Active Directory vs OpenLDAP

Esto es para una pequeña empresa (12 desarrolladores) que no ha implementado ninguna base de datos de usuarios centralizada: han crecido orgánicamente y solo crearon cuentas en las computadoras según lo necesitaban.

Desde el punto de vista de la administración, es una pesadilla: 10 computadoras, todas con diferentes cuentas de usuario. Si se agrega un usuario a una computadora, debe agregarse manualmente en todas las demás (a las que necesitan acceder). Esto está lejos de ser ideal. Avanzar y hacer crecer el negocio significará exponencialmente más trabajo a medida que se agreguen / contraten más computadoras / usuarios.

Sé que algún tipo de gestión centralizada de usuarios es muy necesaria. Sin embargo, estoy debatiendo entre Active Directory y OpenLDAP. Dos servidores actuales funcionan como simples servidores de respaldo y de intercambio de archivos, ambos ejecutan Ubuntu 8.04LTS. Las computadoras son una mezcla de Windows XP y Ubuntu 9.04.

No tengo experiencia con Active Directory (o realmente OpenLDAP para el caso, pero me siento cómodo con Linux), pero si una solución supera a la otra, entonces está garantizado que aprendo eso.

El costo inicial no es realmente un problema, el TCO sí lo es. Si Windows (¿supongo SBS?) Me ahorrará tiempo suficiente para compensar el aumento del costo inicial, entonces creo que debería ir con esa solución.

Para mis necesidades, ¿qué solución debería considerar implementar?

editar: el correo electrónico está alojado fuera del sitio, por lo que Exchange no es necesario.

Quédese con el código abierto, si estoy leyendo su pregunta correctamente:

• No te importa el intercambio
• No tiene una gran necesidad de un control minucioso de la configuración de XP: me encanta la política de grupo principalmente para salvar al personal de administración / ventas de ellos mismos, los desarrolladores en su mayoría necesitan que me mantenga al margen
• Te sientes más cómodo con * nix que con windows

AD es excelente para administrar ventanas en gran medida, pero si no lo necesita, se está comprando una curva de aprendizaje que probablemente no traerá grandes beneficios.

2 advertencias

• Si tiene el tiempo / interés para esforzarse más en el lado de la EM, esta es una buena manera de proporcionarlo.
• WSUS es una buena manera de controlar parches de estación de trabajo / servidor. Si no puede simplemente activar el interruptor "automático" en todas las máquinas, esto podría llevar el equilibrio a SBS (si SBS hace WSUS?)

Obtendrá muchas características interesantes de Active Directory que no obtendrá con OpenLDAP. El principal de ellos es el inicio de sesión único (es decir, una cuenta de usuario que funciona en todos los equipos cliente y servidor) y la Política de grupo.

Me encanta el software de código abierto, pero hasta que Samba 4 madure, Active Directory proporciona la mejor experiencia administrativa con Windows 2000 y las computadoras cliente más recientes.

Sin el uso de software de terceros, no hay autenticación LDAP basada en estándares con clientes Windows XP. Lea mi respuesta aquí re: Integración de Kerberos con Windows XP: la experiencia con OpenLDAP será muy similar (excepto que necesitará un software de terceros como pGINA por adelantado para que la autenticación LDAP funcione): Cómo hacer que Windows XP se autentique contra kerberos o heimdal

El que se elija o no Windows Small Business Server depende de lo que desee gastar (el costo inicial y el costo de las licencias de acceso de cliente para SBS es más que Windows "simple") y si obtendrá o no un valor adicional " caracteristicas". Prefiero pensar en Windows SBS como un paquete económico de Windows y Exchange (con una configuración demasiado complicada y herramientas de administración difíciles de usar que nunca uso). Tiendo a administrar Windows SBS como una máquina Windows y Exchange Server "normal", y funciona muy bien como tal.

Un servidor de Windows con Active Directory, Microsoft DHCP / DNS, WSUS (para proporcionar actualizaciones a las computadoras cliente) y algunos objetos de directiva de grupo para manejar la configuración de entornos de usuario / computadora e instalar software aliviará enormemente su carga administrativa y facilitará la adición de computadoras futuras. El intercambio no es tan difícil de poner en marcha (los mayores problemas están relacionados con hacer que su correo fluya desde Internet, por lo que muchas personas no parecen entender cómo funcionan juntos DNS y SMTP).

Asumiendo que su instalación es realizada por alguien que sabe lo que está haciendo, y que trata bien todo después del hecho, funcionará bien para usted sin mucho dolor de cabeza administrativo. Descarto a las personas que lamentan la falta de fiabilidad de Windows y Exchange, porque generalmente tienen problemas porque (a) usaron hardware inferior y están pagando el precio a largo plazo, o (b) no son competentes para administrar el software. Tengo instalaciones de Windows SBS que se remontan a la versión 4.0 del marco de tiempo que se ejecutan bien años después de la instalación; también puede tener una.

Si no tiene experiencia con estos productos, le recomiendo que trabaje con un consultor acreditado para realizar la instalación y comenzar a ser autosuficiente en administración. Recomendaría un buen libro si supiera uno, pero me han disgustado bastante casi todos los que he leído (todos parecen carecer de ejemplos de la vida real y estudios de casos, por lo general).

Hay muchos consultores que pueden ayudarlo a despegar a bajo costo (la configuración de la que está hablando, suponiendo que usted mismo va a hacer el trabajo "a granel", se siente como un día y medio o dos días por un instalación básica de Windows y Exchange, para mí) y puede ayudarlo a "aprender las cuerdas". La mayoría de la mano de obra se destinará a migrar sus entornos de usuario existentes (migrar sus documentos y perfiles existentes al perfil de usuario itinerante de su nueva cuenta de AD y redirigir las carpetas de "Mis documentos", etc.) si elige hacerlo. (Lo haría, solo porque hará que los usuarios sean más felices y productivos a largo plazo).

Debe planear algún tipo de dispositivo de respaldo y software de administración de respaldo, una computadora servidor con discos redundantes ( mínimo RAID-1) y algún tipo de protección de energía (UPS). Esperaría, con un servidor de gama baja, los costos de licencia y el hardware de protección de energía que podría obtener en la puerta con Windows SBS por aproximadamente $ 3500.00 - $ 4000.00. Personalmente, le especifico aproximadamente de 10 a 20 horas de trabajo de configuración, dependiendo de qué tan familiarizado esté con sus necesidades y cuánto trabajo desea que se le enseñe, en lugar de que el instalador lo haga.

Aquí hay una lista de alto nivel de los tipos típicos de tareas de instalación que veo en una implementación como la suya:

• Configurar físicamente la computadora del servidor, UPS, etc.
• Instale Windows, Exchange, WSUS, servicios de infraestructura, paquetes de servicios, software de administración de respaldo, software de administración de UPS, etc.
• Discuta el intercambio de archivos (permisos, ubicaciones de archivos compartidos, jerarquía de directorios).
• Cree cuentas de usuario (carpetas de perfil móvil, carpetas "Mis documentos", etc.), grupos de seguridad, grupos de distribución, GPO básicos.
• Discuta la migración de datos de correo electrónico existentes y formule estrategias, cambios en DNS para llevar el correo electrónico directamente a Exchange.
• Discuta la migración de entornos de usuario a nuevas cuentas de AD. Desarrolle un procedimiento para la migración si se desea capacitación para realizar la migración.
• Realice migraciones piloto de equipos cliente y perfiles de usuario en el dominio.
• Discuta las tareas diarias de administrador de sistemas (restablecimiento de contraseña, cambio de membresía de grupos de usuarios, revisión de notificaciones de éxito / falla de respaldo, monitoreo de WSUS e instalación de actualizaciones), discuta problemas comunes, resolución de problemas y resolución, realice sesiones de preguntas y respuestas.
• Hacer recomendaciones para actividades futuras (automatización de instalaciones de software, conectividad VPN, etc.)

OpenLDAP se puede usar para verificar contraseñas, pero es principalmente una forma centralizada de administrar identidades. AD integra ldap, kerberos, DNS y DHCP. Es un sistema mucho más completo que solo OpenLDAP en sí mismo.

Desde una perspectiva de gestión, puede simplemente instalar AD en un par de servidores win2k3 y apuntar a todos los sistemas unix y usar los servidores AD solo para verificar la contraseña. Es súper trivial hacer que un sistema unix con pam use kerberos para verificar la contraseña y los archivos de contraseña locales para la autorización. No es tan bueno como la integración AD completa, pero también es trivial de implementar.

Pros y contras de la integración de AD Linux

usando AD como servidor kerberos para autenticar cuentas locales

También debe echar un vistazo al servidor de directorio Fedora (que aparentemente ahora es oficialmente "servidor de directorio 389"), basado en la base de código LDAP de Netscape. RedHat lo vende bajo su marca, por lo que se mantiene activamente. He escuchado que es mejor que OpenLDAP en algunos aspectos, aunque nunca lo he usado yo mismo. Probablemente esté más cerca de AD en funcionalidad que OpenLdap por sí mismo, que en realidad es solo el núcleo de un sistema de directorio completo.

También está Apache Directory Server , que es Java puro y también parece que está desarrollado activamente.

Como no tiene experiencia con ninguno de los dos, habrá costos (principalmente en tiempo) asociados con la curva de aprendizaje. Desde el punto de vista del mantenimiento, la única vez que realmente tiene que tocar LDAP es cuando agrega / elimina cuentas o modifica sus atributos (cambios de nombre / dirección). Esto se hace fácilmente con ambos. Desde el punto de vista de la implementación, es el directorio con el que desea poder tener el tiempo más fácil para permitir que los clientes se comuniquen: Active Directory es más fácil ya que los clientes de Windows pueden 'hablar' de forma nativa con controladores de dominio y documentación para permitir que Ubuntu / otras Linux autenticar desde AD está fácilmente disponible. Si desea que sus clientes de Windows puedan autenticarse fuera de openLDAP, necesitará un servidor SAMBA que escuche las solicitudes (openLDAP no hace esto de forma nativa).

AD ofrece cosas como Políticas de grupo y otras cosas de administración que no será muy fácil con una solución openLDAP, es muy fácil instalar una implementación básica de Windows Server e integrarla con clientes XP / Vista / 7, y la integración de clientes Ubuntu es de dificultad comparable con AD y openLDAP.

Productos como Suse SLES y Redhat Enterprise Server (o CentOS) hacen que la integración de Win y Linux sea más fácil que, por ejemplo, los servidores de Ubuntu o Debian, pero aún es mucho por aprender.

Si el costo fuera un problema, podría crear una configuración con Linux y algún software adicional, como la política del Grupo Nitrobit, que permitiría una cantidad comparable de funcionalidad, pero con una curva de aprendizaje pronunciada.