Active Directory vs OpenLDAP

16

C'est pour une petite entreprise (12 développeurs) qui n'a implémenté aucune base de données utilisateur centralisée - ils ont grandi de manière organique et ont juste créé des comptes sur les ordinateurs selon leurs besoins.

Du point de vue de la gestion, c'est un cauchemar - 10 ordinateurs avec tous des comptes d'utilisateurs différents. Si un utilisateur est ajouté à un ordinateur, il doit être ajouté manuellement sur tous les autres (auxquels il doit accéder). C'est loin d'être idéal. Aller de l'avant et faire croître l'entreprise signifiera une augmentation exponentielle du travail à mesure que davantage d'ordinateurs / d'utilisateurs seront ajoutés / embauchés.

Je sais que certains types de gestion centralisée des utilisateurs est grandement nécessaire. Cependant, je discute entre Active Directory et OpenLDAP. Deux serveurs actuels fonctionnent comme de simples serveurs de sauvegarde et de partage de fichiers, tous deux exécutant Ubuntu 8.04LTS. Les ordinateurs sont un mélange de Windows XP et Ubuntu 9.04.

Je n'ai pas d'expérience avec Active Directory (ou vraiment OpenLDAP d'ailleurs, mais je suis à l'aise avec Linux), mais si une solution l'emporte sur l'autre, il est garanti que j'apprenne cela.

Le coût initial n'est pas vraiment un problème, le TCO l'est. Si Windows (SBS, je suppose?) Me fera gagner suffisamment de temps pour compenser l'augmentation des coûts initiaux, je pense que je devrais opter pour cette solution.

Pour mes besoins, quelle solution devrais-je envisager d'implémenter?

modifier: le courrier électronique est hébergé hors site, donc Exchange n'est pas nécessaire.

Cory Plastek
la source
1
N'oubliez pas OpenDS, il peut être plus stable qu'OpenLDAP.
Joshua

Réponses:

13

Restez avec l'open-source, si je lis bien votre question:

  • Vous ne vous souciez pas d'Exchange
  • Vous n'avez pas un énorme besoin de contrôle minutieux des paramètres XP - J'aime la politique de groupe principalement pour sauver le personnel administratif / commercial d'eux-mêmes, les développeurs ont surtout besoin de moi pour rester à l'écart de leurs cheveux
  • Vous êtes plus à l'aise avec * nix qu'avec windows

AD est très efficace pour gérer les fenêtres dans une large mesure, mais si vous n'en avez pas besoin, vous vous achetez une courbe d'apprentissage qui n'apportera probablement pas beaucoup d'avantages.

2 mises en garde

  • Si vous avez le temps / l'intérêt de vous pousser davantage du côté de la SP, c'est un bon moyen de fournir cela.
  • WSUS est un bon moyen de contrôler les correctifs poste de travail / serveur. Si vous ne pouvez pas simplement basculer le commutateur "automatique" sur toutes les machines, cela pourrait pousser l'équilibre vers SBS (si SBS fait WSUS?)
Kara Marfia
la source
+1 pour "Vous êtes plus à l'aise avec * nix qu'avec windows", c'est pour moi le facteur décisif.
Maximus Minimus
1
SBS "fait" WSUS. WSUS 3.0 installera Windows Server 2003 et versions ultérieures. Ayant fait pas mal de Samba dans les jours NT 4.0, je ne peux pas imaginer y retourner, autant que je l'aime. J'ai finalement tombé en panne et acheté une licence pour Windows Server 2003 pour la maison (où j'utilise Samba comme serveur depuis, par exemple, '97) parce que je voulais WSUS et la stratégie de groupe (tous pour deux (2) ordinateurs portables et deux ( 2) PC de bureau). La stratégie de groupe n'est pas seulement pour "verrouiller les bureaux" - c'est pour déployer des logiciels, rendre les ajouts / déplacements / modifications de PC complètement automatiques, et en général automatiser l'enfer des choses.
Evan Anderson, le
+1 pour avoir reconnu que je suis plus à l'aise avec * nix qu'avec Windows, même si j'ai été prompt à le rejeter moi-même. C'est ce que j'ai fini par faire en raison du manque de fonds. Trouver OpenLDAP a été un défi, mais devrait porter ses fruits.
Cory Plastek
Vous mentionnez que les serveurs exécutent Ubuntu mais que vous avez des postes de travail exécutant Windows. Cela a-t-il à voir avec le paysage des applications, c'est-à-dire uniquement les versions Windows de certains logiciels? Vous voudrez peut-être avoir un plan pour l'avenir du paysage applicatif et envisager également les serveurs * IX / Windows basés sur ce plan.
PdC
19

Vous obtiendrez de nombreuses fonctionnalités intéressantes d'Active Directory que vous n'obtiendrez pas avec OpenLDAP. Le principal d'entre eux étant à la fois l'authentification unique (c'est-à-dire un compte d'utilisateur qui fonctionne sur tous les ordinateurs clients et serveurs) et la stratégie de groupe.

J'adore les logiciels open source, mais jusqu'à ce que Samba 4 arrive à maturité, Active Directory offre la meilleure expérience administrative avec Windows 2000 et les ordinateurs clients plus récents.

Sans l'utilisation de logiciels tiers, il n'y a pas d'authentification LDAP basée sur des normes avec les clients Windows XP. Lisez ma réponse ici: intégration Kerberos avec Windows XP - l'expérience avec OpenLDAP sera très similaire (sauf que vous aurez besoin d'un logiciel tiers comme pGINA à l'avance pour faire fonctionner l'authentification LDAP): Comment faire pour que Windows XP s'authentifie contre Kerberos ou Heimdal

Le choix ou non d'utiliser Windows Small Business Server dépend de ce que vous souhaitez dépenser (le coût initial et le coût des licences d'accès client pour SBS est supérieur à "simple vanille" Windows) et si vous obtiendrez ou non de la valeur supplémentaire " traits". Je préfère considérer Windows SBS comme un ensemble Windows et Exchange peu coûteux (avec une configuration trop compliquée et des outils d'administration grossiers que je n'utilise jamais.) J'ai tendance à administrer Windows SBS comme une machine Windows et Exchange Server "normale", et cela fonctionne très bien comme tel.

Un serveur Windows avec Active Directory, Microsoft DHCP / DNS, WSUS (pour fournir des mises à jour aux ordinateurs clients) et certains objets de stratégie de groupe pour gérer la configuration des environnements utilisateur / ordinateur et l'installation de logiciels allégeront considérablement votre charge administrative et faciliteront l'ajout de futurs ordinateurs. Exchange n'est pas si difficile à mettre en place et à fonctionner (les plus gros problèmes étant liés à la circulation de votre courrier depuis Internet - de nombreuses personnes ne semblent pas comprendre comment DNS et SMTP fonctionnent ensemble).

En supposant que votre installation est effectuée par quelqu'un qui sait ce qu'ils font et que vous traitez bien tout après coup, cela fonctionnera bien pour vous sans beaucoup de maux de tête administratifs. J'annule les personnes qui déplorent le manque de fiabilité de Windows et d'Exchange, car elles rencontrent généralement des problèmes parce qu'elles (a) utilisent du matériel inférieur et en paient le prix à long terme, ou (b) ne sont pas compétentes pour administrer le logiciel. J'ai des installations Windows SBS remontant à la version 4.0 qui fonctionnent bien des années après l'installation - vous pouvez également en avoir une.

Si vous n'avez aucune expérience avec ces produits, je vous recommande de travailler avec un consultant réputé pour effectuer l'installation et vous aider à devenir autonome en matière d'administration. Je recommanderais un bon livre si j'en connaissais un, mais j'ai été assez mécontent de presque tous ceux que j'ai lus (ils semblent tous manquer d'exemples concrets et d'études de cas, généralement).

Il y a beaucoup de consultants qui peuvent vous faire démarrer à peu de frais (la configuration dont vous parlez, en supposant que vous allez faire le travail "en vrac" vous-même, ressemble à environ un jour et demi à deux jours pour un installation de base de Windows et Exchange, pour moi) et peut vous aider à "apprendre les cordes". Si vous choisissez de le faire, la majorité de la main-d'œuvre ira à la migration de vos environnements utilisateur existants (migration de leurs documents et profils existants vers le profil utilisateur itinérant de leur nouveau compte AD et redirection des dossiers "Mes documents", etc.). (Je le ferais, simplement parce que cela rendra les utilisateurs plus heureux et plus productifs à long terme.)

Vous devez prévoir une sorte de périphérique de sauvegarde et de logiciel de gestion de sauvegarde, un ordinateur serveur avec des disques redondants ( RAID-1 minimum ) et une sorte de protection d'alimentation (UPS). Je m'attendrais, avec un serveur bas de gamme, les coûts de licence et le matériel de protection d'alimentation que vous pourriez obtenir dans la porte avec Windows SBS pour environ 3500,00 $ - 4000,00 $. Personnellement, je vous spécifierais environ 10 à 20 heures de travail de configuration, en fonction de votre niveau de connaissance de vos besoins et de la quantité de travail que vous souhaitez apprendre, par rapport à la tâche de l'installateur.

Voici une liste de haut niveau des types de tâches d'installation que je vois dans un déploiement comme le vôtre:

  • Configurer physiquement l'ordinateur serveur, l'onduleur, etc.
  • Installer Windows, Exchange, WSUS, les services d'infrastructure, les Service Packs, le logiciel de gestion de sauvegarde, le logiciel de gestion UPS, etc.
  • Discutez du partage de fichiers (autorisations, emplacements de fichiers partagés, hiérarchie de répertoires).
  • Créez des comptes d'utilisateurs (dossiers de profils itinérants, dossiers "Mes documents", etc.), groupes de sécurité, groupes de distribution, GPO de base.
  • Discutez de la migration des données de courrier électronique existantes et formulez une stratégie, des modifications du DNS pour apporter le courrier électronique directement à Exchange.
  • Discutez de la migration des environnements utilisateur vers de nouveaux comptes AD. Développer une procédure de migration si une formation pour effectuer la migration est souhaitée.
  • Effectuez des migrations pilotes d'ordinateurs clients et de profils utilisateur dans le domaine.
  • Discutez des tâches quotidiennes de l'administrateur système (réinitialisation du mot de passe, modification de l'appartenance à un groupe d'utilisateurs, examen des notifications de réussite / d'échec de la sauvegarde, surveillance de WSUS et installation de la mise à jour), discutez des problèmes courants, du dépannage et de la résolution, effectuez une session de questions-réponses.
  • Faire des recommandations pour les activités futures (automatisation des installations logicielles, connectivité VPN, etc.)
Evan Anderson
la source
J'utilise les deux serveurs Ubuntu pour gérer les sauvegardes (les deux RAID 10) sur les onduleurs. Le bon livre que j'ai ramassé est "La pratique de l'administration système et réseau"
Cory Plastek
Le livre de Limoncelli est OK, gardez à l'esprit que c'est l'école de gestion informatique de McDonald's (les utilisateurs sont des clients et doivent être satisfaits de vouloir des frites avec cet e-mail?) Une approche ITIL / MOF le regarde d'une entreprise d'abord, les utilisateurs sont un idée d'effet secondaire.
Jim B
3
Je suis un peu troublé par le mot «RAID» si proche du mot «sauvegardes» dans votre déclaration ci-dessus. On ne peut pas dire assez «RAID n'est pas une sauvegarde». Peut-être voulez-vous dire quelque chose comme «je vais pour copier le contenu de Windows Server, périodiquement, sur l'un des serveurs Ubuntu. "Je n'entrerai pas dans une diatribe religieuse ici, mais je caractériserais cette stratégie comme une stratégie de sauvegarde sous-optimale.
Evan Anderson
1
En fait, Samba 3 ne fournit toujours que des services d'authentification au niveau NT ... Samba 4 fournira enfin une authentification au niveau AD.
Avery Payne
@Avery: Mon mauvais - tu as raison re: la version Samba! Oeuf sur mon visage ...
Evan Anderson
4

OpenLDAP peut être utilisé pour vérifier les mots de passe mais c'est surtout un moyen centralisé de gérer les identités. AD intègre ldap, kerberos, DNS et DHCP. C'est un système beaucoup plus complet que juste OpenLDAP en lui-même.

Du point de vue de la gestion, vous pouvez simplement installer AD sur une paire de serveurs win2k3 et pointer tous les systèmes Unix vers lui et utiliser les serveurs AD uniquement pour la vérification des mots de passe. Il est super trivial de faire un système Unix avec pam utiliser des kerberos pour la vérification des mots de passe et des fichiers de mots de passe locaux pour l'autorisation. Ce n'est pas aussi bon qu'une intégration AD complète, mais c'est aussi trivial à implémenter.

avantages et inconvénients de l'intégration AD linux

utiliser AD comme serveur Kerberos pour authentifier les comptes locaux

chris
la source
1

Vous devriez également jeter un oeil au serveur d'annuaire Fedora (qui est apparemment maintenant officiellement "serveur d'annuaire 389"), basé sur la base de code Netscape LDAP. Il est vendu par RedHat sous sa marque et est donc activement maintenu. J'ai entendu dire qu'il était plus agréable qu'OpenLDAP à certains égards, même si je ne l'ai jamais utilisé moi-même. Il est probablement plus proche d'AD en termes de fonctionnalités qu'OpenLdap en lui-même, qui n'est vraiment que le cœur d'un système d'annuaire à part entière.

Il existe également Apache Directory Server , qui est purement Java et qui semble également être activement développé.

niXar
la source
0

Puisque vous n'avez aucune expérience avec l'un ou l'autre, il y aura des coûts (principalement en temps) associés à la courbe d'apprentissage. Du point de vue de la maintenance, la seule fois où vous devez vraiment toucher à LDAP est lorsque vous ajoutez / supprimez des comptes ou modifiez leurs attributs (changements de nom / d'adresse). Cela se fait assez facilement avec les deux. Du point de vue de l'implémentation, c'est le répertoire avec lequel vous voulez avoir le plus de temps pour permettre aux clients de communiquer: Active Directory est plus facile car les clients Windows peuvent nativement «parler» aux contrôleurs de domaine et la documentation pour permettre à Ubuntu / à d'autres Linux de authentifier à partir d'AD est facilement disponible. Si vous voulez que vos clients Windows puissent s'authentifier hors openLDAP, vous aurez besoin d'un serveur SAMBA à l'écoute des demandes (openLDAP ne le fait pas nativement).

une luge
la source
0

AD offre des choses comme les stratégies de groupe et d'autres éléments de gestion que vous n'obtiendrez pas très facilement avec une solution openLDAP, c'est un jeu d'enfant pour installer un déploiement de base de Windows Server et l'intégrer aux clients XP / Vista / 7, et l'intégration des clients Ubuntu est de difficulté comparable avec AD et openLDAP.

Des produits comme Suse SLES et Redhat Enterprise Server (ou CentOS) facilitent l'intégration de Win et Linux par rapport, par exemple, aux serveurs Ubuntu ou Debian, mais il reste encore beaucoup à apprendre.

Si le coût était un problème, vous pourriez créer une configuration avec Linux et certains logiciels supplémentaires, comme la politique du groupe Nitrobit, qui permettraient une quantité comparable de fonctionnalités, mais avec une courbe d'apprentissage abrupte.

Sven
la source