Nota: Eu sei que existem algumas perguntas falando sobre tópicos semelhantes, mas todas elas eram de alguns anos, portanto, preferi mencionar minha situação exata para obter a solução mais adequada de acordo com as técnicas do tempo. Eu quero, por favor, discutir alguns casos diferentes para obter total compreensão.
Pretendo gerir um sistema de uma empresa ou universidade (portanto casos de média e grande dimensão ), e pretendo disponibilizar os seguintes serviços para os utilizadores do sistema num servidor Ubuntu: OpenVPN, Jabber, Git, FreeRadius, Email , Compartilhamento de arquivos Redmine e samba , etc... Eu quero que todos os serviços sejam autenticados usando o mesmo nome de usuário e senha (para buscar o nome de usuário e senha de um sistema de autenticação centralizado, OpenLDAP ou Active Directory (com Samba4 como controlador de domínio)). E quero permitir que os clientes façam logon nos PCs públicos da empresa ou universidade usando o mesmo nome de usuário e senha anteriores, e esses PCs públicos dos clientes são uma mistura de Windows, Linux, MAC, (e vamos discutir o caso, quando temos apenas clientes Windows , então SEM mistura ).
Eu costumava usar OpenLDAP para autenticar todos os serviços mencionados e para lidar com o login do Windows usando pGina , sobre OpenLDAP e foi muito bom para mim.
Mas fiquei confuso quando comecei a aprender sobre controladores de domínio para Windows usando samba4 e não consegui decidir o que é melhor para mim, é pGina ou é controlador de domínio Samba4? Lembrando que neste caso (Domain Controller) não posso mais usar o OpenLDAP, pois não consigo autenticar janelas no OpenLDAP, mas apenas no samba4 AD (E não consigo rodar o Samba4DC em paralelo com o OpenLDAP no mesmo servidor porque ambos são servidores LDAP) .
Eu sei que no momento não posso fazer a autenticação de login do Windows no OpenLDAP, mas não posso fazê-los se comunicar de alguma forma para usar os benefícios de ambos (caso eu precise do OpenLDAP para fazer algo não disponível no AD)?
Você aconselha usar OpenLDAP ou Active Directory (usando Samba4 como controlador de domínio) e por quê? (tendo em consideração o tratamento da autenticação de todos os serviços mencionados e autenticação de login do sistema usando APENAS UM nome de usuário e senha para cada cliente). O que poderei fazer (e o que não) se usar o Samba4AD e não o OpenLDAP (e o caso oposto). Pelo que entendi das leituras anteriores, eles disseram que a vantagem do AD é que ele pode gerenciar políticas de grupos no Windows. Como a política de grupos pode ser exatamente útil para o meu caso? e quais alternativas eu tenho caso você aconselhe usar o OpenLDAP?
Resumindo as principais dúvidas:
- No meu caso, é preferível OpenLDAP ou Samba4AD DC para autenticar todos os serviços + login de clientes com o mesmo nome de usuário e senha? (embora eu entenda que não posso autenticar janelas com OpenLDAP, mas você pode ter algumas adições a dizer sobre isso).
- Quais são as vantagens de juntar os PCs dos clientes a um controlador de domínio pelo Samba4 em vez de apenas usar o pGina?
- Em caso de falta de recursos em ambos (algo é fornecido em um e não no outro), qual é a solução alternativa para evitar essa falta de recursos?
E, por favor, tendo em consideração que prefiro as soluções de código aberto, suportadas e ao vivo de longo prazo (logicamente).
Agradeço antecipadamente!
Acho que essa é uma pergunta muito ampla para realmente funcionar bem aqui, mas acho que há uma pergunta mais simples: "Estou olhando para Samba4 x OpenLDAP, em que devo basear minha decisão?"
A resposta a essa pergunta é: o Samba4 faz sentido se você precisar de alguns dos recursos específicos do Windows (ou pelo menos centrados no Windows) que o AD oferece. (E se você não quiser comprar licenças Windows Server e Client.)
Ao considerar o uso do Samba4, você deve considerá-lo equivalente ao Windows Server. Você obtém (a maioria) das mesmas coisas que obtém da Microsoft: login integrado de clientes Windows, gerenciamento usando ferramentas Windows, ACLs estilo Windows, políticas de grupo, replicação de diretório (mas não para OpenLDAP!), e um diretório compatível com LDAP que outros aplicativos podem autenticar.
Na sua situação:
Eu diria que os recursos específicos do Windows mais úteis que o Samba4 (ou Windows Server) fornece são Políticas de Grupo e gerenciamento de cliente/arquivo/compartilhamento usando ferramentas do Windows. Nenhum desses parece ser especialmente importante para você agora.
OTOH, não estou familiarizado com o pGina ou qualquer outra ferramenta para permitir que os clientes Windows se autentiquem no OpenLDAP. Não sei se funcionam bem, se são fáceis de configurar e manter. Eles certamente não são tão fáceis de gerenciar quanto um PC com Windows associado a um domínio.
Como outro exemplo:
Em nosso caso, tínhamos principalmente clientes Windows com alguns usuários de Linux e Mac e decidimos que era importante ter os clientes Windows ingressando em um domínio AD, então configuramos o Samba4 e despejamos nosso servidor OpenLDAP. Conseguimos fazer isso porque não tínhamos muitas contas e conseguimos criar soluções alternativas para sincronizar senhas entre o OpenLDAP e o AD. Não tivemos problemas com Redmine, OpenVPN, Owncloud e outros serviços de autenticação no Samba4.