Если я хочу настроить несколько компьютеров с Windows 7 или 8, чтобы разрешить вход только с учетными записями домена, должен ли я раскошелиться на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS, или даже сервер LDAP, встроенный в мое QNAP NAS?
Если я также захочу применить политики на ПК, например запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?
Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.
Однако обычного сервера LDAP недостаточно.
AFIK, вы даже можете применять групповые политики, используя бесплатное программное обеспечение, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать клиентские лицензии. Такие инструменты, как Likewise Open и Centrify Express, я думаю, утверждали, что сделали это, хотя оба сайта, похоже, перешли или закрылись со времени моих последних ссылок. На самом деле я этого не делал, поэтому не уверен, насколько это просто. Аналогично Open теперь является частью BeyondTrust.
В SAMBA WIKI также есть некоторые базовые инструкции, хотя они выглядят немного устаревшими, и похоже, что вы можете делать большинство вещей только с SAMBA, если вы используете v4.
ОБНОВИТЬ:
Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основана на стандартах LDAP, у нее довольно много проприетарных дополнений, характерных для Windows. Вы должны иметь не-LDAP сервисы, которые будут реагировать на входы клиентов, работу с группами, лицензии, групповые политики и многое другое.
LDAP, с другой стороны, является стандартом и протоколом, вышедшим из X.500, который был разработан для предоставления корпоративного (действительно глобального) каталога пользователей и связанных ресурсов для систем электронной почты на основе X.400. X.500 был излишним для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Так появился LDAP (облегченный протокол доступа к каталогам). По сути, это по-прежнему всего лишь механизм поиска пользовательских и подобных данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным способом. Конечно, есть еще кое-что, но это суть.
Контроллер домена Samba 4 должен обеспечивать все функции, которые вы описали. В частности, он поддерживает групповые политики и проверку подлинности, о которых вы упоминали, сразу после установки на одном сервере. Установка не слишком сложна, пока вы придерживаетесь документации.
Как уже упоминалось, стандартный сервер LDAP, однако, не сработает. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.
Ограничения, о которых часто говорят люди, - это, в основном, больше сложностей с настройкой, чем реальных ограничений, и все они вступают в действие, только если вы ищете что-то большее, чем отдельный сервер. В этом случае в Samba 4 отсутствуют части репликации встроенной политики репликации, поэтому вам потребуется сценарий, чтобы обойти это. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos - это отдельные сервисы, и их необходимо настроить в соответствии с вашим первым сервером. Я бы сказал, что после того, как у вас будут запущены первые два сервера, управлять им не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.
Конечно, коммерческие дистрибутивы, такие как наша система UCS, могут упростить запуск и администрирование Samba 4, но под ним то же самое программное обеспечение, которое мы используем в 10000 пользовательских средах.
