Fórum Root.cz
Hlavní témata => Server => Téma založeno: Px 12. 06. 2013, 07:53:15
-
Zdravim vsechy,
Chtel bych se zeptat na rozdily mezi openldap a active directory resp. proc pouzit php knihovnu adldap?
Diky moc
-
Tohle je moc všeobecný dotaz. Podrobnosti o AD i o LDAP si můžeš v klidu vygooglovat. Knihovnu adldap můžeš v aplikacích použít pro ověření uživatelů vůči AD (samozřejmě nejem ověření,ale i další věci..).
Zkus popsat tvojí situaci, infrastrukturu a očekávání od adresářových služeb.
-
Zjednodušeně: Pokud máš prostředí s Windows klienty a servery (vynechejme firewall, router a L2/L3/L4 prvky sítě), pak Active Direcory je to co použiješ. AD je totiž proprietární technologie Microsoftu, která sdružuje účty, služby a HW do jednhoho managemntu. V této síti lze mít samozřejmě i Linux, ale výhoda Active Directory tkví v GPO a DFSR. GPO ti určuje chování počítačů a služeb a nařizuje chování uživatelů v dané sítí, ale jen ve Windows, DFSR - replica souborů.
OpenLDAP je free (asi BSD like licence), a je vhodný do linuxových a heterogenních prostředí (pro Windows však neobsahuje takové možnosti jako přímo AD, ne že by nemohl, ale GPO sou strašně rozsáhlé, sou to desetitisíce položek a nastavení, navíc je Windows s každou novour verzi "vylepšuje", tím nechci GPO hanit, jen že se ty pložky přemísťují a mění). Jinak se přikláním k názoru Jamese, je to příliš obecný dotaz.
-
AD je proprietární software od Microsoftu, což znamená, že budeš na této firmě zcela závislý a bude tě tlačit i do používání (a samozřejmě placení) dalších svých produktů.
OpenLDAP, Samba a další jsou svobodný software – jsi nezávislý na dodavateli, můžeš si zaplatit podporu a vývoj od koho chceš. Můžeš si taky vše řešit sám nebo s pomocí komunity.
Co zvolit? To je strategické rozhodnutí. Já bych otrokem MS (nebo podobné firmy) být nechtěl.
-
to Franta: za AD se platí (CALy), pokud chceš mít na Linuxu/Unixu podporu, tak ji taky budeš platit. Co se týče slova "otrok", tak to je silné slovo. Sou instituce, hlavně školy, které nic nezmůžou a musí se řídit nařízením shora (zřizovatel). Na druhou stranu tyto instituce CALy platit nemusí (musí být splněny určité podmínky, ale nevím, zda to nejsou důvěrné informace, takže je tady zveřejňovat nebudu). Budu se opkaovat, ale ve Windows prostředí neexestuje open-source nebo free řešení, které by dokázalo nahradit GPO, což beru jako základ Active Directory. Pokud cheš mít jen nějaké sdílení a uživatelské účty bez jákekoliv správy na straně klienta, tak jo - klidně OpenLDAP a Sambu (to samé platí pro heterogenní prostředí). Jinak nikde není řečeno, že musíš používat další jejich produkty - místo Office máš Open Office, místo Sharepointu je tady Moodle (a přestože se jedná o naprosto rozdílný software pro naprosto rozdílné účely, tak Sharepoint je prostě něco, co MS neměl vypustit do světa), to samé bych mohl napsat o datábázích atd. Pokud máš v síti SSO, tak můžeš mít x-různých služeb na x-různých systémech a ovládat to jedním účtem. Teď to vypadá, že obhajuji MS, a úpřimně v oblasti GPO je to i pravda (před tím se mi hodně líbil NetWare, ale ten už tak nějak skončil, někde se ještě používá),.ale je to jen právě oblast AD, na firewall/router, na vpn, iscsi nebo virtualizaci Microsoftí produkty rozhodně nejsou
Jinak se omlouvám za použití tolika stejných slov (AD a GPO).
-
ve Windows prostředí neexestuje open-source nebo free řešení, které by dokázalo nahradit GPO
Nevím o žádné vlastnosti, kterou by nebylo možné nahradit. Akorát to je za cenu manuální práce (je potřeba si vyhledat, co přesně potřebuji nastavit v registrech, jaký software instalovat atd.) - není to prostě o naklikání si všeho na jednom místě. Pro někoho to samozřejmě je nepřijatelné, ale říct, že řešení neexistuje, to je imho moc silné tvrzení.
-
to Franta: za AD se platí (CALy), pokud chceš mít na Linuxu/Unixu podporu, tak ji taky budeš platit.
1) ano, platí se za podporu – nikoli za licenci (software můžeš používat klidně zadarmo)
CAL je jen milostivé svolení, že smíš ten SW používat (A CAL is not a software product; rather, it is a license that gives a user the right to access the services of the server.)
2) můžeš si vybrat, kdo ti tu podporu bude poskytovat a komu a kolik budeš platit:
- můžeš si uživatele podporovat sám (mít schopného správce – platíš si svého zaměstnance)
- můžeš si zaplatit externího dodavatele z ČR (cokoli od živnostníka až po a.s.)
- můžeš si zaplatit velkého zahraničního dodavatele typu RedHat, IBM atd.
- můžeš platit autorům konkrétního programu přímo
A hlavně tě tento dodavatel nedrží v pasti – kdybys náhodou nebyl spokojený, máš zdrojáky od softwaru, máš práva k jeho používání a úpravám → a můžeš v případě potřeby přejít k lepšímu dodavateli.
-
To Mirek: Za prvé: Jak chceš nahradit GPO na úrovni PC? Ty se tahají do systému ještě před tím, než se uživatel přihlásí (a na některé z nich nemá ani správce oprávnění). Za druhé: Víš kolik položek obshaují GPO? Už chci někoho vidět, jak vytváří tisíce malých registrů, a ty po sítí posílá do vzdálených počítačů, nehledě na to, že bys ty skripty posílal podle jednotlivých oddělení a podle funkcí ve firmě. Za třetí: Dojde k nějaké změně na straně klienta - změna názvu, IP adresy, DNS serveru, hesla lokálníhi správce a já nevím, čeho dalšího. Si schopen tohle mít podchycené při tvé manuální práci s registry?
Obecně, tvoje řešení formou manuální práce je stejně tak efektivni, jako předělat Ferrari na LPG, akorát že to Ferrari aspoň pojede, ale to co navrhuješ, nebude fungovat (viz hned první bod). Takže znova: V open-source a free světě neexistuje náhrada za GPO pro Windows doménu.
-
https://wiki.samba.org/index.php/Samba_AD_management_from_windows#Implementing_Group_Policies_.28GPO.29_in_A_Samba_Domain
-
To Mirek: Za druhé: Víš kolik položek obshaují GPO? Už chci někoho vidět, jak vytváří tisíce malých registrů, a ty po sítí posílá do vzdálených počítačů, nehledě na to, že bys ty skripty posílal podle jednotlivých oddělení a podle funkcí ve firmě.
Ano, presne pro tuto ulohu existuje configuration management. Neni to zadna rucni prace. Rucne se musi jenom zjistit, co je opravdu potreba kde zmenit, coz je v pripade Windows fakt opruz, diky jejich vynikajici dokumentaci, to nepopiram. V principu ale nejde o nic jineho, nez ze je nejaka databaze pravidel, co se ma na co aplikovat. Coz neni nic jineho nez cfg mgmt.
-
To Franta: Nejsem si jistý, co myslíš tou pastí? Jestli myslíš ty CALy, tak zkusím trochu vysvětlit:
CAL je na device nebo uživatele, podle toho co je pro danou firmu výhodnější a podle produktu (výjimkou je Terminal server, tam je CAL na relaci). Přestože CALy (opět s výjimkou Terminal serveru) nejsou podmínkou pro fungování daného serveru (DC, Exchange server, Sharepoint apod.), tak pokud je nemáš a přijde ti audit, tak máš problém a to docela velký. Cena za 1CAL je 100 až 200 korun (ale to je individuální, záleží na tom, v jakých programech si zařazen, jestli bys chtěl, tak tu můžu jednotlivé programy MS popsat, ale to není teď podstatné). Co se týče státních institucí v ČR, tak u těch se s CALy moc nepočíá, protože tam je Microsoft nakloněn trochu jiné finanční politice, většina škol by na to totiž neměla, pokud by měly splňovat cenouvou politiku CALů, příklad:
Počet PC: 60 (45 PC a 15 NB)
Použité servery: 2xDC, 1xFile plus print server
Cena za CAL na OS: 200 korun měsíčně
Cena za CAL na OS celkem : (2DC plus 1 FP server)x60x200x12 = 432 tisíc za rok (a to je jen za využití DC a file/print serveru, není v tom žádná komponenta Office ani nic jiného, klidně mě někdo opravte, pokud sem licencování CAL pochopil špatně, ale na druhou stranu sem s tímhle přicházel do styku docela dlouho)
Zaměřím se na bod 2 (podpora ze strany MS a Linux/UNIX/AIX snad z toho taky bude nějak vysvětlena): píšeš, že si můžeš vybrat, kdo ti bude danou podporu poskytovat a za kolik. Na úrovni OS asi jo, i když ty podmínky budou vždy oboustranné, i když budeš mít vlastního zaměstnance, tak určitě bude mít svou cenu, takže to nebude čistě tvé rozhodnutí. Pokud navíš budeš outsourcovat, tak se připrav na spoustu ústupků a pravděpodobně ve smlouvě bude i klauzule s případnými sankcemi, když se rozhodneš přejít k někomu jinému a podobně. Co se týče podpory aplikací, tak to je velmu úzce specializovaná věc (jestli chceš platit autorům přímo, tak proč ne, ale pokud ten jejich produkt využívá například několik tisíc lidí, tak si nemyslím, že budou v daném okamžiku schopni poskytovat podporu in time, spíše bych počítal s nějakými tickety a prioritami.
V open-source světě máš k dispozici zdrojáky, ale nemyslim, si, že zrovna operační systém, je to co tě omezuje v práci (klidně bych mohl dělat na Gentoo, kldině na BSD, MAC, Windows). Co tě omezuje: aplikace (veklmi jednoduchý příklad je Explorer a bankovnictví, další můžou být strojařské programy a posprocesory). Navíc přechod k jinému programu nemusí být vždy optimální (na úrovni desktopu doma klidně, ale na úrovni firmy to je problém, opět příklad ze strojírenství - firma má CNC mašiny s Heideheim postprocesorem a SolidWorks, SolidCam softwarovým vybavením. Dělá na tom 30 lidí, vynechme server a CALy :D, ale licenční server jede pouze na Windows, zkus v této firmě navrhnout ať přejdou na AutoCAD a Inventor, nebo dokonce zkus najít open-source řešení plně kompatibilní s tímto, DWG editor existuje v nějaké free verzi, ale náhražka ostatních programů asi ne).
Takže doma není problém v tom, co používat, ale ve firmě ano
-
https://wiki.samba.org/index.php/Samba_AD_management_from_windows#Implementing_Group_Policies_.28GPO.29_in_A_Samba_Domain
To je sice pěkné, ale co s tím? Je nutný RSAT, sou nutné Windows machiny a Windows 2003 server jako role AD, tudíž předpokládám, že SAMBA server bude vnořen do té domény (jako secondary controller), nebo naopak, bude vytvořena doména se Sambou a pro kontrolu Windows klientů se nainstaluje Windows server a propojí. Dokazuje to i ten obrázek z 2003 serveru - Správa uživatelů (AD User and Computer Management), nevím nakolik má nová SAMBA implementovat ´funkcionalitu GPO, ale tohle určitě není to, o čem tady píši (GPO sou spravovány pořád v rámci Windows serveru). Díval sem se tam i na ty roaming profily, ale taky se používá GPO Windows serverů (tentokrát 2008, možná je ten obrázek z R2, ale tím si nejsem moc jistý)
-
To Mirek: Confiration Managemnet systémy existují, ale sou dost drahé. Respektive sou i Open-Source a free, ale jejich funkcionalita je "omezene" například jen na aacounting nebo patch deploying. Snažil sem se přečíst si srovnání Novell Configration Managementu oproti System Centeru od MS, ale musel sem to zavřít, protože to byla v podstatě jen chvála daného řešení, že Novell to umí a System Center ne atd.
-
ale musel sem to zavřít, protože to byla v podstatě jen chvála daného řešení, že Novell to umí a System Center ne atd.
Podobně to vidím s tvými komentáři :-)
-
Withy 14, je sice pekne, ze tu delas prednasku o vyhodach komercniho reseni , ale to neni to na co se ptal.
Porovnani OPENLDAP a AD pro potreby PHP tu od Tebe nikde nevidim, takze pises hezky a dlouze, ale uplne na nic.
Px , specifikuj nejak podrobneji co potrebujes tim phpkem resit, protoze si myslim, ze je Ti uplne jedno jestli OpenLDAP ci AD, pokud Ti jde jen o pristupova prava k obsahu na zaklade credential informaci predanych LDAPem.
-
To Mirek: Confiration Managemnet systémy existují, ale sou dost drahé. Respektive sou i Open-Source a free, ale jejich funkcionalita je "omezene" například jen na aacounting nebo patch deploying. Snažil sem se přečíst si srovnání Novell Configration Managementu oproti System Centeru od MS, ale musel sem to zavřít, protože to byla v podstatě jen chvála daného řešení, že Novell to umí a System Center ne atd.
Salt, Puppet, Chef, CFEngine, Radmind. To jenom tak pro příklad, je jich spousta dalších :) První čtyři umí měnit soubory, nastavovat registry, instalovat aplikace. Čili imho umí vše, co je potřeba k náhradě AD politik (pokud se pletu a AD politiky umí něco víc, rád se nechám opravit, poslechnu si to a rozšířím si obzory)
-
https://wiki.samba.org/index.php/Samba_AD_management_from_windows#Implementing_Group_Policies_.28GPO.29_in_A_Samba_Domain
To je sice pěkné, ale co s tím? Je nutný RSAT, sou nutné Windows machiny a Windows 2003 server jako role AD, tudíž předpokládám, že SAMBA server bude vnořen do té domény (jako secondary controller), nebo naopak, bude vytvořena doména se Sambou a pro kontrolu Windows klientů se nainstaluje Windows server a propojí. Dokazuje to i ten obrázek z 2003 serveru - Správa uživatelů (AD User and Computer Management), nevím nakolik má nová SAMBA implementovat ´funkcionalitu GPO, ale tohle určitě není to, o čem tady píši (GPO sou spravovány pořád v rámci Windows serveru). Díval sem se tam i na ty roaming profily, ale taky se používá GPO Windows serverů (tentokrát 2008, možná je ten obrázek z R2, ale tím si nejsem moc jistý)
Samba4 je AD kontroler. GPO si vyklikas z managment konzoly z hociakeho Windows.
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
-
Cena za CAL na OS celkem : (2DC plus 1 FP server)x60x200x12 = 432 tisíc za rok (a to je jen za využití DC a file/print serveru, není v tom žádná komponenta Office ani nic jiného, klidně mě někdo opravte, pokud sem licencování CAL pochopil špatně, ale na druhou stranu sem s tímhle přicházel do styku docela dlouho)
Takze platim 432 000 za rok a este som ani nenainstaloval aplikacie :-)) Ani sa necudujem, ze je MS taky popularny v statnych instituciach, ostane dost na "provizie".
Jedina ferova cena za MS produkt, ktoru som zazil, bol Windows 2008 Server R2 Foundation Edition (limit 15 uzivatelov, 1 CPU, 8 GB RAM, ak sa nepouzivaju Terminal services, netreba CAL), ktoru som dostal k HP Servru. Cena 1 € (konecna, ziadne mesacne poplatky).
-
Cena za CAL na OS celkem : (2DC plus 1 FP server)x60x200x12 = 432 tisíc za rok (a to je jen za využití DC a file/print serveru, není v tom žádná komponenta Office ani nic jiného, klidně mě někdo opravte, pokud sem licencování CAL pochopil špatně, ale na druhou stranu sem s tímhle přicházel do styku docela dlouho)
Licencování CAL (na OS) jsi opravdu trochu špatně pochopil. Jak jsi psal CAL je buď na uživatele nebo device a počet serverů (potažmo služeb), ke kterým se uživatel nebo zařízení připojuje nehraje žádnou roli. Pokud máš 60 uživatelů a používáš CALy na uživatele, pak potřebuješ 60 CALů a máš pokryty všechny 3 servery současně, nemusíš kupovat 180 CALů.
Druhá otázka je, zda se ti vyplatí ty CALy pronajímat, když si je můžeš koupit snad i za menší cenu než je roční pronájem.
-
Samba4 je AD kontroler. GPO si vyklikas z managment konzoly z hociakeho Windows.
https://wiki.samba.org/index.php/Samba_AD_management_from_windows
Ahoj, řešení domény se Sambou, kde je nutný Windows server, nepovažuji, za open-source řešení nebo free (samotný Windows klient ti nemůže deployovat GPOčka, na to musí být domain controlerem, znova se mrkni na tu stránku, a uvidíš tam, že pro správu je potřeba stáhnout si RSAT. RSAT je nutný pro vzdálený managament Windows serverů, znova: a uvidíš tam, že pro správu je potřeba stáhnout si RSAT. RSAT je nutný pro vzdálený managament Windows serverů. Poslední řádek na dané stránce přímo nabádá na Google a Windows 2003 server. Jinak pro zakladatele příspěvku: snad už vidíš, v čem je rozdíl mezi OpenLDAP a AD (shrnutí - cena, CALy, GPO :D , samozřejmě, že těch rozdílů by se našlo více, třeba správa updatů a aplikací, správa celkově, prostředí, na která sou tato řešení stavěna atd.).
-
Jenže tohle přesně Samba 4 už umí. Funguje jako AD řadič. Konfiguruje se to samozřejmě pomocí RSAT z windows stanice (nebo pomocí samba-tool z comand lajny linuxu, který umí dost věcí z toho, co RSAT), který nic netuší o tom, že se baví se Samba 4 a ne Windows serverem....
Nicméně původní tazatel stále nezdůvodnil, co přesně potřebuje, takže se nedá říci, zda OpenLDAP nebo AD....
Asi podstatný funkční rozdíl vidím v tom, že v případě nasazení AD je člověk limitován schématem a co jde limitovaně doplňovat, přeci jen je to omezenější proti OpenLDAPu, kde si můžu opravud namlátit cokoliv. Samozřejmě je možná i proxy konfigurace, kdy mám v pozadí AD a před ním OpenLDAP, který doplňuje co AD neumí, ale to už je kočkopes (máme za sebou skoro dokončený přesun z OpenLDAP protředí na Samba4 AD, ke štestí mi snad chybí jen nemožnost jendoduše z AD řídit cluster Sendmail serverů, ty stále jedou data z OpenLDAPu).
Jdou i další řešení, kde se snaží spojovat věci dohromady. Takže možná bych se podíval na FreeIPA, zda by tento celek nemohl být použitelný (neboť v řadě případů člověk s OpenLDAP a dalšími nástroji lepil dohromady to, co umí IPA).