OpenLDAP 和 pGina 与 Active Directory(使用 Samba4 域控制器)

OpenLDAP 和 pGina 与 Active Directory(使用 Samba4 域控制器)

注意:我知道有些问题在谈论类似的话题,但它们都是几年前的了,因此我更愿意提及我的具体情况,以便根据当时的技术获得最合适的解决方案。我想讨论一些不同的案例以获得全面的理解。

我想管理一个公司或大学的系统(所以中等的大的 规模案例),并且我打算在Ubuntu服务器上为系统用户提供以下服务:OpenVPN、Jabber、Git、FreeRadius、电子邮件、Redmine 和 samba 文件共享等等...我想要所有服务使用进行身份验证相同的用户名和密码(以便从集中式身份验证系统、OpenLDAP 或 Active Directory(使用 Samba4 作为域控制器)获取用户名和密码)。我希望允许客户端登录公共电脑在公司或大学使用和之前的用户名和密码相同,而客户端的公共电脑是混合物Windows、Linux、MAC(让我们讨论一下这种情况,当我们刚刚窗户的客户,所以无混合物)。

我曾经使用 OpenLDAP 对所有提到的服务进行身份验证,并使用吉娜,对于我来说,它非常好。

但是当我开始学习使用 samba4 的 Windows 域控制器时,我感到很困惑,我无法决定什么对我来说更好,它是 pGina,还是 Samba4 域控制器?请记住,在这种情况下(域控制器)我不能再使用 OpenLDAP,因为我无法针对 OpenLDAP 对 Windows 进行身份验证,而只能使用 samba4 AD(并且我不能在同一台服务器中并行运行 Samba4DC 与 OpenLDAP 因为它们都是 LDAP 服务器)。

我知道目前我无法针对 OpenLDAP 进行 Windows 登录身份验证,但是我无法让它们以某种方式相互通信或利用它们两者的优势(以防我需要 OpenLDAP 执行 AD 中无法执行的操作)?

您建议使用 OpenLDAP 还是 Active Directory(使用 Samba4 作为域控制器)?为什么?(考虑到处理所有提及的服务的身份验证和系统登录身份验证,每个客户端仅使用一个用户名和密码)。如果我使用 Samba4AD 而不是 OpenLDAP(以及相反的情况),我能做什么(以及不能做什么)。根据我从以前的阅读中理解的内容,他们说 AD 的优势在于它可以管理 Windows 中的组策略。组策略对我的情况究竟有什么用处?如果您建议使用 OpenLDAP,我有哪些替代方案?

总结一下主要问题:

  • 就我而言,是优先选择 OpenLDAP 还是 Samba4AD DC 来验证所有使用相同用户名和密码登录的服务 + 客户端?(虽然我知道无法使用 OpenLDAP 验证 Windows,但您可能对此有一些补充)。
  • 与仅使用 pGina 相比,通过 Samba4 将客户端 PC 加入域控制器有哪些优势?
  • 如果两者都缺少功能(其中一个提供某些功能而另一个不提供),有什么替代解决方案可以避免缺少这些功能?

并且请记住,我更喜欢开源、支持和长期有效的解决方案(逻辑上)。

先感谢您!

答案1

我认为这个问题太宽泛了,在这里很难真正发挥作用,但我认为有一个更简单的问题:“我正在比较 Samba4 与 OpenLDAP,我应该根据什么来做决定?”

这个问题的答案是:如果您需要 AD 提供的一些特定于 Windows(或至少以 Windows 为中心)的功能,那么 Samba4 是有意义的。(并且如果您不想购买 Windows 服务器和客户端许可证。)

考虑使用 Samba4 时,您应该将其视为与 Windows Server 相当。您可以获得与 Microsoft 相同的功能(大部分):从 Windows 客户端集成登录、使用 Windows 工具进行管理、Windows 样式的 ACL、组策略、目录复制(但不是 OpenLDAP!),以及其他应用程序可以进行身份​​验证的 LDAP 兼容目录。

根据您的情况:

我认为 Samba4(或 Windows Server)提供的最有用的 Windows 特定功能是组策略和使用 Windows 工具的客户端/文件/共享管理。目前,这些功能似乎对您来说都不是特别重要。

另一方面,我不熟悉 pGina 或任何其他允许 Windows 客户端针对 OpenLDAP 进行身份验证的工具。我不知道它们是否工作良好,是否易于设置和维护。它们肯定不像加入域的 Windows PC 那样易于管理。

再举一个例子:

在我们的案例中,我们主要有 Windows 客户端,还有一些 Linux 和 Mac 用户,我们认为让 Windows 客户端加入 AD 域很重要,所以我们设置了 Samba4 并放弃了 OpenLDAP 服务器。我们之所以能够做到这一点,是因为我们没有太多的账户,并且能够想出在 OpenLDAP 和 AD 之间同步密码的变通方法。我们在使用 Redmine、OpenVPN、Owncloud 和其他针对 Samba4 进行身份验证的服务时没有遇到任何问题。

相关内容