让我们确定一个平均设置:
- 网络公司
- 大约 50 个用户
- 一些用户组(管理、支持、开发人员、系统管理员、测试人员、销售人员)
- 一堆权限(只允许管理人员访问敏感的业务数据,只允许管理员访问生产系统等。pp。)
- 视窗工作站
- Linux 服务器
- 通信(电子邮件、内部 IM 等)
- 一些具有原生 AAA 的 Web 应用程序(例如 Mantis、Mediawiki 等)
- 一些需要使用 Basic Auth 保护的 URL
- 可能是来自 ISV 的一些带有 LDAP 连接器的商业应用程序
在这样的环境中使用 OpenLDAP 可能是可行的,但肯定不好玩,尤其是当您不熟悉 LDAP 时。
一个标准的答案是 Active Directory(考虑到它们的 Kerberos 和 LDAP 后端,它们甚至在某种程度上符合标准),但是是否有任何不同的产品非常适合这种环境,甚至可能比 AD 或 OpenLDAP 更有优势?
我知道您正在寻求替代方案,但鉴于这些要求以及中小型企业,我只会选择 AD。它可以满足您的一切需求,易于设置,并且在网络上提供大量支持材料以解决操作问题。
FreeIPA似乎付出了巨大的努力来提供这一点。直到现在还没有尝试过,但我一直在关注它的发展,它似乎对人们在“不太大”的环境中需要什么有很好的理解。
它还得到了 RedHat 的支持,因此人们可以做出有根据的猜测,即在开发人员资源方面有一些支持。
顺便提一句:
嗨长袍!
您还可以查看 Fedora DirectoryServer。
它当然也不“有趣”——但它确实比 OpenLDAP 具有优势,因为它是master-master,而不是single-master-multiple-slave。
它来自旧的 Sun 应用程序,该应用程序后来从内存中开源,所以它已经存在了一段时间。
OpenLDAP 并不难学。你不需要成为一个至高无上的忍者专家。我不是,我管理过小型企业的目录(拥有 2-20 名员工、多个组和跨多个服务器环境的初创公司,以及内部企业使用)。
我不知道 AD、访问许可证或任何其他的成本,但我想充分学习 OpenLDAP 来管理您的环境会花费更少。在最坏的情况下,它的成本相同或可能更高(主要是在时间上),并且您会通过了解一种新的技术来领先:-)。