回答:
LinuxのActive Directoryに最も近いものはFreeIPAです。FreeIPAはRedhatによって作成され、LDAPおよびKerberosベースの認証をLinuxネットワークに提供します...
FreeIPAは、Linux(Fedora)、389 Directory Server、MIT Kerberos、NTP、DNS、Dogtag(Certificate System)を組み合わせた統合セキュリティ情報管理ソリューションです。Webインターフェイスとコマンドライン管理ツールで構成されています。
FreeIPAは主にRedhatのみであり、Debian / Ubuntu / whateverを起動するにはかなりの労力が必要です。
LDAPは、インターネットプロトコル(IP)ネットワークを介して分散ディレクトリ情報サービスにアクセスして維持するためのアプリケーションプロトコルです。
ディレクトリサービスは、組織的な一連のレコードを提供します。多くの場合、企業の電子メールディレクトリなどの階層構造を備えています。同様に、電話帳は住所と電話番号を持つ加入者のリストです。
一元化されたユーザー認証または管理のない、1000台を超えるLinuxサーバーの大規模ネットワークを見てきました。各サーバーにはローカルアカウントのみがあり、それらはすべて個別に管理する必要がありました。
それは私がうんざりします。Puppetのようなものは、おそらく、システム間でアカウントを同期するその部門で役立ちますが、ホストをADドメインに参加させるのには役立ちません。
FreeIPAなど、Linuxに相当するActive Directoryに関する質問だとは思わない。あなたの質問は、Linuxマシンを既存のMicrosoft Active Directoryに統合して、WindowsマシンとLinuxマシンがすべて同じディレクトリに混在するようにすることだと思います。
あなたは、あなたが言ったように、Linuxホストが「そこに組み込まれている」ことができることをすでに知っています。私の意見ではそれは面倒なプロセスなので、私はその比metaに同意します。
さらに、Linuxホストにインストール可能なPowerBroker(以前はSimilar)などのプロフェッショナルソリューションが存在し、ADドメインへの参加をより信頼性の高いものにします。いくつかのグループポリシー機能も組み込まれています。
LinuxマシンをWindowsドメインに参加させたい大企業では、そのような何かを目にする可能性が高いと思います。
OpenLDAP + Kerberos(MITまたはHeimdal)をお勧めします。FreeIPAのような製品を使用するよりも少し汚れた手が含まれますが、パフォーマンス面では、OpenLDAPに勝るものはありません。
このリンクは本当に古いものですが、OpenLDAPと389ディレクトリサーバー(FreeIPAに含まれる)のパフォーマンスの違いの一部を強調しています。
いくつかの数字:Fedora Directory Server vs OpenLDAP
もちろん、それ以降、両方の製品が改善されたと確信しています。OpenLDAPの数値は、特に新しいmdbメモリマップドバックエンドを使用した場合、はるかに優れていることがわかります。