Alternativas a Active Directory

¿Hay alguna buena alternativa para el directorio activo?

Para aclarar, después de implementar y mantener muchos sitios exclusivos de Windows que usan Active Directory, comencé a preguntarme por qué nunca pensé dos veces antes de usar otra cosa, por ejemplo, Linux. Entiendo que puede que todavía no exista una alternativa con todas las funciones, pero al menos estoy buscando algo que aspire a ser un directorio activo y esté trabajando para lograrlo.

Likewise-Open hace que la integración de clientes Linux y servidores miembros en un Active Directory existente sea bastante simple. Lo usamos en un par de servidores Ubuntu para NAS: acabo de actualizar a Jaunty y funciona muy bien, aunque nos quedamos con el paquete likewise-open (4.x) en lugar de likewise-open5, ya que hay algunos cambios en el más nuevo versión que no hemos descubierto por completo. En particular, Likewise elimina parte de la sobrecarga y la configuración de la configuración de krb5 / pam / winbind / samba. Supuestamente, su mecanismo de autenticación también es más eficiente, pero esto no es algo que realmente hayamos notado.

Además, se supone que el esperado Samba 4 llegará en un futuro no muy lejano, y promete que vale la pena estar atento a una serie de mejoras de interoperabilidad, como el soporte de la Política de grupo.

Me sorprende que nadie haya mencionado el eDirectory de Novell . Ha existido desde 1993 (por supuesto, si se llamaba NDS en ese entonces). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos sería la única otra opción que consideraría.

OpenLDAP puede hacer la parte de autenticación del directorio activo. Sin embargo, no creo que haya un reemplazo para la política de grupo en Windows.

Podría ser útil si explicara qué es exactamente lo que no le gusta de Active Directory y por qué intenta evitarlo, ¿supongo que el costo?

OSX Server proporciona una pila de código abierto incorporada para reemplazar el directorio activo basado en OpenLDAP. No es el más fácil de poner en marcha, pero el 99% se puede hacer a través de la GUI y si tienes experiencia en AD es bastante sencillo.

Además, Apple brinda soporte para poner en marcha, ejecutar y configurar en caso de que se quede atascado :)

Si está buscando algo en el ámbito de SOHO, entonces "SME Server" puede ser la solución.

http://wiki.contribs.org

Recientemente lo encontré y he estado jugando con él en una caja de prueba. Parece bastante sólido

Se encargará de todas las cosas normales; intercambio de archivos / impresiones, web, correo electrónico y NAT.

También actuará como un antiguo PDC de estilo NT.

Una buena revisión se puede encontrar aquí http://www.theregister.co.uk/2010/11/17/review_sme_server/

Depende principalmente de si Windows está involucrado como consumidor de AD. Si no, hay docenas de tecnologías para cumplir con partes independientes de AD:

• LDAP / Kerberos: autenticación y datos de usuario
• BIND / ldap2dns / djbdns: nombres de dominio DNS
• cfengine / puppet: distribución y aplicación de políticas grupales (algún día también pueden ejecutarse en Windows)

Pero este es el trato: Windows no puede consumir fácilmente nada más que AD, por lo que está atascado. Abraza, Extiende, Extingue.

Segundo en eDirectory. Hace todo lo que AD puede, pero es mucho más escalable y cumple con los estándares, y se ejecuta en varios tipos de * nix.

La respuesta corta es No.

Ningún proyecto ha recibido ningún tipo de tracción al aspirar a ser un reemplazo completo de AD. AD es un ecosistema en sí mismo como núcleo, cosas como seguridad, intercambio, DNS, GPO son ramas de esto y estas a su vez están entrelazadas con Office, Sharepoint, SQL, Outlook, etc. La mayoría de los proyectos que existen son solo reemplazos o réplicas de ramas individuales y, en su mayoría, solo para que los sistemas que no sean de Windows puedan vincularse a las redes de Windows.

Puede unir máquinas Windows a reinos Kerberos. Cuando hace esto, pierde el resto de lo que hace el directorio activo. No es diferente a configurar una máquina Unix para usar un reino.

La mayor desventaja es que la máquina no restablece automáticamente su contraseña. Y grupos. Y política. Y, bueno, el resto de la experiencia de administración de Windows.

Aquí hay un enlace sobre cómo hacerlo, aunque ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Puede hacer que OpenLDAP / Samba / Kerberos funcione, pero no es lo más fácil de hacer. Hay una gran cantidad de configuraciones por las que tendrá que pasar que es significativamente mayor que la cantidad de tiempo que tomaría poner de pie dos servidores de Windows y convertirlos en DC y estar en funcionamiento con un dominio de Active Directory. Y como se indicó, obtener GPO y algunas de las otras características (servidores DHCP autorizados, DNS integrado en Active Directory, políticas IPSEC respaldadas por Active Directory Kerberos, integración Exchange / OCS, etc.).

He tenido algunas buenas experiencias con Kaseya. Tiene muchos guiones, pero proporciona un buen editor con muchas opciones. ejecuta un agente en la máquina, por lo que puede hacer básicamente cualquier cosa que pueda hacer el directorio activo, desde cambiar las contraseñas hasta eliminar la política.

Hay toneladas de sitios de intercambio alojados en Internet que también resuelven problemas de correo electrónico.