Если я хочу настроить несколько компьютеров с Windows 7 или 8, чтобы разрешить вход только с учетными записями домена, должен ли я раскошелиться на покупку Windows Server для этого? Или подойдет сервер LDAP, такой как Apache DS, или даже сервер LDAP, встроенный в мое QNAP NAS?

Если я также захочу применить политики на ПК, например запретить пользователям изменять настройки свойств IPv4, можно ли это применить локально на каждом ПК без использования Windows Server?

2 ответа2

1

Вы можете настроить Linux для работы в качестве контроллера домена с помощью программного обеспечения SAMBA. Так что нет, вам не нужно покупать лицензии на Windows Server просто для входа в домен.

Однако обычного сервера LDAP недостаточно.

AFIK, вы даже можете применять групповые политики, используя бесплатное программное обеспечение, SAMBA v4, безусловно, поддерживает групповые политики, хотя я не уверен, следует ли вам на самом деле лицензировать клиентские лицензии. Такие инструменты, как Likewise Open и Centrify Express, я думаю, утверждали, что сделали это, хотя оба сайта, похоже, перешли или закрылись со времени моих последних ссылок. На самом деле я этого не делал, поэтому не уверен, насколько это просто. Аналогично Open теперь является частью BeyondTrust.

В SAMBA WIKI также есть некоторые базовые инструкции, хотя они выглядят немного устаревшими, и похоже, что вы можете делать большинство вещей только с SAMBA, если вы используете v4.

ОБНОВИТЬ:

Чтобы ответить на вопрос о том, почему одного LDAP недостаточно. Хотя Active Directory действительно частично основана на стандартах LDAP, у нее довольно много проприетарных дополнений, характерных для Windows. Вы должны иметь не-LDAP сервисы, которые будут реагировать на входы клиентов, работу с группами, лицензии, групповые политики и многое другое.

LDAP, с другой стороны, является стандартом и протоколом, вышедшим из X.500, который был разработан для предоставления корпоративного (действительно глобального) каталога пользователей и связанных ресурсов для систем электронной почты на основе X.400. X.500 был излишним для большинства вещей и требовал очень сложного клиента, который был слишком тяжелым для большинства ПК того времени. Так появился LDAP (облегченный протокол доступа к каталогам). По сути, это по-прежнему всего лишь механизм поиска пользовательских и подобных данных из очень большого каталога элементов. Все, что он делает, это принимает стандартные запросы и возвращает результаты стандартным способом. Конечно, есть еще кое-что, но это суть.

0

Контроллер домена Samba 4 должен обеспечивать все функции, которые вы описали. В частности, он поддерживает групповые политики и проверку подлинности, о которых вы упоминали, сразу после установки на одном сервере. Установка не слишком сложна, пока вы придерживаетесь документации.

Как уже упоминалось, стандартный сервер LDAP, однако, не сработает. Windows довольно требовательна к сочетанию LDAP, Kerberos и файловых служб на контроллере домена, и все они немного отличаются от того, что было стандартизировано.

Ограничения, о которых часто говорят люди, - это, в основном, больше сложностей с настройкой, чем реальных ограничений, и все они вступают в действие, только если вы ищете что-то большее, чем отдельный сервер. В этом случае в Samba 4 отсутствуют части репликации встроенной политики репликации, поэтому вам потребуется сценарий, чтобы обойти это. Другая проблема, которая затем вступает в игру, заключается в том, что аутентификация NTP и Kerberos - это отдельные сервисы, и их необходимо настроить в соответствии с вашим первым сервером. Я бы сказал, что после того, как у вас будут запущены первые два сервера, управлять им не составит большого труда, но начальная кривая для настройки многосерверной среды Samba 4 может быть довольно высокой.

Конечно, коммерческие дистрибутивы, такие как наша система UCS, могут упростить запуск и администрирование Samba 4, но под ним то же самое программное обеспечение, которое мы используем в 10000 пользовательских средах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .