Diferenças entre o Active Directory Server e o PDC

5
A documentação do Samba afirma claramente que é apenas capaz de funcionar como um controlador de domínio primário estilo NT4 e não pode funcionar como um servidor do Active Directory. Eu gerencio um grupo de sistemas mistos (estações de trabalho do windows xp e servidores linux de vários tipos), e procurando centralizar a autenticação de vários aplicativos de servidor, bem como as estações de trabalho do cliente. Estou pensando em configurar um servidor Samba, mas não consigo encontrar um recurso dividido entre o que seria oferecido por um PDC e um ADS para ajudar-me a decidir se um servidor Samba satisfaria meus objetivos. Alguém sabe onde eu poderia encontrar tal comparação de recursos?

Editar: as estações de trabalho não estão atualmente em um domínio. A configuração de diretório / samba sempre ativa que introduzirei será a incursão inicial do nosso grupo na autenticação centralizada. Isso significa que configurar um controlador de domínio do Windows Server é uma opção viável, mas eu prefiro fazê-lo com o Samba, já que sou mais Linux savy.

    
por Mark Roddy 08.06.2009 / 20:20

4 respostas

3

Não sei onde encontrar essa comparação ponto a ponto. Eu fiz uma pesquisa rápida e não estou vindo com muito. Há alguma comparação no HOWTO oficial do Samba em: link

Veja algumas dessas comparações com base no que eu sei:

  • Com um "PDC" do Samba, você obtém um banco de dados centralizado de conta / grupo para seus computadores membros, como faria com um domínio do Active Directory.

  • Você pode usar a ferramenta "Gerenciador de usuários para domínios" do NT 4.0 para gerenciar usuários do PDC do Samba. O Active Directory pode ser gerenciado com a ferramenta "IMHO, mais limpa e fácil de usar" "Usuários e Computadores do Active Directory".

  • Você pode replicar o banco de dados de segurança do Samba PDC de uma forma de mestre único ou de modo multi-mestre entre vários computadores de controlador de domínio (dependendo do back-end em que você escolher armazenar os dados de senha). O Active Directory é multi-mestre.

  • Um PDC do Samba executará a autenticação baseada em NTLM. O Active Directory também pode executar a autenticação baseada em NTLMV2 e Kerberos.

  • Um PDC do Samba não pode fornecer a funcionalidade da Diretiva de Grupo como um computador do controlador de domínio do Active Directory pode.

Funcionalmente, o Samba age como um "PDC" do NT 4.0, para que você possa usar documentos de comparação entre o sistema de domínio do Windows NT 4.0 e o Active Directory para fornecer algumas idéias adicionais.

O Samba 4.0, que ainda está em desenvolvimento, deve obrigar a função do controlador de domínio do Active Directory. Um ramo experimental do código do Samba, chamado Francamente, também procura implementar a funcionalidade do controlador de domínio do Active Directory (veja link ) .

    
por 08.06.2009 / 20:39
3

ALTO NÍVEL

Um controlador de domínio do Active Directory é basicamente um servidor que fornece acesso ao sistema distribuído que é o Active Directory. Em um domínio do Active Directory, qualquer controlador de domínio pode fornecer acesso total de leitura e gravação ao domínio. Foi o PDC (Controlador de Domínio Primário) em domínios NT4 que forneceu o acesso de gravação e depois foi sincronizado com os BDCs (Backup Domain Controllers).

Um servidor em um domínio do Active Directory manterá a função de Emulador PDC para fins de compatibilidade com versões anteriores de domínios NT4 mais antigos. O servidor que mantém essa função atua como intermediário entre o AD e os BDCs do domínio mais antigo para fins de sincronização e outras coisas.

Você é bom usando o Samba se informar que o PDC é o servidor do AD no domínio que detém a função de emulador de PDC.

EDITAR: Suponho que você já tenha o AD em execução no seu ambiente. Não tenho certeza se essa é uma suposição segura ou não, mas como você já tem algumas máquinas com Windows, acho que meu cérebro acabou de chegar lá.

EDIT2: Ok, como nenhum domínio existe atualmente, eu realmente recomendaria configurar o Active Directory e integrar coisas nele. É bastante simples de configurar um pequeno ambiente de AD e há uma tonelada de recursos para ajudá-lo a começar.

    
por 08.06.2009 / 20:29
2

As configurações no estilo PDC são "simples", onde a segurança está em um nível de peering. Identidade / Autenticação é realizada dentro de um "domínio"; pense nisso como um muro de castelo com todos os usuários e computadores "autenticados" e outras representações que vivem dentro dele. Quando você precisa fazer algo em um domínio diferente, você precisa estabelecer uma relação de confiança entre os dois.

O ADS fornece controles hierárquicos, em uma estrutura semelhante a uma árvore. Ele integra os conceitos Kerberos, DNS e LDAP em uma abordagem holística unificada e coesa. Domínios que usam essa estrutura agora podem ser aninhados dentro de um domínio principal.

    
por 08.06.2009 / 20:23
1

Com um único servidor apenas para autenticação, como parece ser o caso na pergunta, provavelmente não há diferença. Ou use o Linux porque é isso que você sabe ou com o Windows para aprender algo novo.

O modo "PDC" do Samba é como os domínios no estilo do Windows NT 4.0. O Active Directory veio com o Windows 2000 adiciona mais recursos em cima disso. Quanto mais recente for uma versão do Windows Server, mais recursos o Active Directory possui. (Se você precisa ou não é outro assunto.)

Um controlador de domínio do Active Directory fornecerá autenticação central e também permitirá que outros recursos do AD, como a Diretiva de Grupo, sejam usados.

Além da Diretiva de Grupo, muitos dos outros aprimoramentos no Active Directory só se destacam com escala: mais clientes em redes maiores em mais locais ou com mais controladores de domínio.

    
por 08.06.2009 / 21:17