도메인 계정을 사용한 로그인만 허용하도록 몇 대의 Windows 7 또는 8 PC를 설정하려는 경우 이를 위해 Windows Server를 구입하기 위해 현금을 포크해야 합니까? 아니면 Apache DS와 같은 LDAP 서버나 QNAP NAS에 내장된 LDAP 서버가 가능할까요?
사용자가 IPv4 속성 설정을 변경하지 못하도록 하는 등의 정책을 PC에 추가로 적용하려는 경우 Windows Server를 사용하지 않고 각 PC에 로컬로 적용할 수 있습니까?
답변1
SAMBA 소프트웨어를 사용하여 Linux를 도메인 컨트롤러로 작동하도록 설정할 수 있습니다. 따라서 단순히 도메인 로그인을 위해 Windows Server 라이선스를 구매할 필요는 없습니다.
그러나 일반 LDAP 서버로는 충분하지 않습니다.
AFIK, 무료 소프트웨어를 사용하여 그룹 정책을 적용할 수도 있습니다. SAMBA v4는 확실히 그룹 정책을 지원하지만 실제로 클라이언트 액세스 라이센스 라이센스를 받아야 하는지는 확실하지 않습니다. Simply Open 및 Centrify Express와 같은 도구는 두 사이트 모두 마지막 참조 이후 이동했거나 폐쇄된 것처럼 보이지만 이 작업을 수행한다고 주장한 것 같습니다. 실제로 해본 적이 없어서 얼마나 쉬운지는 모르겠습니다.마찬가지로 오픈이제 BeyondTrust의 일부가 되었습니다.
그만큼삼바 위키약간 오래된 것처럼 보이지만 몇 가지 기본 지침도 있으며 v4를 사용하는 한 SAMBA만으로 대부분의 작업을 수행할 수 있는 것처럼 보입니다.
업데이트:
LDAP만으로는 충분하지 않은 이유에 대한 질문에 대답합니다. Active Directory는 실제로 LDAP 표준을 부분적으로 기반으로 하고 있지만 Windows와 관련된 독점 추가 기능이 많이 있습니다. 클라이언트 로그인, 그룹 처리, 라이센스, 그룹 정책 등에 응답하는 비LDAP 서비스가 있어야 합니다.
반면에 LDAP는 X.400 기반 전자 메일 시스템에 사용자 및 관련 리소스의 엔터프라이즈(실제로 글로벌) 등급 디렉토리를 제공하도록 설계된 X.500에서 나온 표준 및 프로토콜입니다. X.500은 대부분의 작업에 과잉이었고 당시 대부분의 PC에 비해 너무 무거웠던 매우 복잡한 클라이언트가 필요했습니다. 따라서 LDAP(경량디렉터리 액세스 프로토콜)이 탄생했습니다. 그러나 본질적으로 이는 여전히 매우 큰 항목 디렉터리에서 사용자 및 유사한 데이터를 조회하기 위한 메커니즘일 뿐입니다. 그것이 하는 일은 표준 쿼리를 취하고 표준 방식으로 결과를 반환하는 것뿐입니다. 물론 조금 더 많은 내용이 있지만 이것이 핵심입니다.
답변2
Samba 4 도메인 컨트롤러는 설명된 모든 기능을 제공해야 합니다. 특히 단일 서버를 고수하는 한 기본적으로 언급한 그룹 정책 및 인증을 지원합니다. 설명서를 준수하는 한 설치는 그리 어렵지 않습니다.
이미 언급한 것처럼 표준 LDAP 서버는 이러한 작업을 수행하지 않습니다. Windows는 도메인 컨트롤러의 LDAP, Kerberos 및 파일 서비스 조합에 대해 다소 까다로우며 모두 표준화된 것과 약간 다릅니다.
사람들이 자주 이야기하는 제한 사항은 대부분 실제 제한 사항보다 설정이 더 복잡하며 단일 서버 이상의 것을 조사하는 경우에만 이러한 제한 사항이 적용됩니다. 이 경우 Samba 4에는 내장 정책 복제 복제 부분이 부족하므로 이를 해결하려면 스크립트가 필요합니다. 이때 발생하는 또 다른 문제는 NTP와 Kerberos 인증이 별도의 서비스이므로 첫 번째 서버와 일치하도록 구성해야 한다는 것입니다. 처음 두 개의 서버를 실행하면 관리하는 데 큰 문제가 되지 않지만 다중 서버 Samba 4 환경을 설정하기 위한 초기 곡선은 다소 높을 수 있습니다.
물론 UCS와 같은 상용 배포판을 사용하면 Samba 4를 더 쉽게 실행하고 관리할 수 있지만 그 기반에는 10,000명의 사용자 환경에서 실행하고 있는 동일한 소프트웨어가 있습니다.