AD或AD LDS

Question

我需要一个建议，为我的基础设施使用AD或AD。

我有一个网站，目前没有任何登录设施的访问者，现在我们正在开发一个新的应用程序，以便访问者可以在网站上创建帐户。你能想到的最好的例子是任何电信服务提供商，他们有自己的网站，现在正在为它的客户创建一个登录工具，这样用户就可以创建一个帐户，并且可以订阅ebill之类的设施。

希望现在情况已经明朗了。对于这个特定的应用程序，我打算拥有一个web服务器、一个应用服务器、一个DB服务器、一个SMTP服务器和一个AD服务器(用于用户身份验证和保存配置文件)。

我的问题从AD开始，这里我需要AD DS还是AD LDS，我需要的是AD

1. 提供用户身份验证
2. 提供基于角色的访问。

这是我的问题。

Answer 1

正如Rajeev在评论中指出的那样，活动目录ISLDAP服务器及更多和广告LDS服务是一个“免费”的Windows角色，它专门提供给他想要的东西。广告提供许多额外功能(复制、Kerberos、联邦等)您必须自己构建一个像OpenLDAP+postgres+kerberos这样的免费/开放源码软件解决方案。还有其他(主要是商业) 目录服务具有类似的能力。

许可可能不应该成为一个问题。如果您的部署主要是基于Windows的(用于计算机帐户、管理帐户等)，那么您可能会安装AD，并且这将是相对较小的(看起来最多像一个5用户的CAL )。您在LDS中为公共用户创建的任何“用户”对象都不会被计算在AD帐户的许可证中。您可以联系微软授权来验证这一点。

使用AD肯定有一些很大的好处，您建议的安装可能太小，无法实现其中的一些。

1. 复制可能是您在LDS中获得的#1“免费”。您的and站点和子网拓扑可以用于自动管理复制，就像and一样。但是只有一台LDS服务器，就不需要复制了。
2. 大多数用于备份、维护、报告等的新工具都将与DS一样适用于LDS。所以，如果你已经有一些现成的内部工具，你可以直接使用它们作为你的LDS。同样，您的设置听起来太小了，这不会是一个很大的好处。
3. 如果您已经熟悉and的护理和维护，那么使用LDS通常是熟悉的，并且将建立在您已经拥有的知识集的基础上。这意味着在可支持性和可管理性方面有很大的改进，您拥有的任何脚本知识通常都是可转移的，等等。这是一个额外的好处。
4. 同样，对于Windows来说，LDS是“免费的”，如果您已经安装了2003/2008服务器，那么就包括LDS。这也是一种奖励。
5. 使用Windows 2008 R2，您可以从AD代码库(快照等)获得所有很酷的特性。

所有的话..。如果您没有任何特定的AD经验，并且没有任何特定的基础设施来处理它，那么您可能不会从这条路线中看到什么好处。根据您所描述的部署的大小，您几乎可以使用LAMP + OpenLDAP这样的开放源码软件设置，这取决于您的舒适区域和您的应用程序需求。

请记住，如果您正在进行任何类型的用户管理，那么如果您的方法只是“将一堆用户名和密码放在SQL表中”，那么您将非常非常抱歉。用户管理是一个复杂的过程，已经解决了无数次。处理密码是你不应该做的事情，除非你已经有了很多与安全相关的编程经验。请不要自己翻滚！

找到一个合适的商业或开放源码软件框架，它已经被设计用来正确地处理AAA*，像OpenID这样的东西可能不是一个糟糕的主意。杰夫·阿特伍德的博客 (他运行网站，你可能听说过.)有很多文章围绕着他在StackOverflow和ServerFault上的工作来讨论这些问题。

无论如何，我希望这次讨论能有所帮助。

Answer 2

YOu确实需要学习编程，但您不需要任何AD实现。大多数网站在某些数据库(即SQL)中都有自己的用户数据库，并且不依赖AD。