与OpenLDAP

Question

这是针对一家小公司(12名开发人员)，他们还没有实现任何集中的用户数据库--他们已经实现了有机增长，只是根据需要在计算机上创建了帐户。

从管理的角度来看，这是一场噩梦-- 10台电脑都有不同的用户帐户。如果用户被添加到一台计算机中，则需要在所有其他计算机上手动添加它们(它们需要访问)。这远非理想。随着更多的计算机/用户的增加/雇用，业务的发展和发展将意味着更多的工作。

我知道非常需要某种集中的用户管理。但是，我在和OpenLDAP之间进行辩论。当前的两个服务器作为简单的备份和文件共享服务器，都运行Ubuntu8.04LTS。这些计算机是Windows和Ubuntu9.04的混合体。

我没有使用Active Directory的经验(或者实际上是OpenLDAP，但我对Linux很满意)，但是如果一种解决方案比另一种方案更重要，那么我有理由知道这一点。

前期成本不是一个真正的问题，TCO是一个问题。如果Windows (SBS，我假设？)将节省我足够的时间来弥补增加的前期费用，然后我认为我应该采取那个解决方案。

为了满足我的需要，我应该考虑实现什么解决方案？

编辑:电子邮件是在网站之外托管的，所以没有必要进行Exchange。

Answer 1

如果我正确地阅读了你的问题，请坚持开放源码：

• 你不关心Exchange
• 您不需要对XP设置进行微小的控制--我喜欢组策略，主要是为了将管理员/销售人员从他们手中解救出来，开发人员大多需要我远离他们的视线。
• 你比窗户更舒服

广告在很好的程度上管理windows，但是如果你不需要它，你就给自己买了一条学习曲线，不太可能带来很大的好处。

2注意事项

• 如果你有时间或兴趣来推动自己更多地站在MS方面的事情，这是一个很好的方式提供。
• WSUS是控制工作站/服务器补丁的好方法。如果您不能简单地在所有机器上切换“自动”开关，这可能会将平衡推到SBS (如果SBS有WSUS吗？)

Answer 2

OpenLDAP可以用来检查密码，但它主要是一种管理身份的集中方式。AD集成了ldap、kerberos、DNS和DHCP。这是一个远比OpenLDAP本身更全面的系统。

从管理的角度来看，您可以简单地在一对win2k3服务器上安装AD，并将所有unix系统都指向它，并且只使用AD服务器进行密码检查。使用pam制作unix系统非常简单，可以使用kerberos进行密码检查，并使用本地密码文件进行授权。它不如完全的AD集成好，但也是微不足道的实现。

AD集成的利弊

使用AD作为kerberos服务器验证本地帐户

Answer 3

您还应该看看基于Netscape LDAP代码库的软膜目录服务器 (显然它现在是正式的"389目录服务器“)。它是由RedHat在他们的品牌下销售的，因此是积极维护的。我听说它在某些方面比OpenLDAP好，尽管我自己从未使用过它。它在功能上可能比OpenLdap本身更接近AD，它实际上只是一个成熟的目录系统的核心。

还有Apache目录服务器，它是纯Java的，看起来也是积极开发的。