Примечание: я знаю, что есть несколько вопросов и вопросов, говорящих на похожую тему, но было всего пару лет, поэтому я предпочел упомянуть мою точную ситуацию, чтобы получить наиболее правильное решение в соответствии с современными методами. Я хочу, пожалуйста, обсудить несколько разных случаев, чтобы получить полное понимание.
Я хочу , чтобы управлять системой компании или университета (так средних и крупных случаев масштаба), и я намерен предоставить следующие услуги для пользователей системы на сервере Ubuntu: OpenVPN, Jabber, Git, FreeRadius, электронная почта, Redmine и самба файлообменники и т.д ... Я хочу, чтобы все сервисы проходили аутентификацию, используя одно и то же имя пользователя и пароль (чтобы получить имя пользователя и пароль из централизованной системы аутентификации, OpenLDAP или Active Directory (с Samba4 в качестве контроллера домена)). И я хочу разрешить клиентам входить в систему на общедоступных ПК в компании или университете, используя их прежние имя пользователя и пароль, и эти общедоступные ПК клиентов представляют собой смесь Windows, Linux, MAC (и давайте обсудим случай, когда у нас есть только клиенты Window, так что никакой смеси).
Раньше я использовал OpenLDAP для аутентификации всех упомянутых сервисов, а также для обработки входа в Windows с использованием pGina через OpenLDAP, и это было довольно хорошо для меня.
Но я запутался, когда начал изучать контроллеры домена для окон, использующих samba4, и не мог принять решение, что для меня лучше, это pGina или контроллер домена Samba4? Помня, что в этом случае (контроллер домена) я больше не могу использовать OpenLDAP, потому что я не могу аутентифицировать окна для OpenLDAP, а только для samba4 AD (и я не могу запустить Samba4DC параллельно с OpenLDAP на одном сервере, потому что они оба являются серверами LDAP) ,
Я знаю, что в настоящее время я не могу выполнить проверку подлинности для входа в Windows по OpenLDAP, но не могу ли я заставить их каким-либо образом общаться друг с другом, используя преимущества их обоих (в случае, если мне нужен OpenLDAP, чтобы сделать что-то, что недоступно в AD)?
Вы советуете использовать OpenLDAP или Active Directory (используя Samba4 в качестве контроллера домена) и почему? (принимая во внимание обработку аутентификации всех упомянутых сервисов и аутентификацию входа в систему с использованием JUST ONE имени пользователя и пароля для каждого клиента). Что я смогу сделать (а что нет), если я использовал Samba4AD, а не OpenLDAP (и наоборот). Согласно тому, что я понял из предыдущих чтений, они сказали, что преимущество AD в том, что оно может управлять групповой политикой в Windows. Как политика групп может быть полезна для моего случая? и какие у меня есть альтернативы, если вы посоветовали использовать OpenLDAP?
Подведем итог основным вопросам:
- В моем случае, предпочтительнее ли OpenLDAP или Samba4AD DC для аутентификации всех сервисов + клиентов при входе с одинаковыми именем пользователя и паролем? (хотя я понимаю, что не могу аутентифицировать окна с помощью OpenLDAP, но у вас могут быть некоторые дополнения, чтобы сказать об этом).
- Каковы преимущества подключения клиентских ПК к контроллеру домена с помощью Samba4 вместо простого использования pGina?
- В случае отсутствия функций в обоих (что-то предусмотрено в одном, а не в другом), какое альтернативное решение позволяет избежать отсутствия этих функций?
И, пожалуйста, помните, что я предпочитаю открытые, поддерживаемые и долгосрочные живые решения (логически).
Заранее спасибо!