Alternativen zu Active Directory

Gibt es gute Alternativen für Active Directory?

Nach der Bereitstellung und Wartung vieler Windows-Websites, die alle Active Directory verwenden, habe ich mich gefragt, warum ich nie zweimal über die Verwendung von etwas anderem nachgedacht habe, z. B. Linux. Ich verstehe, dass es möglicherweise noch keine voll funktionsfähige Alternative gibt, aber ich suche zumindest nach etwas, das Active Directory sein und darauf hinarbeiten möchte.

Ebenso macht Open die Integration von Linux-Clients und Mitgliedsservern in ein vorhandenes Active Directory ziemlich einfach. Wir verwenden es auf einigen Ubuntu-Servern für NAS - gerade auf Jaunty aktualisiert und es funktioniert hervorragend, obwohl wir uns an das ebenfalls offene (4.x) und nicht an das ebenfalls offene5-Paket gehalten haben, da es einige Änderungen im neuesten gibt Version, die wir nicht vollständig herausgefunden haben. Insbesondere nimmt Ebenso ein Teil des Overheads und der Konfiguration aus dem Setup von krb5 / pam / winbind / samba heraus. Angeblich ist der Authentifizierungsmechanismus auch effizienter, aber das ist uns nicht wirklich aufgefallen.

Außerdem soll der lang erwartete Samba 4 in nicht allzu ferner Zukunft auf den Markt kommen und verspricht, dass eine Reihe von Verbesserungen der Interoperabilität, wie z. B. die Unterstützung von Gruppenrichtlinien, es wert sein könnten, auf dem Laufenden zu bleiben.

Ich bin überrascht, dass niemand Novells eDirectory erwähnt hat . Es gibt es seit 1993 (natürlich, wenn es damals NDS hieß). http://www.novell.com/products/edirectory/whychoose.html

Samba / LDAP / Kerberos wäre die einzige andere Option, die ich in Betracht ziehen würde.

OpenLDAP kann den Authentifizierungsteil von Active Directory ausführen. Ich glaube nicht, dass es einen Ersatz für Gruppenrichtlinien gibt, jedoch unter Windows.

Es könnte hilfreich sein, wenn Sie erklären, was genau Sie an Active Directory nicht mögen und warum Sie versuchen, dies zu vermeiden. Ich gehe von Kosten aus.

OSX Server bietet einen integrierten Open Source-Stack, um Active Directory basierend auf OpenLDAP zu ersetzen. Es ist nicht die einfachste Einrichtung, aber 99% davon können über die grafische Benutzeroberfläche ausgeführt werden. Wenn Sie über AD-Erfahrung verfügen, ist dies ziemlich einfach.

Außerdem bietet Apple Unterstützung für die Einrichtung, den Betrieb und die Konfiguration, falls Sie nicht weiterkommen :)

Wenn Sie nach etwas in der SOHO-Arena suchen, kann "SME Server" den Trick tun.

http://wiki.contribs.org

Ich habe es kürzlich gefunden und auf einer Testbox damit gespielt. Es scheint ziemlich solide zu sein.

Es wird sich um alle normalen Dinge kümmern; Datei- / Druckfreigabe, Web, E-Mail und NAT.

Es wird auch als alter PDC im NT-Stil fungieren.

Eine schöne Rezension finden Sie hier http://www.theregister.co.uk/2010/11/17/review_sme_server/

Dies hängt hauptsächlich davon ab, ob Windows als AD-Verbraucher beteiligt ist. Wenn nicht, gibt es Dutzende von Technologien, um unabhängige Teile von AD zu erfüllen:

• LDAP / Kerberos: Authentifizierung und Benutzerdaten
• BIND / ldap2dns / djbdns: DNS-Domänennamen
• cfengine / puppet: Verteilung und Durchsetzung von Gruppenrichtlinien (eines Tages können diese auch unter Windows ausgeführt werden)

Aber hier ist der Deal: Windows kann nur AD verwenden, also stecken Sie fest. Umarmen, erweitern, löschen.

Zweiter im eDirectory. Es macht alles, was AD kann, ist aber viel skalierbarer und standardkonform und läuft auf verschiedenen * nix-Varianten.

Kurze Antwort ist Nein.

Kein Projekt hat jemals eine gewisse Anziehungskraft auf das Streben nach einem vollständigen AD-Ersatz erhalten. AD ist ein Ökosystem mit sich selbst als Kern, Dinge wie Sicherheit, Austausch, DNS, Gruppenrichtlinienobjekt sind Zweige davon und diese wiederum sind mit Office, Sharepoint, SQL, Outlook usw. verflochten. Die meisten Projekte, die es gibt, sind nur Ersatz oder Replikationen einzelner Zweige und meistens nur, damit Nicht-Windows-Systeme in Windows-Netzwerke eingebunden werden können.

Sie können Windows-Computer mit Kerberos-Bereichen verbinden. Wenn Sie dies tun, verlieren Sie den Rest dessen, was Active Directory tut. Es ist nicht unähnlich, einen Unix-Computer für die Verwendung eines Realms zu konfigurieren.

Der größte Nachteil ist, dass das Gerät sein Kennwort nicht automatisch zurücksetzt. Und Gruppen. Und Politik. Und der Rest der Windows-Verwaltungserfahrung.

Hier ist ein Link, wie es geht ...

http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA

Sie können OpenLDAP / Samba / Kerberos zum Laufen bringen, aber das ist nicht die einfachste Sache. Sie müssen eine Menge Konfigurationen durchführen, die erheblich länger sind als die Zeit, die erforderlich wäre, um zwei Windows-Server hochzufahren, sie zu Domänencontrollern zu machen und mit einer Active Directory-Domäne zu arbeiten. Wie angegeben, erhalten Sie Gruppenrichtlinienobjekte und einige der anderen Funktionen (autorisierende DHCP-Server, in Active Directory integriertes DNS, von Active Directory Kerberos unterstützte IPSEC-Richtlinien, Exchange / OCS-Integration usw.).

Ich habe einige gute Erfahrungen mit Kaseya gemacht. Es ist sehr skriptlastig, bietet aber einen schönen Editor mit vielen Optionen. Auf dem Computer wird ein Agent ausgeführt, sodass Sie im Grunde alles tun können, was Active Directory tun kann, von der Änderung von Kennwörtern bis zur Weitergabe von Richtlinien.

Es gibt unzählige gehostete Austausch-Websites im Internet, die auch E-Mail-Probleme lösen.