Active DirectoryとOpenLDAP

これは、一元化されたユーザーデータベースを実装していない小規模企業（開発者12人）向けです。組織的に成長し、必要に応じてコンピューター上にアカウントを作成しただけです。

管理の観点から見ると、悪夢-すべてが異なるユーザーアカウントを持つ10台のコンピューターです。ユーザーが1台のコンピューターに追加された場合、他のすべてのユーザー（アクセスする必要がある）に手動で追加する必要があります。これは理想からかけ離れています。ビジネスを前進させ、成長させるには、コンピューター/ユーザーの追加/雇用が増えるにつれて指数関数的に作業が増えることを意味します。

ある種の集中ユーザー管理が非常に必要であることを知っています。ただし、Active DirectoryとOpenLDAPの間で議論しています。現在の2つのサーバーは、単純なバックアップサーバーおよびファイル共有サーバーとして機能し、どちらもUbuntu 8.04LTSを実行しています。コンピューターは、Windows XPとUbuntu 9.04が混在しています。

私はActive Directory（または実際にはOpenLDAPですが、Linuxには慣れています）の経験はありませんが、1つのソリューションが他のソリューションよりも優れている場合、それを学ぶことを保証します。

先行投資は実際には問題ではなく、TCOが問題です。Windows（SBSと思われますか？）により、増加した初期費用を補うのに十分な時間を節約できる場合は、そのソリューションを使用する必要があると思います。

私のニーズのために、どのソリューションを実装する必要がありますか？

編集：メールはオフサイトでホストされるため、Exchangeは必要ありません。

私があなたの質問を正しく読んでいるなら、オープンソースに固執してください：

• Exchangeは気にしません
• XPの設定を細かく制御する必要はあまりありません。主に管理者/営業スタッフを救うためのグループポリシーが大好きです。
• Windowsよりも* nixの方が快適です

ADはウィンドウを細かく管理するのに優れていますが、必要ない場合は、学習曲線を購入することになりますが、これは大きな利益をもたらさない可能性があります。

2つの注意点

• 物事のMS側でもっと自分をプッシュする時間/興味があるなら、これはそれを提供する良い方法です。
• WSUSは、ワークステーション/サーバーパッチを制御するのに適した方法です。すべてのマシンで「自動」スイッチを切り替えることができない場合、これによりバランスがSBSにプッシュされる可能性があります（SBSがWSUSを実行する場合）。

Active Directoryには、OpenLDAPでは得られない多くの便利な機能があります。その中で最も重要なのは、シングルサインオン（つまり、すべてのクライアントコンピューターとサーバーコンピューターで機能する1つのユーザーアカウント）とグループポリシーの両方です。

私はオープンソースソフトウェアが大好きですが、Samba 4が成熟するまで、Active DirectoryはWindows 2000以降のクライアントコンピューターで最高の管理エクスペリエンスを提供します。

サードパーティソフトウェアを使用しないと、Windows XPクライアントでの標準ベースのLDAP認証はありません。ここで私の答えを読んでください：Windows XPとのKerberosの統合-OpenLDAPを使用したエクスペリエンスは非常に似ています（ただし、LDAP認証を機能させるには、pGINAなどのサードパーティソフトウェアが必要です）：Windows XPを認証する方法ケルベロスまたはハイムダル

Windows Small Business Serverを使用するかどうかは、何を使いたいかによって異なります（SBSのクライアントアクセスライセンスの初期コストとコストは「プレーンバニラ」のWindowsよりも大きい）と、追加の「特徴"。私は、Windows SBSを安価なWindowsとExchangeのバンドル（非常に複雑なセットアップと私が使用することのない不正な管理ツールを備えたもの）と考えることを好みます。非常によくそのように。

Active Directory、Microsoft DHCP / DNS、WSUS（クライアントコンピューターへの更新を提供する）、およびユーザー/コンピューター環境の構成とソフトウェアのインストールを処理するいくつかのグループポリシーオブジェクトを備えたWindowsサーバーは、管理負荷を大幅に軽減し、将来のコンピューターの追加を容易にします。Exchangeの立ち上げと実行はそれほど難しくありません（インターネットからメールを送信することに関連する最大の問題です。多くの人はDNSとSMTPがどのように連携するかを理解していないようです）。

インストールが何をしているのかを知っている人がインストールを実行し、事後にすべてをうまく処理すると仮定すると、管理上の頭痛の種がなくても問題なく実行できます。WindowsとExchangeの信頼性の低さを嘆く人々を書き留めます。通常、彼らは（a）劣ったハードウェアを使用して長期的に価格を支払っている、または（b）ソフトウェアを管理する能力がないために問題を抱えているからです。Windows SBSのインストールは、バージョン4.0のタイムフレームにまでさかのぼり、インストールから何年も経ってから実行しています。インストールすることもできます。

これらの製品の経験がない場合は、評判の良いコンサルタントと協力してインストールを実行し、管理を自立できるようにすることをお勧めします。知っていれば良い本をお勧めしますが、私が読んだ本のほとんどすべてにかなり不満を感じています（実際の例やケーススタディにはほとんど欠けているようです）。

安価であなたを地上に連れて行くことができるコンサルタントがたくさんあります（あなたが話しているセットアップは、あなたが「バルク」作業を行うと仮定すると、約1日半から2日間のように感じます私は基本的なWindowsとExchangeをインストールしています）、「ロープを学ぶ」のに役立ちます。作業の大部分は、既存のユーザー環境の移行（既存のドキュメントとプロファイルを新しいADアカウントの移動ユーザープロファイルに移行し、 "My Docuemnts"フォルダーなどをリダイレクトすること）を選択した場合に行われます。（私は、それが長期的にユーザーをより幸せにし、より生産的にするからです。）

何らかの種類のバックアップデバイスとバックアップ管理ソフトウェア、冗長ディスク（最小 RAID-1）を備えたサーバーコンピューター、および何らかの種類の電源保護（UPS）を計画する必要があります。ローエンドサーバー、ライセンスコスト、および約3500.00ドルから4000.00ドルでWindows SBSを導入できる電源保護ハードウェアがあれば、期待できます。個人的に、私は、あなたがあなたのニーズにどれだけ慣れているか、そしてあなたがどのように教えたいか、インストーラーにそれをさせるかによって、およそ10-20時間のセットアップ作業をあなたに指定します。

以下は、あなたのようなデプロイメントで見られる典型的な種類のインストールタスクの概要です。

• サーバーコンピューター、UPSなどを物理的にセットアップします。
• Windows、Exchange、WSUS、インフラストラクチャサービス、サービスパック、バックアップ管理ソフトウェア、UPS管理ソフトウェアなどをインストールします。
• ファイル共有（アクセス許可、共有ファイルの場所、ディレクトリ階層）について話し合います。
• ユーザーアカウント（移動プロファイルフォルダー、「マイドキュメント」フォルダーなど）、セキュリティグループ、配布グループ、基本的なGPOを作成します。
• 既存の電子メールデータの移行について議論し、戦略を策定し、DNSへの変更を行って、電子メールを直接Exchangeにもたらします。
• ユーザー環境の新しいADアカウントへの移行について話し合う。移行を実行するためのトレーニングが必要な場合は、移行手順を作成します。
• クライアントコンピューターとユーザープロファイルのパイロット移行をドメインに実行します。
• 日常のシステム管理者タスク（パスワードのリセット、ユーザーグループメンバーシップの変更、バックアップの成功/失敗の通知の確認、WSUSおよび更新プログラムのインストールの監視）について話し合い、一般的な問題、トラブルシューティング、解決策について話し合い、Q＆Aセッションを実施します。
• 将来の活動（ソフトウェアのインストールの自動化、VPN接続など）のための推奨事項を作成する

OpenLDAPはパスワードのチェックに使用できますが、ほとんどはIDを集中管理する方法です。ADは、ldap、kerberos、DNS、およびDHCPを統合します。OpenLDAP自体よりもはるかに包括的なシステムです。

管理の観点からは、win2k3サーバーのペアにADをインストールし、すべてのUNIXシステムをそのシステムに向けて、パスワードチェックにのみADサーバーを使用できます。pamを使用するUNIXシステムで、パスワードチェックにkerberosを使用し、認証にローカルパスワードファイルを使用するのは非常に簡単です。これは完全なAD統合ほどではありませんが、実装も簡単です。

AD linux統合の長所と短所

ADをKerberosサーバーとして使用してローカルアカウントを認証する

また、Netscape LDAPコードベースに基づいて、Fedoraディレクトリサーバー（現在は公式に「389ディレクトリサーバー」になっているようです）を確認する必要があります。RedHatが自社ブランドで販売しているため、積極的に維持されています。いくつかの点でOpenLDAPよりも優れていると聞いたことがありますが、自分で使用したことはありません。OpenLdap自体よりも機能的にはADに近いと思われます。OpenLdapは、本格的なディレクトリシステムのコアにすぎません。

Apache Directory Serverもあります。これは、純粋なJavaであり、積極的に開発されているように見えます。

どちらにも経験がないため、学習曲線に関連するコスト（主に時間内）があります。メンテナンスの観点から見ると、LDAPに実際に触れる必要があるのは、アカウントを追加/削除したり、属性を変更したりするとき（名前/アドレスの変更）だけです。これは両方で簡単にできます。実装の観点から見ると、クライアントとの通信を許可する最も簡単な時間を確保したいディレクトリです。Windowsクライアントは、Ubuntu /他のLinuxがドメインコントローラやドキュメントとネイティブに「対話」できるため、Active Directoryの方が簡単です。 ADからの認証はすぐに利用できます。WindowsクライアントをopenLDAPから認証できるようにするには、SAMBAサーバーが要求をリッスンする必要があります（openLDAPはネイティブにこれを行いません）。

ADは、グループポリシーや、openLDAPソリューションでは非常に簡単ではない他の管理機能など​​を提供します。WindowsServerの基本的な展開をインストールし、XP / Vista / 7クライアントと統合するのは簡単です。Ubuntuクライアントの統合はADおよびopenLDAPに匹敵する難易度。

Suse SLESやRedhat Enterprise Server（またはCentOS）のような製品は、UbuntuやDebianサーバーよりもWinとLinuxの統合を容易にしますが、まだ学ぶべきことがたくさんあります。

コストが問題になる場合は、LinuxとNitrobit Groupポリシーなどの追加ソフトウェアを使用してセットアップを作成できます。これにより、同等の機能を使用できますが、学習曲線は急勾配になります。