Se eu quiser configurar alguns PCs com Windows 7 ou 8 para permitir logins apenas usando contas de domínio, devo desembolsar o dinheiro para comprar um Windows Server para isso? Ou um servidor LDAP como o Apache DS ou mesmo o servidor LDAP integrado no meu QNAP NAS serviria?
Se eu ainda quiser aplicar políticas nos PCs, como impedir que os usuários alterem as configurações de Propriedades IPv4, isso pode ser aplicado localmente em cada PC sem usar um Windows Server?
Responder1
Você pode configurar o Linux para atuar como controlador de domínio usando o software SAMBA. Portanto, não, você não precisa comprar licenças do Windows Server simplesmente para logins de domínio.
Entretanto, um servidor LDAP comum não é suficiente.
AFIK, você pode até aplicar políticas de grupo usando software livre, o SAMBA v4 certamente suporta políticas de grupo, embora não esteja claro se você ainda deve licenciar licenças de acesso para cliente. Acho que ferramentas como Same Open e Centrify Express afirmam fazer isso, embora ambos os sites pareçam ter mudado ou fechado desde minhas últimas referências. Na verdade, não fiz isso, então não posso ter certeza de quão fácil é.Da mesma forma abertoagora faz parte do BeyondTrust.
OSAMBA WIKItambém tem algumas instruções básicas, embora pareçam um pouco desatualizadas e parece que você pode fazer a maioria das coisas exclusivamente com o SAMBA, desde que esteja usando a v4.
ATUALIZAR:
Para responder à pergunta sobre por que o LDAP sozinho não é suficiente. Embora o Active Directory seja parcialmente baseado nos padrões LDAP, ele possui muitas adições proprietárias específicas do Windows. Você precisa ter serviços não LDAP que respondam a logins de clientes, lidem com grupos, licenças, políticas de grupo e muito mais.
O LDAP, por outro lado, é um padrão e protocolo que saiu do X.500 e foi projetado para fornecer um diretório de usuários de nível empresarial (na verdade global) e recursos relacionados para sistemas de e-mail baseados em X.400. O X.500 era um exagero para a maioria das coisas e exigia um cliente muito complexo que era pesado demais para a maioria dos PCs da época. Então LDAP (LeveProtocolo de acesso ao diretório) nasceu. Em essência, porém, ainda é apenas um mecanismo para procurar dados de usuários e semelhantes em um diretório muito grande de itens. Tudo o que ele faz é pegar consultas padrão e retornar resultados de maneira padrão. Há um pouco mais, é claro, mas essa é a essência.
Responder2
Um controlador de domínio Samba 4 deve fornecer todas as funções que você descreveu. Em particular, ele oferece suporte a políticas de grupo e autenticação que você mencionou imediatamente, desde que você se atenha a um único servidor. A configuração não é muito difícil, desde que você siga a documentação.
Como já foi mencionado, um servidor LDAP padrão não resolverá o problema. O Windows é bastante exigente quanto à combinação de LDAP, Kerberos e serviços de arquivo no controlador de domínio e todos eles são um pouco diferentes do que foi padronizado.
As limitações sobre as quais as pessoas costumam falar são, em sua maioria, mais complicações de configuração do que limitações reais e todas elas só entram em ação se você estiver procurando por algo mais do que um único servidor. Nesse caso, o Samba 4 não possui partes da replicação de replicação da política integrada, então você precisará de um script para contornar isso. A outra questão que entra em jogo é que a autenticação NTP e Kerberos são serviços separados e precisam ser configurados para corresponder ao seu primeiro servidor. Eu diria que uma vez que você tenha os dois primeiros servidores em execução, não será um grande problema gerenciá-los, mas a curva inicial para configurar um ambiente Samba 4 com vários servidores pode ser bastante alta.
É claro que distribuições comerciais, como nosso UCS, podem facilitar a execução e administração do Samba 4, mas por baixo está o mesmo software que rodamos em ambientes de 10.000 usuários.