Wenn ich ein paar Windows 7- oder 8-PCs so einrichten möchte, dass nur Anmeldungen über Domänenkonten möglich sind, muss ich dann Geld für den Kauf eines Windows-Servers ausgeben? Oder reicht ein LDAP-Server wie Apache DS oder sogar der in meinem QNAP NAS integrierte LDAP-Server?
Wenn ich außerdem Richtlinien auf den PCs anwenden möchte, z. B. das Ändern der IPv4-Eigenschafteneinstellungen durch Benutzer verhindern möchte, kann dies lokal auf jedem PC angewendet werden, ohne einen Windows-Server zu verwenden?
Antwort1
Sie können Linux mithilfe der SAMBA-Software als Domänencontroller einrichten. Sie müssen also keine Lizenzen für Windows Server kaufen, nur um sich bei Domänen anzumelden.
Ein gewöhnlicher LDAP-Server reicht jedoch nicht aus.
Soweit ich weiß, können Sie Gruppenrichtlinien sogar mit kostenloser Software anwenden. SAMBA v4 unterstützt Gruppenrichtlinien, obwohl mir nicht klar ist, ob Sie tatsächlich noch Clientzugriffslizenzen lizenzieren sollten. Ich glaube, Tools wie Likewise Open und Centrify Express behaupteten, dies zu tun, obwohl beide Websites seit meinen letzten Verweisen weitergezogen oder geschlossen zu sein scheinen. Ich habe das nicht wirklich getan, also kann ich nicht sicher sein, wie einfach es ist.Ebenso offenist jetzt Teil von BeyondTrust.
DerSAMBA WIKIenthält auch einige grundlegende Anweisungen, obwohl sie etwas veraltet erscheinen, und es sieht so aus, als könnten Sie die meisten Dinge ausschließlich mit SAMBA erledigen, solange Sie v4 verwenden.
AKTUALISIEREN:
Um die Frage zu beantworten, warum LDAP allein nicht ausreicht. Obwohl Active Directory tatsächlich teilweise auf den LDAP-Standards basiert, verfügt es über eine ganze Reihe proprietärer Ergänzungen, die speziell für Windows gelten. Sie benötigen Nicht-LDAP-Dienste, die auf Client-Anmeldungen reagieren, mit Gruppen, Lizenzen, Gruppenrichtlinien und vielem mehr umgehen.
LDAP hingegen ist ein Standard und Protokoll, das aus X.500 hervorgegangen ist und dazu gedacht war, ein unternehmenstaugliches (und tatsächlich globales) Verzeichnis von Benutzern und zugehörigen Ressourcen für X.400-basierte E-Mail-Systeme bereitzustellen. X.500 war für die meisten Dinge ein Overkill und erforderte einen sehr komplexen Client, der für die meisten PCs der damaligen Zeit zu schwer war. Daher wurde LDAP (LeichtDas Directory Access Protocol (DAP) war geboren. Im Wesentlichen ist es jedoch immer noch nur ein Mechanismus zum Nachschlagen von Benutzerdaten und ähnlichen Daten aus einem sehr großen Verzeichnis von Elementen. Es nimmt lediglich Standardabfragen entgegen und gibt Ergebnisse auf standardmäßige Weise zurück. Natürlich steckt noch ein bisschen mehr dahinter, aber das ist das Wesentliche.
Antwort2
Ein Samba 4-Domänencontroller sollte alle von Ihnen beschriebenen Funktionen bieten. Insbesondere unterstützt er die von Ihnen erwähnten Gruppenrichtlinien und die Authentifizierung sofort, solange Sie sich an einen einzelnen Server halten. Die Einrichtung ist nicht allzu schwierig, solange Sie sich an die Dokumentation halten.
Wie bereits erwähnt, reicht ein Standard-LDAP-Server jedoch nicht aus. Windows ist ziemlich wählerisch, was die Kombination von LDAP, Kerberos und Dateidiensten auf dem Domänencontroller angeht, und alle unterscheiden sich ein klein wenig von dem, was standardisiert wurde.
Die Einschränkungen, von denen die Leute oft sprechen, sind eher Einrichtungskomplikationen als echte Einschränkungen und sie alle kommen nur dann zum Tragen, wenn Sie mehr als einen einzelnen Server in Betracht ziehen. In diesem Fall fehlen Samba 4 Teile der integrierten Richtlinienreplikation, sodass Sie ein Skript benötigen, um das zu umgehen. Das andere Problem, das dann zum Tragen kommt, ist, dass NTP- und Kerberos-Authentifizierung separate Dienste sind und so konfiguriert werden müssen, dass sie zu Ihrem ersten Server passen. Ich würde sagen, wenn Sie die ersten beiden Server erst einmal laufen haben, ist es kein allzu großes Problem, das zu verwalten, aber die anfängliche Kurve für die Einrichtung einer Samba 4-Umgebung mit mehreren Servern kann ziemlich hoch sein.
Natürlich können kommerzielle Distributionen wie unser UCS die Inbetriebnahme und Verwaltung von Samba 4 einfacher machen, aber darunter befindet sich dieselbe Software, die wir in Umgebungen mit 10.000 Benutzern ausführen.