web-dev-qa-db-ja.com

OpenLDAPおよびpGinaとActiveDirectory(Samba4ドメインコントローラーを使用)

注:同様のトピックについて話している質問がいくつかあることは知っていますが、それらはすべて2年前のものだったので、状況に応じて最も適切な解決策を得るために、正確な状況について言及することを好みました。時間のテクニック。全体を理解するために、いくつかの異なるケースについて話し合いたいと思います。

会社や大学のシステムを管理したいので(つまりスケールケース)、以下のサービスを提供するつもりです。 Ubuntuサーバー上のシステムのユーザーの場合:OpenVPN、Jabber、Git、FreeRadius、Email、Redmine、sambaファイル共有など...欲しいすべてのサービス同じユーザー名とパスワードを使用して認証する(したがって、集中認証システム、OpenLDAPまたはActive Directory(ドメインコントローラーとしてSamba4を使用)からユーザー名とパスワードを取得する)。そして、私はクライアントが以前の同じユーザー名とパスワードを使用して会社または大学でパブリックPCにログオンできるようにしたいのですが、クライアントのそれらのパブリックPCは- mixture Windows、Linux、MACの(そして、Window sクライアントしかない場合、混合なしの場合について説明しましょう)。

私は以前、OpenLDAPを使用して、言及されたすべてのサービスを認証し、OpenLDAPを介してpGinaを使用してWindowsログインを処理していましたが、それは私にとってかなり良かったです。

しかし、samba4を使用してWindows用のドメインコントローラーについて学び始めたときに混乱し、自分にとって何が良いかを判断できませんでしたpGinaですか、それともSamba4ドメインコントローラーですか?この場合(ドメインコントローラー)、OpenLDAPに対してWindowsを認証できないため、OpenLDAPを使用できなくなりますが、samba4 ADのみを使用できます(両方ともLDAPサーバーであるため、同じサーバーでOpenLDAPと並行してSamba4DCを実行することはできません)。

現時点では、OpenLDAPに対してWindowsログイン認証を行うことはできませんが、両方の利点を利用して、何らかの方法で相互に通信させることはできません(ADで利用できないことを行うためにOpenLDAPが必要な場合)?

OpenLDAPまたはActiveDirectory(ドメインコントローラーとしてSamba4を使用)を使用することをお勧めしますか?その理由は何ですか? (上記のすべてのサービスの認証と、クライアントごとに1つのユーザー名とパスワードを使用したシステムログイン認証の処理を考慮に入れて)。 OpenLDAPではなくSamba4ADを使用した場合(およびその逆の場合)、何ができるか(そして何ができないか)。以前の記事から理解したところによると、ADの利点は、Windowsでグループポリシーを管理できることです。私の場合、グループポリシーはどのように正確に役立つのでしょうか。また、OpenLDAPの使用を勧めた場合に備えて、どのような選択肢がありますか?

主な質問を要約すると:

  • 私の場合、OpenLDAPが優先されますか、それともSamba4AD DCすべてのサービスとクライアントが同じユーザー名とパスワードでログインすることを認証しますか?)(OpenLDAPでウィンドウを認証できないことは理解していますが、いくつか追加される可能性があります)それについて言うために)。
  • PGinaを使用するだけでなく、Samba4によってクライアントPCをドメインコントローラーに参加させることの利点は何ですか?
  • 両方に機能がない場合(一方に何かが提供され、もう一方には提供されない)、その機能の欠如を回避するための代替ソリューションは何ですか?

そして、私はオープンソースでサポートされた長期のライブソリューションを(論理的に)好むことを考慮してください。

前もって感謝します!

1

これは広すぎてここでうまく機能しないと思いますが、もっと簡単な質問があると思います。「Samba4とOpenLDAPを比較していますが、何に基づいて決定する必要がありますか?」

その質問に対する答えは次のとおりです。ADが提供するWindows固有の(または少なくともWindows中心の)機能のいくつかが必要な場合、Samba4は理にかなっています。 (そして、Windows Serverとクライアントのライセンスを購入したくない場合。)

Samba4の使用を検討するときは、WindowsServerと同等であると考える必要があります。 Microsoftから得られるものと(ほとんど)同じものが得られます:Windowsクライアントからの統合ログイン、Windowsツールを使用した管理、WindowsスタイルのACL、グループポリシー、ディレクトリレプリケーション(OpenLDAPではありません!)、およびLDAP互換ディレクトリ他のアプリケーションは認証できます。

あなたの状況では:

Samba4(またはWindows Server)が提供する最も便利なWindows固有の機能は、グループポリシーと、Windowsツールを使用したクライアント/ファイル/共有の管理です。現在、これらのどちらもあなたにとって特に重要ではないようです。

OTOH、私はWindowsクライアントがOpenLDAPに対して認証できるようにするpGinaやその他のツールに精通していません。それらがうまく機能するかどうか、セットアップと保守が簡単かどうかはわかりません。確かに、ドメインに参加しているWindowsPCほど管理は簡単ではありません。

別の例として:

私たちの場合、ほとんどの場合Windowsクライアントと一部のLinuxおよびMacユーザーがいて、WindowsクライアントをADドメインに参加させることが重要であると判断したため、Samba4をセットアップしてOpenLDAPサーバーをダンプしました。アカウントがあまり多くなく、OpenLDAPとADの間でパスワードを同期するための回避策を考え出すことができたため、これを行うことができました。 Redmine、OpenVPN、Owncloud、およびSamba4に対して認証するその他のサービスに問題はありませんでした。