-많은 사람들이 DNS와 SMTP가 함께 작동하는 방식을 이해하지 못하는 것 같습니다).

설치가 수행되고있는 작업을 아는 사람이 수행한다고 가정하고 실제로 모든 것을 잘 처리한다고 가정하면 많은 관리 문제없이 제대로 실행됩니다. 필자는 일반적으로 (a) 열등한 하드웨어를 사용하고 장기적으로 가격을 지불하거나 (b) 소프트웨어를 관리 할 능력이 없기 때문에 문제가 발생하기 때문에 Windows 및 Exchange의 불안정성을 싫어하는 사람들을 작성합니다. Windows SBS 설치는 설치 후 몇 년이 지난 버전 4.0 시간대로 되돌아갑니다. 설치도 가능합니다.

이러한 제품에 대한 경험이없는 경우 평판이 좋은 컨설턴트와 함께 설치를 수행하고 관리에 대한 자급 자족을 시작하는 것이 좋습니다. 좋은 책을 알고 있다면 추천 할 것이지만, 내가 읽은 거의 모든 책에 대해 상당히 불쾌감을 느꼈습니다 (실제 사례와 사례 연구에서는 모두 부족한 것 같습니다).

저렴한 비용으로 현장에서 벗어날 수있는 컨설턴트가 많이 있습니다 ( "벌크"작업을한다고 가정 할 경우, 하루에 약 2 ~ 2 일 정도 소요됩니다) 기본 Windows 및 Exchange 설치, 나에게) "로프를 배우십시오". 원하는 경우 기존 사용자 환경을 마이그레이션 (기존 문서 및 프로필을 새 AD 계정의 로밍 사용자 프로필로 마이그레이션하고 "내 문서"폴더로 리디렉션하는 등)로 이동해야합니다. (장기적으로는 사용자를 더 행복하고 생산적으로 만들 것이기 ​​때문입니다.)

일종의 백업 장치 및 백업 관리 소프트웨어, 중복 디스크가있는 서버 컴퓨터 ( 최소 RAID-1) 및 일종의 전원 보호 (UPS)를 계획해야합니다. 저사양 서버, 라이센스 비용 및 Windows SBS를 통해 약 $ 3500.00-$ 4000.00에 구입할 수있는 전원 보호 하드웨어가 필요합니다. 개인적으로, 나는 당신이 당신의 요구에 얼마나 친숙하고 당신이 가르치고 자하는 일의 양에 따라 대략 10-20 시간의 설치 작업을 지정합니다.

다음은 배포와 같은 일반적인 설치 작업 유형에 대한 고급 목록입니다.

• 서버 컴퓨터, UPS 등의 물리적 설정
• Windows, Exchange, WSUS, 인프라 서비스, 서비스 팩, 백업 관리 소프트웨어, UPS 관리 소프트웨어 등을 설치하십시오.
• 파일 공유 (권한, 공유 파일 위치, 디렉토리 계층)를 논의하십시오.
• 사용자 계정 (로밍 프로필 폴더, "내 문서"폴더 등), 보안 그룹, 메일 그룹, 기본 GPO를 만듭니다.
• 기존 전자 메일 데이터의 마이그레이션에 대해 토론하고 전략을 수립하고 DNS로 변경하여 전자 메일을 Exchange로 직접 가져옵니다.
• 사용자 환경을 새 AD 계정으로 마이그레이션하는 것에 대해 논의하십시오. 마이그레이션 수행 훈련이 필요한 경우 마이그레이션 절차를 개발하십시오.
• 클라이언트 컴퓨터 및 사용자 프로필의 파일럿 마이그레이션을 도메인으로 수행합니다.
• 일상적인 sysadmin 작업 (암호 재설정, 사용자 그룹 구성원 변경, 백업 성공 / 실패 알림 검토, WSUS 및 업데이트 설치 모니터링)에 대해 토론하고 일반적인 문제에 대한 토론, 문제 해결 및 해결, Q & A 세션 수행.
• 향후 활동에 대한 권장 사항 (소프트웨어 설치 자동화, VPN 연결 등)

OpenLDAP는 비밀번호 확인에 사용될 수 있지만 대부분 ID를 관리하는 중앙 집중식 방법입니다. AD는 ldap, kerberos, DNS 및 DHCP를 통합합니다. OpenLDAP 자체보다 훨씬 포괄적 인 시스템입니다.

관리 측면에서 win2k3 서버 쌍에 AD를 설치하고 모든 유닉스 시스템을 가리키고 AD 서버를 암호 확인 용도로만 사용할 수 있습니다. pam을 가진 유닉스 시스템이 암호 확인을 위해 kerberos를 사용하고 권한 부여를 위해 로컬 암호 파일을 만드는 것은 매우 간단합니다. 전체 AD 통합만큼 좋지는 않지만 구현하기도 쉽지 않습니다.

AD 리눅스 통합의 장단점

AD를 kerberos 서버로 사용하여 로컬 계정 인증

또한 Netscape LDAP 코드베이스를 기반으로 Fedora 디렉토리 서버 (현재 공식적으로 "389 디렉토리 서버"임)를 살펴 봐야 합니다. RedHat은 자사 브랜드로 판매하므로 적극적으로 관리됩니다. 나는 그것을 개인적으로 사용한 적이 없지만 OpenLDAP보다 좋은 점을 들었습니다. 아마도 OpenLdap보다 AD에서 기능에 더 가깝을 것입니다. 이는 완전히 본격적인 디렉토리 시스템의 핵심 일뿐입니다.

또한이 아파치 디렉토리 서버 순수 자바이며, 또한 적극적으로 개발 한 것처럼 보인다.

어느 쪽도 경험이 없기 때문에 학습 곡선과 관련된 비용 (주로 시간)이 있습니다. 유지 관리 관점에서 LDAP를 실제로 만져야하는 유일한 경우는 계정을 추가 / 제거하거나 속성 (이름 / 주소 변경)을 수정하는 경우입니다. 이것은 둘 다로 쉽게 수행됩니다. 구현 관점에서 볼 때이 디렉토리는 클라이언트가 가장 쉽게 통신 할 수 있도록하려는 디렉토리입니다. Active Directory는 Windows 클라이언트가 도메인 컨트롤러 및 문서에 '토론'하여 Ubuntu / 기타 Linux가 AD에서 인증을 쉽게 사용할 수 있습니다. Windows 클라이언트가 openLDAP에서 인증을 받으려면 요청을 수신하는 SAMBA 서버가 필요합니다 (openLDAP는 기본적으로이 작업을 수행하지 않음).

AD는 OpenLDAP 솔루션으로 쉽게 얻을 수없는 그룹 정책 및 기타 관리 기능을 제공합니다. Windows Server의 기본 배포를 설치하고 XP / Vista / 7 클라이언트와 통합하는 것은 간단합니다. AD 및 openLDAP와 비슷한 어려움을 겪고 있습니다.

Suse SLES 및 Redhat Enterprise Server (또는 CentOS)와 같은 제품을 사용하면 Ubuntu 또는 Debian Server보다 Win과 Linux를 쉽게 통합 할 수 있지만 여전히 배울 점이 많습니다.

비용이 문제가 될 경우 Linux 및 Nitrobit Group 정책과 같은 추가 소프트웨어를 사용하여 비슷한 기능을 허용하지만 학습 곡선이 가파른 설정을 만들 수 있습니다.