Если я хочу настроить несколько компьютеров под управлением Windows 7 или 8, чтобы разрешить вход только с учетными записями домена, должен ли я раскошелиться на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS, или даже сервер LDAP, встроенный в мое QNAP NAS?
Если я также захочу применить политики на ПК, например запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?
Ответы:
Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.
Однако обычного сервера LDAP недостаточно.
AFIK, вы даже можете применять групповые политики, используя бесплатное программное обеспечение, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать клиентские лицензии. Такие инструменты, как Likewise Open и Centrify Express, я думаю, утверждали, что сделали это, хотя оба сайта, похоже, перешли или закрылись со времени моих последних ссылок. На самом деле я этого не делал, поэтому не уверен, насколько это легко. Аналогично открытый теперь является частью BeyondTrust.
САМБА ВИКИ имеет некоторые основные инструкции, хотя они выглядят немного устаревшими Похоже, вы можете делать большинство вещей только с SAMBA, если вы используете v4.
ОБНОВИТЬ:
Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основана на стандартах LDAP, у нее довольно много проприетарных дополнений, характерных для Windows. Вы должны иметь не-LDAP сервисы, которые будут реагировать на входы клиентов, работу с группами, лицензии, групповые политики и многое другое.
LDAP, с другой стороны, является стандартом и протоколом, вышедшим из X.500 и предназначенным для предоставления корпоративного (действительно глобального) каталога пользователей и связанных ресурсов для систем электронной почты на основе X.400. X.500 был излишним для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Так что LDAP ( облегченный Протокол доступа к каталогам) рождения. По сути, это по-прежнему всего лишь механизм поиска пользовательских и похожих данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным способом. Конечно, есть еще кое-что, но это суть.
Контроллер домена Samba 4 должен обеспечивать все описанные вами функции. В частности, он поддерживает групповые политики и проверку подлинности, о которых вы упоминали сразу после установки на один сервер. Установка не слишком сложна, пока вы придерживаетесь документации.
Как уже упоминалось, стандартный сервер LDAP, однако, не сработает. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.
Ограничения, о которых часто говорят люди, - это, в основном, больше сложностей при настройке, чем реальные ограничения, и все они вступают в игру, только если вы рассматриваете что-то большее, чем отдельный сервер. В этом случае в Samba 4 отсутствуют части репликации встроенной политики репликации, поэтому для решения этой проблемы вам потребуется скрипт. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos - это отдельные сервисы, которые необходимо настроить в соответствии с вашим первым сервером. Я бы сказал, что после того, как у вас будут запущены первые два сервера, управлять им не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.
Конечно, коммерческие дистрибутивы, такие как наша система UCS, могут упростить запуск и администрирование Samba 4, но под ним то же самое программное обеспечение, которое мы используем в 10000 пользовательских средах.