Active Directory на Debian.

[rainbowhope]

Здравствуйте!
Помогите, пожалуйста, советом.

Нужно построить сервер на стабильном ядре Debian, который по функционалу заменит Windows 2003-8.
Особенно интересует cлужба каталогов и назначение политик пользователям и группам. Про Mandriva Directory Server читал. Насколько я понял, подписка на обновления у него небесплатная.

Вопросы такие:

1) Если использлвать Mandriva Directory Server без подписки, т.е. без обновлений, то сильно ли пострадает безопасность и не нарушается ли при этом лицензия?
2)Можно ли реализовать Acive Directory средствами Webmin? Где-то читал, что samba позволяет делать это, но без политик групп(ожидается в верси 4).
3)Какие еще есть бесплатные или относительно недорогие решения?

Спасибо!

[Bizdelnick]

Про Mandriva Directory Server читал. Насколько я понял, подписка на обновления у него небесплатная.

Бесплатные обновления есть в стандартном мандривовском репозитории. Сам MDS - полностью свободный. Можно не покупать MES, а поставить свободную Мандриву.

Какие еще есть бесплатные или относительно недорогие решения?

389 Directory Server
Resara Server

[rainbowhope]

Про Mandriva Directory Server читал. Насколько я понял, подписка на обновления у него небесплатная.

Бесплатные обновления есть в стандартном мандривовском репозитории. Сам MDS - полностью свободный. Можно не покупать MES, а поставить свободную Мандриву.

Какие еще есть бесплатные или относительно недорогие решения?

389 Directory Server
Resara Server

Это радует!! :-)
Просто зайдя на http://mandriva.ru/ для меня была неочевидна бесплатность обновлений. Вот что там http://shop.mandriva.ru/mandriva_enterpris...year_fiz_nosit/ пишут: Подписка включает получение обновлений и технической поддержки. Уровни технической поддержки (базовый, стандартный, VIP) отличаются скоростью реакции на вопросы заказчика.
Поддержка оказывается по телефону, e-mail и через web-форму технической поддержки.

Т.е. при оплате доступен сервис консультаций по телефону. а безплано - нет, но только обновления? Я правильно понял?
и такой вопрос: какой пакет из перечисленных , с Вашей точки зрения, наиболле функционален, юзабилитен и надежен и почему?
Буду благодарен за короткий ликбез :-)

[Ленивая Бестолочь]

Особенно интересует cлужба каталогов и назначение политик пользователям и группам. Про Mandriva Directory Server читал.

и что, MDS может политики по группам? :-)

[rainbowhope]

Особенно интересует cлужба каталогов и назначение политик пользователям и группам. Про Mandriva Directory Server читал.

и что, MDS может политики по группам? :-)

пока не изучил, потому и спрашиваю.

[Ленивая Бестолочь]

ну вроде там всё те же samba3 + openldap, только в красивой коробочке.
то есть мочь не должен. пусть адепты мандривы меня поправят, если я заблуждаюсь.

[Bizdelnick]

Т.е. при оплате доступен сервис консультаций по телефону. а безплано - нет, но только обновления? Я правильно понял?

Не совсем. Всё это хозяйство прилагается к MES, который в любом варианте платный. Но все пакеты MDS есть в репозиториях обычной Мандривы, которая бесплатная. Соответственно никто не мешает абсолютно бесплатно и законно развернуть сие хозяйство на ней.

ну вроде там всё те же samba3 + openldap, только в красивой коробочке.

И с веб-мордой ещё (или она и понималась под коробочкой?). Политики возможны настолько, насколько их можно реализовать через ACL.

[Дмитрий Н.]

Вроде как самая "крутая" служба каталогов это Novell eDirectory, но она не бесплатна. Всё остальное до MS AD по функционалу не дотягивает.

[Doublespace]

Полистал тут- голая edirectory мало отличается от openldap, а групповые политики работают, тока если докупить недешевые дополнения

[rainbowhope]

А с Resara Server кто-то общался?

[Ленивая Бестолочь]

И с веб-мордой ещё (или она и понималась под коробочкой?). Политики возможны настолько, насколько их можно реализовать через ACL.

да, веб-морда под коробочкой и подразумевалась :-)
через ACL к сожалению это печально. то есть всё, что можно - это сделать, чтобы для каких-то групп пользователей политики (одни и те же) применялись, а для каких-то не применялись вообще.
таким образом не сделать всякие няшности типа "поставить отделу кадров в качестве стартовой страницы браузера www.hh.ru, а безопасникам www.guns.ru" :-)
хотя я всё больше склоняюсь к тому, что, чем меньше люди парятся о наличии "групповых политик" в домене, тем меньше им потом птицы на голову гадят.

[Ленивая Бестолочь]

А с Resara Server кто-то общался?

а можно вопрос провакационный?
в чём в ней смысл вообще?
если оно "based on samba4"?
ну поставте самбу4, зачем ещё какую-то хрень. если вам хочется няшный интерфейс с котятками, то для вас самба4 сама по себе рулится через mmc "users and computers", как "настоящая" АД.

кстати в FAQ у этой resara написано, что для GP используйте mmc.

Resara has a soon-to-be-released Enterprise version of Resara Server that supports replication to secondary Resara servers.

ох лол.

[yamah]

хотя я всё больше склоняюсь к тому, что, чем меньше люди парятся о наличии "групповых политик" в домене, тем меньше им потом птицы на голову гадят.

Пока искал причину почему у меня Win7 не захотела авторизовывать юзеров из домена узнал, что это штука не понимает ГП из AD2003. Это не считая того, что для ее экплуатации с таким доменом нужны теже самые манипуляции, что и OpenLDAP+SAMBA3.

Политики возможны настолько, насколько их можно реализовать через ACL.

Или иным типлм извращений

да, веб-морда под коробочкой и подразумевалась :-)

Хм, а если другую "коробочу" использовать? Тот же phpLDAPadmin?
Да, придется очень долго курить документацию, что бы выяснить какой параметр нужно добавить.

ЗЫЖ. Меня тут вопрос мучает.
Из-а скромности бюджета был куплен сервер с весьма ограниченным полезным дисковым пространством. Нужно как-то каталоги профилей пользователей утащить на другой "сервер".
Самые простые варианты: смонтировать чужие шары на настроенном серваки и на них разместить профили. Тогда вопрос стоит о выборе протокола: SMB, NFS, FTP, WebDAV.
Или лучше пойти по нормальному пути: ввести другие серверы в домен и в уонфиге контроллера доменп указать в пути к каталогам с профилями эти иные сервера?

[DSS]

Нужно построить сервер на стабильном ядре Debian, который по функционалу заменит Windows 2003-8.
Особенно интересует cлужба каталогов и назначение политик пользователям и группам. Про Mandriva Directory Server читал.

Для виндовых клиентов хотите заменить? Проще виндовый сервер потавить.
Ну и тут загляните:
Аналоги Active Directory или централизованное управление сетью