Question Différences entre Active Directory Server et PDC


le Documentation samba indique très clairement qu'il est uniquement capable de fonctionner en tant que contrôleur de domaine principal de style NT4 et ne peut pas fonctionner en tant que serveur Active Directory. Je gère un groupe de systèmes mixtes (postes de travail Windows xp et serveurs linux de différentes variétés), et cherche à centraliser l'authentification de diverses applications serveur ainsi que des postes de travail clients. J'envisage de mettre en place un serveur Samba, mais je ne trouve pas de fonctionnalité entre ce qui serait offert par un PDC et un ADS pour m'aider à décider si un serveur Samba satisferait à mes objectifs. Est-ce que quelqu'un sait où je pourrais trouver une telle comparaison de fonctionnalités?

Edit: Les postes de travail ne sont pas actuellement sur un domaine. Quelle que soit la configuration Active Directory / samba que je présente, ce sera la première incursion de notre groupe dans l’authentification centralisée. Cela signifie que la configuration d'un contrôleur de domaine Windows Server est une option envisageable, mais je préférerais le faire avec Samba, car je suis plus économe en Linux.


5
2018-06-08 18:20


origine




Réponses:


Je ne sais pas où trouver une telle comparaison point par point. J'ai fait une recherche rapide et je ne viens pas avec beaucoup. Il y a quelques comparaisons dans le Samba HOWTO officiel à: http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html

Voici une partie de cette comparaison basée sur ce que je sais:

  • Avec un "PDC" Samba, vous obtenez une base de données de compte / groupe centralisée pour vos ordinateurs membres, comme vous le feriez avec un domaine Active Directory.

  • Vous pouvez utiliser l'outil "Gestionnaire d'utilisateurs pour les domaines" NT 4.0 pour gérer les utilisateurs de Samba PDC. Active Directory peut être géré avec l'outil "Utilisateurs et ordinateurs Active Directory" (IMHO, plus propre et plus facile à utiliser).

  • Vous pouvez répliquer la base de données de sécurité du Samba PDC de manière mono-maître ou multi-maître entre plusieurs ordinateurs contrôleurs de domaine (selon le back-end dans lequel vous choisissez de stocker les données de mot de passe). Active Directory est multi-maître.

  • Un PDC Samba effectuera une authentification basée sur NTLM. Active Directory peut également effectuer l'authentification basée sur NTLMV2 et Kerberos.

  • Un contrôleur de domaine principal Samba ne peut pas fournir la fonctionnalité de stratégie de groupe comme un ordinateur contrôleur de domaine Active Directory.

Sur le plan fonctionnel, Samba agit comme un "PDC" NT 4.0. Vous pouvez donc utiliser des documents de comparaison entre le système de domaine Windows NT 4.0 et Active Directory pour vous donner quelques idées supplémentaires.

Samba 4.0, qui est encore en développement, est censé remplir la fonction de contrôleur de domaine Active Directory. Une branche expérimentale du code Samba, appelée Frankly, cherche également à implémenter la fonctionnalité de contrôleur de domaine Active Directory (voir http://wiki.samba.org/index.php/Franky).


3
2018-06-08 18:39





HAUT NIVEAU

Un contrôleur de domaine Active Directory est essentiellement un serveur qui fournit un accès au système distribué qu'est Active Directory. Dans un domaine Active Directory, tout contrôleur de domaine peut fournir un accès complet en lecture-écriture au domaine. C'est le PDC (contrôleur de domaine principal) dans les domaines NT4 qui a fourni l'accès en écriture, puis synchronisé vers les contrôleurs de domaine de sauvegarde (BDC).

Un serveur dans un domaine Active Directory assumera le rôle d'émulateur PDC aux fins de la compatibilité avec les anciens domaines NT4. Le serveur qui détient ce rôle joue le rôle d'intermédiaire entre AD et les BDC de l'ancien domaine à des fins de synchronisation et autres.

Vous pouvez utiliser Samba si vous lui indiquez que le PDC est le serveur AD du domaine qui détient le rôle d'émulateur de PDC.

MODIFIER: Je suppose que vous avez déjà AD en cours d'exécution dans votre environnement. Je ne suis pas tout à fait sûr que ce soit une hypothèse sûre ou non, mais comme vous avez déjà quelques machines Windows, je pense que mon cerveau y est allé.

EDIT2: Ok, étant donné qu’aucun domaine n’existe actuellement, je recommanderais vraiment de configurer Active Directory et d’y intégrer des éléments. Il est assez simple de configurer un petit environnement AD et il existe une tonne de ressources pour vous aider à démarrer.


3
2018-06-08 18:29



Upvote! C'est une description très claire et succincte. - Greg Meehan
les postes de travail ne sont pas dans un domaine, mettra à jour la question pour clarifier - Mark Roddy


Les configurations de style PDC sont des arrangements "à plat", dans lesquels la sécurité est au niveau du peering. L'identité / authentification est effectuée à l'intérieur d'un "domaine"; Pensez-y comme un mur de château avec tous les utilisateurs "authentifiés" et les ordinateurs et autres représentations qui y vivent. Lorsque vous devez faire quelque chose dans un domaine différent, vous devez établir une relation de confiance entre les deux.

ADS fournit des contrôles hiérarchiques, dans une structure arborescente. Il intègre les concepts Kerberos, DNS et LDAP dans une approche holistique unifiée et cohérente. Les domaines utilisant cette structure peuvent maintenant être imbriqués dans un domaine principal.


2
2018-06-08 18:23





Avec un seul serveur pour l'authentification uniquement, comme cela semble être le cas dans la question, il n'y a probablement pas de différence. Allez avec Linux parce que c'est ce que vous savez, ou avec Windows pour apprendre quelque chose de nouveau.

Le mode "PDC" de Samba ressemble aux domaines de style Windows NT 4.0. Active Directory est arrivé avec Windows 2000, il a ajouté plus de fonctionnalités. Plus votre version de Windows Server est récente, plus Active Directory dispose de fonctionnalités. (Que vous en ayez besoin ou non, c'est une autre affaire.)

Un contrôleur de domaine Active Directory fournira une authentification centrale et autorisera également l'utilisation d'autres fonctionnalités AD, telles que la stratégie de groupe.

Hormis la stratégie de groupe, de nombreuses autres améliorations apportées à Active Directory ne prennent vraiment leur ampleur: soit plus de clients sur des réseaux plus importants, plus d'emplacements, soit plus de contrôleurs de domaine.


1
2018-06-08 19:17