OpenLDAP 和 pGina 與 Active Directory(使用 Samba4 域控制器)
注意:我知道有一些問題在談論類似的主題,但它們都是幾年前的,因此我更願意提及我的確切情況,以便根據時間技術獲得最合適的解決方案。我想請討論一些不同的案例以獲得完整的理解。
我想管理一個公司或大學的系統(如此中大型案例 ) ,我打算在Ubuntu伺服器上為系統使用者提供以下服務:OpenVPN、Jabber、Git、FreeRadius、Email、 Redmine 和 samba 文件共享等…我希望所有服務都使用相同的使用者名和密碼進行身份驗證(以便從集中式身份驗證系統、OpenLDAP 或 Active Directory(使用 Samba4 作為域控制器)獲取使用者名和密碼)。我想讓客戶使用他們以前相同的使用者名和密碼登錄到公司或大學的公共電腦,而客戶端的那些公共 PC 是 Windows、Linux、MAC 的混合體(讓我們討論這種情況,當我們只有Windows的客戶端時,所以沒有混合)。
我曾經使用 OpenLDAP 來驗證所有提到的服務,並使用pGina通過 OpenLDAP 處理 Windows 登錄,這對我來說非常好。
但是當我開始學習使用 samba4 的 windows 域控制器時,我感到困惑,我無法決定什麼對我更好,**是 pGina 還是 Samba4 域控制器?**請記住,在這種情況下(域控制器)我不能再使用 OpenLDAP,因為我不能針對 OpenLDAP 驗證視窗,而只能驗證 samba4 AD(而且我不能在同一台伺服器上與 OpenLDAP 並行執行 Samba4DC,因為它們都是 LDAP 伺服器) .
我知道目前我無法針對 OpenLDAP 進行 Windows 登錄身份驗證,但我不能讓它們以某種方式相互通信以利用它們的優點(以防我需要 OpenLDAP 來執行 AD 中不可用的操作)?
您是否建議使用 OpenLDAP 或 Active Directory(使用 Samba4 作為域控制器),為什麼?(考慮到使用每個客戶端只使用一個使用者名和密碼來處理所有提到的服務的身份驗證和系統登錄身份驗證)。如果我使用 Samba4AD 而不是 OpenLDAP(以及相反的情況),我將能夠做什麼(以及不能做什麼)。根據我從之前的閱讀中了解到的,他們說 AD 的優點是它可以在 Windows 中管理組策略。組策略如何對我的情況完全有用?如果您建議使用 OpenLDAP,我有哪些替代方案?
總結主要問題:
- 就我而言,是首選 OpenLDAP 還是 Samba4AD DC 來驗證所有服務 + 客戶端使用相同的使用者名和密碼登錄?(雖然我知道我無法使用 OpenLDAP 對視窗進行身份驗證,但您可能對此有一些補充要說)。
- 通過 Samba4 而不是僅使用 pGina 將客戶端 PC 加入域控制器有什麼優勢?
- 如果兩者都缺少功能(其中一個提供了某些東西,而另一個沒有提供),那麼避免缺少這些功能的替代解決方案是什麼?
請注意,我更喜歡開源、受支持的長期實時解決方案(邏輯上)。
先感謝您!
我認為這是一個過於寬泛的問題,無法在這裡真正發揮作用,但我認為有一個更簡單的問題:“我正在研究 Samba4 與 OpenLDAP,我應該根據什麼做出決定?”
該問題的答案是:如果您需要 AD 提供的某些特定於 Windows(或至少以 Windows 為中心)的功能,Samba4 就很有意義。(如果您不想購買 Windows Server 和客戶端許可證。)
在考慮使用 Samba4 時,您應該將其視為等同於 Windows Server。您從 Microsoft 獲得(大部分)相同的東西:來自 Windows 客戶端的集成登錄、使用 Windows 工具的管理、Windows 樣式的 ACL、組策略、目錄複製(但不是 OpenLDAP!),以及與 LDAP 兼容的目錄其他應用程序可以對其進行身份驗證。
在你的情況下:
我想說,Samba4(或 Windows Server)提供的最有用的 Windows 特定功能是使用 Windows 工具的組策略和客戶端/文件/共享管理。現在這些對你來說似乎都不是特別重要。
OTOH,我不熟悉 pGina 或任何其他允許 Windows 客戶端針對 OpenLDAP 進行身份驗證的工具。我不知道它們是否工作良好,是否易於設置和維護。它們當然不像加入域的 Windows PC 那樣易於管理。
再舉一個例子:
在我們的案例中,我們主要有一些 Windows 客戶端和一些 Linux 和 Mac 使用者,我們認為讓 Windows 客戶端加入 AD 域很重要,所以我們設置了 Samba4 並轉儲了我們的 OpenLDAP 伺服器。我們之所以能夠做到這一點,是因為我們沒有太多帳戶,並且能夠想出解決方法來在 OpenLDAP 和 AD 之間同步密碼。我們對 Redmine、OpenVPN、Owncloud 和其他針對 Samba4 進行身份驗證的服務沒有任何問題。