Si quiero configurar algunas PC con Windows 7 u 8 para permitir solo inicios de sesión usando cuentas de dominio, ¿debo desembolsar el dinero para comprar un servidor Windows para esto? ¿O sería suficiente un servidor LDAP como Apache DS o incluso el servidor LDAP integrado en mi QNAP NAS?
Si además deseo aplicar políticas en las PC, como impedir que los usuarios cambien la configuración de Propiedades de IPv4, ¿se puede aplicar esto localmente en cada PC sin usar un servidor Windows?
Respuesta1
Puede configurar Linux para que actúe como controlador de dominio utilizando el software SAMBA. Entonces no, no necesita comprar licencias para Windows Server simplemente para iniciar sesión en el dominio.
Sin embargo, un servidor LDAP normal no es suficiente.
AFIK, incluso puede aplicar políticas de grupo utilizando software gratuito, SAMBA v4 ciertamente admite políticas de grupo, aunque no tengo claro si aún debe obtener licencias de acceso de cliente. Creo que herramientas como Same Open y Centrify Express afirman hacer esto, aunque ambos sitios parecen haber avanzado o cerrado desde mis últimas referencias. En realidad no he hecho esto, así que no puedo estar seguro de lo fácil que es.igualmente abiertoahora es parte de BeyondTrust.
ElWIKI DE SAMBATambién tiene algunas instrucciones básicas, aunque parecen un poco anticuadas y parece que puedes hacer la mayoría de las cosas exclusivamente con SAMBA siempre que uses la versión 4.
ACTUALIZAR:
Para responder a la pregunta de por qué LDAP por sí solo no es suficiente. Si bien Active Directory se basa parcialmente en los estándares LDAP, tiene muchas adiciones propietarias específicas de Windows. Debe tener servicios que no sean LDAP que respondan a los inicios de sesión de los clientes, acuerdos con grupos, licencias, políticas de grupo y mucho más.
LDAP, por otro lado, es un estándar y un protocolo que surgió de X.500 y que fue diseñado para proporcionar un directorio de usuarios de nivel empresarial (de hecho, global) y recursos relacionados para los sistemas de correo electrónico basados en X.400. X.500 era excesivo para la mayoría de las cosas y requería un cliente muy complejo que era demasiado pesado para la mayoría de las PC de la época. Entonces LDAP (LigeroProtocolo de acceso a directorios) nació. Sin embargo, en esencia, sigue siendo sólo un mecanismo para buscar datos de usuarios y similares en un directorio muy grande de elementos. Todo lo que hace es tomar consultas estándar y devolver resultados de forma estándar. Por supuesto, hay un poco más, pero esa es la esencia.
Respuesta2
Un controlador de dominio Samba 4 debería proporcionar todas las funciones que describió. En particular, admite políticas de grupo y la autenticación que mencionaste lista para usar, siempre que te ciñas a un solo servidor. La configuración no es demasiado difícil siempre que se ciña a la documentación.
Como ya se mencionó, un servidor LDAP estándar no funcionará. Windows es bastante exigente con la combinación de LDAP, Kerberos y servicios de archivos en el controlador de dominio y todos ellos son un poquito diferentes de lo que estaba estandarizado.
Las limitaciones de las que la gente habla a menudo son en su mayoría más complicaciones de configuración que limitaciones reales y todas ellas sólo entran en juego si estás buscando algo más que un solo servidor. En ese caso, a Samba 4 le faltan partes de la política de replicación incorporada, por lo que necesitará un script para solucionarlo. El otro problema que entra en juego es que la autenticación NTP y Kerberos son servicios separados y deben configurarse para que coincidan con su primer servidor. Yo diría que una vez que tienes los dos primeros servidores ejecutándose, no es demasiado complicado administrarlos, pero la curva inicial para configurar un entorno Samba 4 multiservidor puede ser bastante alta.
Por supuesto, las distribuciones comerciales, como nuestra UCS, pueden hacer que sea más fácil ejecutar y administrar Samba 4, pero en el fondo es el mismo software que ejecutamos en entornos de 10000 usuarios.