AD DS ou AD LDS

3

Eu preciso de uma sugestão sobre ter o AD DS ou o AD LDS para minha infraestrutura.

Eu tenho um site que, a partir de agora, não tem nenhum recurso de login para os visitantes, agora estamos desenvolvendo um novo aplicativo para que os visitantes possam criar uma conta no site. O melhor exemplo que você pode imaginar é de qualquer provedor de serviços de telecomunicações, eles têm seu webiste e agora estão criando um recurso de login para seus clientes, para que os usuários possam criar uma conta e possam se inscrever em instalações como o ebill.

Espero que a situação esteja clara agora. Para este aplicativo em particular, pretendo ter um servidor da Web, um servidor de aplicativos, um servidor de banco de dados, um servidor SMTP e um servidor AD (para autenticação de usuários e também para salvar os perfis).

Minha pergunta aqui começa na frente do AD, aqui eu preciso do AD DS ou AD LDS aqui, o que eu preciso do AD é

  1. fornecer autenticação do usuário
  2. fornece acesso baseado em função.

Esta é minha consulta.

    
por Rajeev 01.04.2010 / 06:51

2 respostas

5

Como Rajeev apontou nos comentários, o Active Directory é um servidor LDAP e mais e o serviço AD LDS é um "gratuito" Windows Server role que é fornecido para fazer especificamente o que ele está procurando. O AD fornece muitos extras (replicação, Kerberos, federação, etc.) que você teria que construir por conta própria com uma solução Free / OSS como OpenLDAP + postgres + kerberos. Existem outros (principalmente comerciais) serviços de diretório que possuem habilidades semelhantes.

O licenciamento provavelmente não deve ser um problema. Você provavelmente terá o AD instalado se sua implantação for basicamente baseada no Windows (para contas de computador, contas de administrador, etc.), e isso será relativamente pequeno (parece uma CAL de 5 usuários no máximo). Todos os objetos "usuários" que você criar no LDS para seus usuários públicos não serão contados nas licenças das suas contas do AD DS. Você pode entrar em contato com o Microsoft Licensing para verificar isso.

Usar o AD LDS definitivamente traz grandes benefícios, mas a instalação proposta pode ser muito pequena para realizar alguns deles.

  1. A replicação é provavelmente o primeiro "brinde" que você recebe com o LDS. Sua topologia de sites e sub-redes do AD DS pode ser usada para gerenciar a replicação automaticamente, assim como no AD DS. Mas com apenas um servidor LDS, você não precisará de replicação.
  2. A maioria das ferramentas mais recentes de backup, manutenção, relatórios etc. funcionará tão bem com o LDS quanto com o DS. Então, se você já tem algumas ferramentas internas, provavelmente poderá usá-las apenas para o LDS. Mais uma vez, sua configuração parece pequena demais para que isso seja um grande benefício.
  3. Se você já estiver familiarizado com os cuidados e a manutenção do AD DS, o uso do LDS geralmente será familiar e se baseará em um conjunto de conhecimento que você já possui. Isso pode significar melhorias significativas na capacidade de suporte e gerenciamento, qualquer conhecimento de script que você tenha geralmente será transferível, etc. Isso é um bônus.
  4. E mais uma vez, o LDS é "gratuito" com o Windows, se você instalou um servidor 2003/2008, o LDS está incluído. Este também é um bônus.
  5. Com o Windows Server 2008 R2, você obtém todos os recursos interessantes da base de código do AD DS (instantâneos, etc.)

Tudo o que foi dito ... Se você não tem nenhuma experiência em particular com o AD, e não possui nenhuma infraestrutura em particular para lidar com isso, você pode não ver muito benefício em seguir esse caminho. Com base no tamanho de sua implantação descrita, você pode quase certamente optar por uma configuração de OSS como LAMP + OpenLDAP, dependendo de sua zona de conforto e de quais são os requisitos de aplicativos.

Tenha em mente que se você está fazendo algum tipo de gerenciamento de usuários, então você vai muito, muito Lamento se sua abordagem é apenas "colocar um monte de nomes de usuário e senhas em uma tabela SQL". O gerenciamento de usuários é um processo complexo que já foi resolvido inúmeras vezes antes. Manipular senhas é algo que você simplesmente não deveria estar fazendo, a menos que já tenha muita experiência em programação relacionada à segurança. Por favor, não role o seu próprio!

Encontre uma estrutura comercial ou OSS adequada que já tenha sido projetada para lidar com AAA * corretamente, algo como OpenID provavelmente não é uma idéia terrível. O blog de Jeff Atwood (ele dirige um site , você pode ter ouvido falar dele ...) tem um número de posts discutindo essas questões em torno de seu trabalho em StackOverflow e ServerFault .

De qualquer forma, espero que esta discussão ajude.

    
por 01.04.2010 / 18:55
0

Você precisa aprender programação, mas não precisa da implementação de ANY AD. A maioria dos sites tem seu próprio banco de dados de usuários em algum banco de dados (SQL) e não depende do AD.

    
por 01.04.2010 / 07:29