Alternatives à Active Directory

Existe-t-il de bonnes alternatives pour Active Directory?

Pour clarifier, après avoir déployé et entretenu de nombreux sites Windows uniquement utilisant Active Directory, j'ai commencé à me demander pourquoi je n'avais jamais réfléchi à autre chose, par exemple Linux. Je comprends qu'il n'existe peut-être pas encore d'alternative complète, mais je suis au moins à la recherche de quelque chose qui aspire à être Active Directory et y travaille.

De même, Open facilite l'intégration des clients Linux et des serveurs membres dans un Active Directory existant. Nous l'utilisons sur quelques serveurs Ubuntu pour NAS - juste mis à niveau vers Jaunty et cela fonctionne très bien, même si nous sommes restés avec le paquet similar-open (4.x) plutôt que liklike-open5, car il y a des changements dans le plus récent version que nous n'avons pas complètement compris. En particulier, de même prend une partie de la surcharge et de la configuration de la configuration krb5 / pam / winbind / samba. Soi-disant son mécanisme d'authentification est également plus efficace, mais ce n'est pas quelque chose que nous avons vraiment remarqué.

En outre, le Samba 4 tant attendu est censé arriver dans un avenir pas trop lointain, et promet qu'un certain nombre d'améliorations d'interopérabilité telles que le support de la stratégie de groupe, pourraient valoir le coup.

Je suis surpris que personne n'ait mentionné l' eDirectory de Novell . Il existe depuis 1993 (bien sûr, il s'appelait NDS à l'époque). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos serait la seule autre option que j'envisagerais.

OpenLDAP peut faire la partie authentification du répertoire actif. Je ne pense pas qu'il existe cependant un remplacement pour la stratégie de groupe sur Windows.

Cela pourrait aider si vous expliquez ce que vous n'aimez pas exactement dans Active Directory et pourquoi vous essayez de l'éviter, je suppose que le coût?

OSX Server fournit une pile open source intégrée pour remplacer le répertoire actif basé sur OpenLDAP. Ce n'est pas le plus facile à mettre en place, mais 99% peut être fait via l'interface graphique et si vous avez une expérience AD, c'est assez simple.

De plus, Apple fournit un support pour faire fonctionner, configurer et configurer au cas où vous seriez coincé :)

Si vous cherchez quelque chose dans l'arène SOHO, alors "SME Server" peut faire l'affaire.

http://wiki.contribs.org

Je l'ai récemment trouvé et j'ai joué avec sur une boîte de test. Cela semble assez solide.

Il s'occupera de tout ce qui est normal; partage de fichiers / d'impression, Web, e-mail et NAT.

Il agira également comme un ancien PDC de style NT.

Une belle critique peut être trouvée ici http://www.theregister.co.uk/2010/11/17/review_sme_server/

Cela dépend principalement de la participation de Windows en tant que consommateur AD. Sinon, il existe des dizaines de technologies pour remplir des parties indépendantes de la DA:

• LDAP / Kerberos: authentification et données utilisateur
• BIND / ldap2dns / djbdns: dénomination de domaine DNS
• cfengine / puppet: distribution et application de la stratégie de groupe (un jour, elles peuvent également s'exécuter sur Windows)

Mais voici l'affaire: Windows ne peut pas facilement consommer autre chose que AD, donc vous êtes coincé. Embrasser, étendre, éteindre.

Deuxième sur eDirectory. Il fait tout AD, mais il est beaucoup plus évolutif et conforme aux normes et il fonctionne sur plusieurs versions de * nix.

La réponse courte est non.

Aucun projet n'a jamais obtenu une quelconque traction sur aspirant à être un remplaçant AD complet. AD est un écosystème avec lui-même comme noyau, des choses comme la sécurité, l'échange, DNS, GPO en sont des branches et celles-ci sont à leur tour entrelacées avec Office, Sharepoint, SQL, Outlook, etc. La plupart des projets qui existent ne sont que des remplacements ou des réplications de branches individuelles et surtout juste pour que les systèmes non-Windows puissent être liés aux réseaux Windows.

Vous pouvez joindre des machines Windows aux domaines Kerberos. Lorsque vous faites cela, vous perdez le reste de ce que fait Active Directory. Ce n'est pas différent de configurer une machine Unix pour utiliser un domaine.

Le plus gros inconvénient est que la machine ne réinitialise pas automatiquement son mot de passe. Et les groupes. Et la politique. Et bien, le reste de l'expérience de gestion des fenêtres.

Voici un lien sur la façon de le faire, cependant ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Vous pouvez faire fonctionner OpenLDAP / Samba / Kerberos, mais ce n'est pas la chose la plus simple à faire. Il y a beaucoup de configuration que vous devrez passer, ce qui est considérablement plus long que le temps qu'il faudrait pour mettre en place deux serveurs Windows et en faire des contrôleurs de domaine et être opérationnel avec un domaine Active Directory. Et comme indiqué, obtenir des objets de stratégie de groupe et certaines des autres fonctionnalités (serveurs DHCP faisant autorité, DNS intégré à Active Directory, stratégies IPSEC soutenues par Kerberos Active Directory, intégration Exchange / OCS, etc.).

J'ai eu de bonnes expériences avec Kaseya. Il est très lourd en script mais il fournit un bel éditeur avec beaucoup d'options. il exécute un agent sur la machine, vous pouvez donc faire essentiellement tout ce que le répertoire actif pourrait faire, de la modification des mots de passe à la suppression de la stratégie.

Il existe des tonnes de sites d'échange hébergés sur Internet qui résolvent également les problèmes de messagerie.