Чем заменить active directory

10 бесплатных альтернативных программ для Microsoft Active Directory

Одна из самых больших проблем, которые мы испытываем при использовании нашего компьютера, — это конфиденциальность, и если вы управляете компанией, ее важность не поддается определению. Существует довольно много способов обеспечить конфиденциальность в Windows, но если вы не хотите, чтобы кто-либо еще входил на ваш сервер, в этом случае большинство компаний используют Microsoft Active Directory. При этом никто, кроме вас и вашей команды, не сможет войти в вашу систему.

Microsoft Active Directory — это не что иное, как база данных, созданная Microsoft. Вам необходимо получить к нему доступ на устройстве под управлением Windows Server, и он будет действовать как контроллер домена. Все пользователи в сети домена Windows должны взаимодействовать с контроллером домена, чтобы войти на сервер.

Однако Microsoft Active Directory — не единственное программное обеспечение каталогов на рынке. Поэтому в этой статье мы собираемся найти одни из лучших бесплатных альтернатив Microsoft Active Directory на рынке.

Бесплатные альтернативы Microsoft Active Directory

Список не имеет определенного порядка, поскольку все инструменты, упомянутые в этом списке, имеют свои сильные и слабые стороны. Бесплатные альтернативы Microsoft Active Directory, которые мы собираемся обсудить в статье:

1. Студия каталогов Apache
2. Открыть LDAP
3. JXplorer
4. FreeIPA
5. Самба
6. 398 Сервер каталогов
7. OpenDJ
8. Zentyal Active Directory
9. Oracle Directory Server Enterprise Edition
10. RazDC

Обсудим их подробнее.

1]Apache Directory Studio

Первое приложение в нашем списке — Apache Directory Studio. Это программное обеспечение с открытым исходным кодом, созданное на сертифицированных серверах каталогов Java и LDAP3. Он сертифицирован утилитами баз данных на основе Eclipse. Мало того, что он также поддерживает Kerberos 5 и некоторые другие коды.

Вы можете скачать программное обеспечение с их Официальный веб-сайт. Однако программное обеспечение не будет работать, просто установив программное обеспечение, у вас должна быть Java 11 или более поздняя версия, чтобы оно работало на вашем ПК с Windows. Если у вас нет Java 11, вы можете скачать ее с AdoptOpenJDK.

2]OpenLDAP

Еще одно бесплатное программное обеспечение с открытым исходным кодом в нашем списке — OpenLDAP. Он основан на протоколе облегченного доступа к каталогам (LDAP) и может заменить Microsoft Active Directory. Благодаря этому вы станете администратором базы данных LDAP и сможете управлять, искать, изменять, создавать и удалять элементы из нее.

Использовать OpenLDAP довольно просто, вы можете скачать и установите его на свой компьютер с Windows. Затем наслаждайтесь такими функциями, как управление паролем, импорт и экспорт LDIF, просмотр схем и другие функции, которые позволяют защитить ваши данные.

3]JXplorer

Если вам нужна кроссплатформенная альтернатива Microsoft Active Directory, вам следует обратить внимание на JXplorer. JXplorer может работать на Windows, Linux и многих других платформах.

В JXplorer вы можете искать, читать и редактировать любой каталог LDAP с помощью интерфейса LDAP и DSML. Он довольно гибкий и настраиваемый. Он построен на JAVA и имеет настраиваемый шаблон HTML.

Есть две версии свободный и версия Enterprise. Однако сначала вам следует попробовать бесплатную версию, а если вы считаете, что в ней чего-то не хватает, обновитесь.

4]FreeIPA

Одна из лучших альтернатив Microsoft Active Directory для устройств на базе Linux и Unix, FreeIPA, разработана Red Hat. Это аналогичная замена активного каталога, в которой адаптировано множество его функций.

Он имеет простой пользовательский интерфейс, который позволяет вам управлять клиентами, просто скачивание программное обеспечение на вашем компьютере. Одна из его основных функций — решение для управления информацией о безопасности, которое включает Linux, DNS, NTP и многие другие. Итак, если вы используете операционную систему на основе Unix, то нет лучшего программного обеспечения для управления вашими клиентами, чем FreeIPA.

5]Самба

На рынке очень мало программ Active Directory, которые позволяют создавать базу данных на платформе Unix и работать как клиент в Windows, Samba — одна из них. Это одна из лучших альтернатив Microsoft Active Directory для платформы Unix, поскольку она без проблем работает как в Unix, так и в Windows в качестве клиента.

Благодаря этому вы получите лучшее из обоих миров: безопасность Unix и простоту Windows. Они достигли этой простой связи с помощью Общая файловая система Интернета или же CIFS. Он также может работать с другими хостами, отличными от Unix, такими как VMS, AmigaOS и NetWare.

Пользователь может получить все это бесплатно, просто загрузив программное обеспечение со своего Официальный веб-сайт.

6]398 Сервер каталогов

398 Directory Server — еще одна бесплатная альтернатива Microsoft Active Directory для Linux. Он имеет простой пользовательский интерфейс, и человек с минимальными знаниями может получить доступ к программному обеспечению.

Они объединили этот интерфейс с мощным программным обеспечением, которое идеально подходит для работы тысячам пользователей. Сервер совместим с LDAPv3 и выполняет безопасную аутентификацию и транспорт с помощью TLS и SASL.

Вы можете скачать программное обеспечение с их Официальный веб-сайт и установите его на свой компьютер с Linux, чтобы пользоваться этим мощным инструментом бесплатно.

7]OpenDJ

OpenDJ, как следует из названия, представляет собой бесплатное программное обеспечение с открытым исходным кодом с простым пользовательским интерфейсом, который позволяет легко создавать базу данных, такую ​​как Microsoft Active Directory.

Он сочетает в себе LDAPv3 и DSMLv2 для обеспечения бесперебойного рабочего процесса. Одна из его самых больших особенностей — это простой и интуитивно понятный интерфейс, который регулярно обновляется. Этот сервер, построенный на Javascript, обслуживается Oracle, поэтому вы знаете, что он будет безопасным.

Поэтому, если вы ищете альтернативу Microsoft Active Directory, вы можете скачать OpenDJ.

8]Zentyal Active Directory

Zentyal Active Directory — это альтернатива Microsoft Active Directory для создания сервера на платформе Linux. Как и JXplorer, Zentyal может позволить клиентам Windows работать на сервере, даже если сеть размещена в ОС Linux.

Он имеет аутентификацию единого входа (SSO) и поддерживает 6 протоколов, таких как POP3, IMAP, SMTP и т. Д. Итак, если вы используете Linus, вам следует как минимум скачать и установите Zentyal Active Directory, поскольку это бесплатно. Это чистое и безопасное решение, которое просто работает.

9]Oracle Directory Server Enterprise Edition

Oracle — старый народ в этой игре, как ее называли. Сервер системного каталога Sun Java. Это одна из лучших программ в отрасли, обладающая множеством функций. Вы можете скачать программное обеспечение со своего официального сайта.

Некоторые из его функций — это веб-консоль администрирования, синхронизация с Active Directory, прокси-сервер каталогов и многое другое. В связи с этим мы можем сказать, что если вы ищете гетерогенное приложение, то Oracle Directory Server Enterprise Edition — это то, что вам нужно.

10]RazDC

И последнее, но не менее важное: RazDC. Это простое и легкое программное обеспечение, которое работает в Linux, и самое лучшее в нем то, что оно бесплатное.

Он безопасен и совместим с Microsoft Active Directory с простым пользовательским интерфейсом, который может настраиваться под любой размер экрана. Единственное предостережение заключается в том, что оно не так мощно, как какое-либо другое программное обеспечение в списке, но если вы хотите использовать легкую альтернативу Microsoft Active Directory, вам следует скачать RazDC.

Microsoft Active Directory — безусловно, лучшее решение для баз данных, созданное Microsoft. Однако это не единственное программное обеспечение на рынке, поэтому вам следует попробовать другое программное обеспечение.

Чем заменить active directory

The basic and advanced features and services included in the Active Directory software are-

1. Create and manage domains, users, and objects within a network.
2. Organize a large number of users into logical groups and subgroups while providing access control at each level.
3. Domain Services: Centralised data is stored and communications between users and domains are controlled/managed by domain services. Login authentication and the search facility is also included under this service.
4. Creating, distributing, and managing secure certificates.
5. A user can be authenticated into multiple websites in a single session using SSO (Single Sign-On). This feature comes under Directory Federation Service.
6. Using LDAP, applications like Active Directory should support directory-enabled applications.
7. Active Directory and its alternatives should protect copyrighted information by preventing unauthorized use and distribution of digital content.

Without taking much time, I will present 25 alternatives to Active Directory for both Windows and non-Windows platforms.

25 Alternatives to Active Directory

ApacheDS

ApacheDS (Apache Directory Studio) is considered to be the top Active Directory alternatives and the company enjoys immense popularity among directory service users. It has been certified to be compatible with LDAPv3 (The latest LDAP version) along with support for Kerberos 5 and the Change Password Protocol.

ApacheDS is written entirely in Java, one of the most robust programming languages out there. Several features of ApacheDS are listed below-

• Multimaster replication support: Content synchronization (RFC 4533) allows ApacheDS 2.0 to support multi-master replication.
• Configuration based on LDIF: LDIF, a well-known file format among people working with LDAP technologies which makes it a lot easier to manage and configure servers.
• Developers can easily embed their Java applications as ApacheDS is entirely Java-based.
• ApacheDS is regularly updated.

• Free

OpenLDAP

OpenLDAP is a well-known open-source, community-developed implementation of the Lightweight Directory Access Protocol. OpenLDAP is built keeping in mind the needs of users who want a robust, commercial-grade, fully featured LDAP suite of applications and development tools.

Some features offered by OpenLDAP-

• Written in C language, OpenLDAP is fast and bug-free.
• Supports the latest LDAPv3, and IPv6 (Internet Protocol Version 6).
• DIFv1 support: Provides complete compliance with the LDAP Data Interchange Format (LDIF) version 1.
• Stand-alone LDAP servers are enhanced.

• Free

Univention Corporate Server (UCS)

UCS (Core Edition) is an open-source and free-of-charge directory application. It is deemed as one of the most complete Active Directory alternatives among users and is a trusted and popular directory service software as it is regularly updated for security and feature improvements.

UCS is easily an optimal solution to better management of a virtualized IT environment for cost-efficient and easy administration of server applications due to the following features-

• Single Server Scenario: One single UCS domain can handle 1000+ clients and servers for 1000+ users.
• Univention App Center: It is a platform to install and administrate preconfigured business applications in a UCS domain so that they are ready to use in the existing IT infrastructure.
• Friendly user interface and easy, hassle-free setup/installation.
• It has a command line, scripting interface and APIs (Application Program Interfaces) for automatization and extensions.
• DNS, WINS, DHCP, (IP) Management integrated.
• Active Directory Connection: You can join an existing Active Directory domain or synchronize it with UCS. Furthermore, you can also access the Univention App center from Active Directory.

• Free

Zentyal Active Directory

Zentyal is a complete Microsoft Active Directory implementation for users on Linux. Linux is growing as an office-use OS at an exponential rate because of it being a free, open–source, and highly secure operating system kernel. If you are using Linux for a small or medium business and office environment, you don’t have to look any further as Zentyal is the Directory service software to go for.

• Directory and domain: SSO (Single Sign-On) authentication, File-sharing in Windows environments like XP/Vista/7/8/10, etc.
• Mail: Antivirus and mail filter, 6 protocols supported (including SMTP, POP3, and IMAP), a plethora of integrated software.
• Gateway: Routing, firewall, RADIUS, and free RADIUS supported with multiple integrated software.
• Support and updates provided on GitHub and forum.

• Free

Samba

Samba is a free Windows interoperability suite and a very famous Active Directory alternative. It can function in two modes, 1- Domain Controller or as a 2- Regular Domain member. Samba has been there for a long time (Since 1992) and has provided secure, stable, and fast file and print services for the clients using SMB or CIFS protocol.

• Regularly updated, secure, and easy to install and download.
• SMBclient: Simple SMB client with an interface similar to FTP utility.
• Own filesystem for Linux: SMBF filesystem
• Samba Web administration tool: Allows you to configure samba remotely using a web browser.

• Free

JumpCloud

JumpCloud is a reimagined replacement for Microsoft’s Active Directory and LDAP. It is the first software to be implemented as DaaS (Directory as a Service). As the name suggests, JumpCloud is entirely cloud-based software and hence it is the future of directory services as now everyone prefers cloud-based software solutions because it is easy to manage.

Features of JumpCloud-

• Centralized Cloud Directory: User identities are secured and united in a single authoritative directory.
• Cloud LDAP, Single Sign-On (SSO), RADIUS servers.
• Administration automation (Scripting APIs,PowerShell,& Event-logging).
• Protects system, servers, apps, and network with MFA (Multi-factor Authentication).

OpenDJ

OpenDJ is an open-source, lightweight, and embeddable directory service. OpenDJ fully implements LDAPv3 and also supports DSMLv2 (Directory Service Markup Language). OpenDJ’s source code is originally from OpenDS, an LDAP/DSML server maintained by Oracle Corporation.

Written in Java language, OpenDJ offers the following set of features-

• Multi-master replication
• access control and a lot of extensions.
• High performance: Response time in ms and 10000+ w/r per second.
• Modern UI and regularly updated.
• Secure and trusted directory server originally coming from Sun Microsystem’s OpenDS.

• Free

Azure Active Directory

Microsoft Azure is another alternative to Active Directory developed by Microsoft as a Web application. Azure Active Directory (AAD) features top-of-the-line security, user experience, and apps. Microsoft’s claim of investing $1 Billion for security every year and employing 3,500 security experts makes AAD worth it.

Some salient features of Azure Active Directory are as follows-

• Azure AD supports more than 2,800 SaaS (Software as a Service) apps.
• Enforces Strong authentication and conditional access policies that safeguard user credentials.
• Customizable user journey and simplified authentication with social identity.
• All the features of Windows Server’s Active Directory.

• Free and Paid premium also available

Gluu Server

Gluu Server is a feature-rich and modern Active Directory alternative that you can use for free. With a plethora of basic and advanced features at its disposal, we can easily recommend Gluu Server as a safe and secure directory service which you can use to manage your demanding business.

Gluu Server provides the following features-

• Variety of 2FA mechanisms including FIDO devices,one-time-password(OTP), push notifications, etc.
• OAuth scopes allow associating access to management policies.
• Local User Management, Leverage backend LDAP server(s), integrated Identity management tools.
• Microsoft AD integration.

• Free

FreeIPA

Another alternative to Zentyal (An Active Directory alternative for Linux) on Linux can be the FreeIPA client and user management software. Using FreeIPA guarantees a secure directory environment as it is powered by Red Hat OpenShift Online. Along with web-interface and command-line administration tools, FreeIPA can be excellent software to manage your user and client identities.

• CLI, Web UI, RPC access helps to manage users and clients.
• Ease of management and automation of installation and configuration.
• Extensible management interfaces like CLI, XMLRPC, JSONRPC API, and Web UI)
• Python SDK, and integrated SIM (Security Information Management) solution.

• Free

389 Directory Server

389 Directory server is an enterprise-class open source LDAP server for Linux. 389 Directory server has been tested and trusted for real-world usage, supports multi-master replication, and currently handles many of the world’s largest LDAP deployments. 389 Directory server can be set-up quickly and is free to download.

• Zero downtime, LDAP-based management including ACIs (Access Control Information).
• Amazing fault tolerance and high write performance provided by asynchronous Multi-master replication.
• TLS and SASL provides Secure Authentication & transport
• LDAPv3 compliant.

• Free

GLAuth

GLAuth is a lightweight replacement for OpenLDAP and Active Directory. It is a secure, easy-to-use LDAP server with fully configurable backends. It provides centralized account management across Linux servers, macOS, and support applications like Jenkins, Graylog2, Apache, Nginx, etc.

GLAuth has the following notable features-

• Manage SSH keys, Linux Accounts, and passwords for cloud servers centrally.
• You can store your user directory in a local file on your internal storage, S3, or proxy them to existing LDAP servers.
• It is fully free and open-source and is regularly updated on GitHub.

• Free

RazDC

RazDC provides the power of Microsoft’s Active Directory on your Linux systems free of cost and with minimal hardware requirements. RazDC is created keeping in mind the needs of small business owners who want a reliable Active Directory alternative without breaking the bank.

The feature list of RazDC-

• Powerful Bind9 DNS which comes with granular control from subnets to single IPs
• User Interface can adapt to any screen size.
• Diagnostic tools and log viewers in-built.
• Secure and compatible with MS Active Directory.

• Free

Linuxmaster.net

Linuxmaster.net is a directory and management service focused on School and institution IT infrastructure. Based in Germany, the software company has teamed up with school teachers and service providers for the special requirements for schools, and hence, this software is user friendly, adaptable, and has a helpful community.

Set of notable features-

• Open-source and freely available without the need for licensing or activation.
• Linbo ensures operation reliability.
• WebUI makes stuff a lot easier.
• A direct technical successor to PaedML-Linux 5.

• Free

JxPlorer

The cross-platform LDAP browser and editor, JxPlorer is a worthy addition to this list of AD alternatives. Searching, reading, and editing LDAP a standard LDAP directory or any directory service with an LDAP or DSML interface has never been easier as JxPlorer focuses on being a standard compliant, general-purpose LDAP client.

• Easy drag-and-drop editing of files and data.
• SSL/TLS support along with support for SASL authentication.
• You can edit LDIF files offline; Importing and exporting LDIF is also possible.
• UI for search filter construction is provided, can perform complex searching.

• Free

GOsa is a powerful LDAP administration frontend for user administration designed for power users. It is a bit difficult to install GOsa and the setup process isn’t trivial as compared to other Softwares mentioned here, but with GOsa, you can access dozens of plugins and use them for free with the GOsa core app.

GOsa provides a very powerful modular framework by allowing us to freely choose between the plugins we need and it can be a good active directory alternative.

• Free

eDirectory

eDirectory claims to be the best online directory software in the world. With easy setup and fast launch, eDirectory provides a complete set of features to manage your directories effortlessly. eDirectory focuses on building an online directory for the web and if you are looking for a directory software for that purpose, you can stop looking any further.

• Highly customizable.
• Access to the source code for design and features.
• You can add plugins and services to increase functionality.

Red Hat Directory Server

The software company Red Hat, which is under IBM as of 2019, enjoys immense popularity as a network software developer company among the millions of internet users worldwide. Red Hat’s Directory server makes it plenty easy to scale, manage, and secure your user information in an LDAP based server.

Mentioned below are some salient features of Red Hat Directory Server-

• Centralized, fine-grained access control along with control based on user identity, IP address, domain name, etc.
• Your directory data will be in safe hands with Red Hat’s control down to attribute value level.
• user ID, password, or X.509v3 public-key certificates are some authentication methods.
• Security policy replication by storing ACL (Access Control List) information with each entry.

• Paid

Koozali SME Server

Koozali SME Server is an open-source Linux Server distro for small to medium business’. Based on CentOS/Redhat, SME Server is brought to you by a large and skilled community. Koozali claims SME Server to be secure, stable, and versatile.

List of features-

• Effortless setup: Installation and basic configuration take less than 20 minutes.
• Reliable: Regularly updated and secure due to CentOS and Redhat traces in its source code.
• Other features like Antivirus and antispam, Remote access, Backup, Raid, Auto-update, etc.

• Free

OpenAM

OpenAM (Open Access Management) focuses on providing access management solution that includes authentication, SSO (Single Sign-On), Authorization, Federation, Entitlements, and Web Services Security.

You can find OpenAM repositories on GitHub, which automatically implies that OpenAM is open-source. OpenAM integrates easily with legacy, custom, and cloud applications without the need for any modifications thanks to CDSSO, SAML 2.0, OAuth 2.0, and OpenID connect.

• Free

Oracle Directory Server Enterprise Edition

Previously known as the Sun Java System Directory Server, the oracle directory server enterprise edition is one of the best-known directory servers with demonstrated large deployments in carrier and enterprise ecosystems. We can also say that the oracle directory server enterprise edition is the ideal directory service software for heterogeneous environments.

• Embedded database
• Directory Proxy
• Active Directory synchronization
• Web administration console

Free

IBM Domino – IBM i

IBM Domino is IBM retained client, now managed by HCL. It is a collaborative client-server software platform and delivers a highly scalable and reliable infrastructure for e-collaborations. IBM offers a load of developers tools like Lotus Domino for IBM i APIs, Lotus C API toolkit, Domino HTTP Server and WebSphere, and Lotus DeveloperWorks.

We all know that IBM has decades of expertise in the field of business Softwares and hardware and our trust makes IBM Domino a worthy Active Directory alternative in this list.

• Paid

IBM Tivoli Directory Server

IBM Security Directory Server, formerly known as IBM Tivoli Directory Server, is IBM’s implementation of LDAP. This could be your preferred Directory Server alternative if you own a large, corporate level business. With IBM’s brand name and experience, we can easily recommend IBM Tivoli Directory Server as a replacement to Microsoft’s Active Directory.

• CRAM-MD5 (Challenge-Response Authentication Mechanism MD5).
• SASL (Simple Authentication and Security Layer).
• Kerberos authentication.
• Digital Certificate-based authentication.

• Paid

Resara Server

Perfect for small business’, Resara Server is an open-source server that is compatible with Active Directory. Resara Server is designed around Samba 4 and is straightforward, easy to install and operate. You can effortlessly manage users, share files, and configure DHCP and DNS using the management console.

Although not much popular, Resara Server is completely free and just happens to be one of the MS Active Directory alternatives.

• Free

Lepide

Lepide is a security-focused, risk-free data-centric Security Platform. Although Lepide is not free, you can register for a free trial. Lepide provides improved data-protection and meets compliance audits like HIPAA, PCI, SOX, GDPR, CCPA, etc.

Not only active directory but Lepide also supports Group Policy, File Server, Exchange Server, NetApp Filters, SQL Server, Azure AD, and many more.

• Paid

I hope this article was informative and you found exactly what you were looking for. For suggestions and queries, leave a comment below or contact us.

Bipul

Bipul is an undergraduate engineering student, who has used five different Windows releases over 8 years of him being a true PC enthusiast.

Related Posts

17 Vysor Alternatives and Similar App

17 best Alternatives to Vysor to access your computer via phone. Remote management software can be pretty nifty, whether you’re a businessperson trying to finish… Read More » 17 Vysor Alternatives and Similar App

10 Best Spacemonger Alternatives to Analyze Disk

Top 10 Alternatives to SpaceMonger to analyze your Hard Disk: Are you constantly wondering all the space in your hard drive has disappeared to? Tired… Read More » 10 Best Spacemonger Alternatives to Analyze Disk

8 Best Wireshark Alternatives for better Network Traffic Analysis

Wondering which are the best Wireshark alternatives? Check out this list that consist of 8 similar software that is free, work with Windows, mac and… Read More » 8 Best Wireshark Alternatives for better Network Traffic Analysis

Опенсорсные решения для централизованного управления доступом к ресурсам

В современной сети нередко организованы сотни пользовательских аккаунтов, работают десятки служб и сервисов. Чтобы большое количество точек управления не вызывало несогласованности, нужна единая база учетных записей и приложений. В последнее время появился целый ряд интересных опенсорсных проектов, расширяющих стандартные возможности LDAP и вполне способных заменить Active Directory.

. . . .
• Страница Mandriva Directory Server.

389 Directory Server

• Сайт проекта: directory.fedoraproject.org.
• Лицензия: GNU GPL.
• ОС: Fedora/Red Hat/CentOS, будет работать в Linux (Debian, Ubuntu, Gentoo), Solaris, HP/UX 11, Irix, AIX, Windows и OSF/1.

Сервер каталогов уровня предприятия, создаваемый сообществом при спонсорской поддержке Red Hat. Базой для него послужил разрабатываемый с 1996 года Netscape Directory Server. Он получил новое имя — Fedora Directory Server — после того, как права на него в 2005 году приобрела Red Hat. В 2009 году проект снова изменил название на 389 Directory Server (389 — по номеру порта службы LDAP). Причина проста: FDS неразрывно ассоциировался с Fedora, что, по мнению разработчиков, тормозило развитие, в частности интеграцию в другие дистрибутивы. На основе 389DS Red Hat выпустила коммерческую версию Red Hat Directory Server (RHDS) с техподдержкой 24/7. Возможности 389DS включают полную поддержку протокола LDAPv3, SSL/TLS- и SASL-аутентификацию, синхронизацию данных (пользователь, группа, пароль) с Active Directory (при условии, что на КД Win2k3/2k8 установлен компонент Windows Sync), разграничение доступа вплоть до отдельных атрибутов (имя, группа, IP и т. д.) В качестве криптодвижка используется библиотека NSS от Mozilla Project. Конструктивно 389DS состоит из сервера каталогов (Сore Directory Server, CDS) и сервера администрирования (Admin Server). Задача последнего — управление всеми доступными CDS, для чего предлагается графическая консоль (389-console) и утилиты командной строки. В Linux консоль устанавливается автоматически (написана на Java). Для управления из-под Win2k3/2k8 на сайте проекта следует скачать пакет Windows Console.

Консоль управления 389 Directory Server

Другие статьи в выпуске:

Хакер #158. Взломать Wi-Fi за 10 часов

Разработчики отмечают высокую производительность и масштабируемость 389DS. В одной сети может работать до четырех равноправных мастер-серверов с автоматическим разрешением конфликтов, балансировкой нагрузки и резервированием сервера. Поддерживаются работающие в режиме read-only сервера, некий аналог Read Only Domain Controller в Active Directory Win2k8.

В настоящее время проект официально предлагает репозиторий и пакеты для RHEL/Fedora (подходят и для CentOS). Кроме того, возможна установка в других Linux (Debian, Ubuntu, Gentoo), Solaris, HP/UX 11. Некоторые версии поддерживают также Windows, Irix, AIX и OSF/1. Однако развертывание и последующая поддержка в «неофициальных» системах требует от админа уже некоторой подготовки.

Компоненты 389DS выпускаются по лицензии GNU GPL, но сервер базируется на ряде продуктов с другими лицензиями (MPL/LGPL/GPL/X). Стоит также отметить, что 389DS является составной частью FreeIPA — централизованного решения для управления информацией о пользователях и политиках и для аудита. Речь об этом продукте пойдет чуть ниже.

FusionDirectory

Поскольку доступ к исходному коду GOsa для тех, кто не имеет отношения к компании Gonicus GmbH, был затруднен, разработчики приняли решение о создании более открытого и полностью поддерживаемого сообществом форка для привлечения сторонних специалистов, а также обеспечения условий для написания плагинов под большее количество приложений. Новый проект получил название FusionDirectory. Разработчики обещали не только создать самое «мощное и универсальное» решение для управления, имеющее более удобные инструменты для разработки, но и усовершенствовать документацию. В октябре 2011-го вышла версия FusionDirectory 1.0.2, но, так как работа над проектом началась совсем недавно, о каких-то особых функциональных отличиях от GOsa пока говорить не приходится. Документация, по сути, состоит из пары руководств, но, учитывая родство с GOsa, на стадии ознакомления с FusionDirectory можно использовать документацию на родительский проект. Четко определен список поддерживаемых дистрибутивов (Debian, CentOS 5/RHEL 5, Fedora 14/15, openSUSE 11.3/11.4, SLES 11), и, главное, для каждого из них создан репозиторий, обеспечивающий простую установку.

Еще одно отличие заключается в официально поддерживаемых веб-серверах. Разработчики предлагают готовые конфигурационные файлы для Apache2 и Lighttpd, возможна также установка на nginx, но настройки придется создавать самостоятельно.

Mandriva Directory Server

• Сайт проекта: mds.mandriva.org.
• Лицензия: GNU GPL.
• Дистрибутивы: Mandriva, Debian/Ubuntu, CentOS/RHEL/Fedora, openSUSE, образ VMware.

Сервер Mandriva Directory Server (MDS) — простое в использовании решение, позволяющее при помощи наглядного интерфейса управлять учетными записями пользователей и групп, доступом и сетевыми сервисами. По сути, это удобная надстройка над LDAP — OpenLDAP, хотя возможна и совместная работа с 389DS. Функционально может выступать в качестве PDC (уровня Windows NT4), LDAP-сервера с синхронизацией учетных записей и паролей, полностью заменить Active Directory либо интегрироваться в нее. Клиентскими ОС могут служить Windows, Linux и Mac OS X. Интерфейс позволяет производить настройку аккаунтов и ACL в Samba, управлять совместным доступом, печатью на базе CUPS, доставкой почты (Postfix), конфигурировать Squid и службы DNS/DHCP, администрировать учетные записи GLPI. Пакет включает Kerberos и может быть использован для организации однократной аутентификации (SSO). Разграничение доступа для объектов устанавливается вплоть до отдельных атрибутов: пользователь, группа, IP-адрес, время и т. д.

Mandriva Management Console проста и понятна в работе

Особенно приятно, что проблемы, преследовавшие компанию Mandriva, не затронули MDS и продукт постоянно развивается. В последних версиях к указанным возможностям добавилось управление учетными записями системы Zarafa, обеспечивающей совместную работу, централизованное хранение публичных ключей OpenSSH, аудит, политики паролей и многое другое. Модульная архитектура позволяет добавлять нужную функциональность или убирать из интерфейса лишнее. MDS легко масштабируется, поддерживая несколько тысяч записей на один сервер.

Непосредственно для управления сервисами предназначен модуль MMC agent, написанный на Python и использующий для обмена данными XML-RPC. Агенты настраиваются при помощи очень простого в использовании веб-интерфейса MMC (Mandriva Management Console). Администратор может выбрать один из двух режимов отображения: Normal или Expert.

В отличие от 389DS, пакеты предлагаются не только для «родного» дистрибутива: имеется собственный репозиторий Debian, сборки для CentOS/RHEL/Fedora и openSUSE, а также готовый образ VMware. Таким образом, серверную часть MDS можно относительно быстро и без проблем установить в любой *nix-системе. Продукт включен в комплект поставки Mandriva Enterprise Server. MDS представляет собой самое простое в установке и конфигурировании решение, освещенное в нашем обзоре, однако самостоятельная сборка на других системах, кроме MES, все-таки требует некоторых навыков по работе с LDAP. Документация проекта весьма подробна и позволяет разобраться во всех его нюансах.

FreeIPA

• Сайт проекта: freeipa.org.
• Лицензия: GNU GPL.
• Дистрибутивы: сервер — Fedora/CentOS, клиент — Linux, AIX, HP-UX, Solaris, openSUSE.

Цель проекта FreeIPA (Free Identity, Policy and Audit) — создание для Linux-систем среды, представляющей собой альтернативу Active Directory и позволяющей централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита. Фактически FreeIPA — это симбиоз нескольких опенсорсных проектов, таких как дистрибутив Fedora, 389DS, MIT Kerberos, NTP и BIND. На этом проекте, развиваемом при финансовой поддержке Red Hat, основан используемый в коммерческом дистрибутиве продукт IPA, который Red Hat представила общественности летом 2008 года.

WARNING

В FreeIPA до версии 2.1.3 включительно имеется CSRF-уязвимость (CVE-2011-3636). Для ее устранения следует обновиться до 2.1.4.

Впервые код FreeIPA появился в составе Fedora 9 (май 2008-го), однако нормальная синхронизация с Active Directory на тот момент еще не была реализована. На первых порах клиенты могли подключаться вручную, но это было неудобно. В октябре 2009-го началась работа над новой веткой 2.0. Ее финальная версия была представлена в конце марта 2011-го. День, в который был анонсирован релиз, запомнился многим пользователям Linux как «Fedora 15 Test Day», посвященный именно тестированию FreeIPA2. В настоящее время реализованы:

• централизованное управление учетными записями пользователей, групп, компьютеров и сервисов;
• управление доступом к приложениям, установка политик паролей и настроек Kerberos, управление правилами SUDO;
• аутентификация Kerberos для пользователей и узлов;
• Host Based Access Control — управление и хранение ролей в LDAP;
• служба управления сертификатами (Dogtag Certificate Server).

Сеть, построенная с применением FreeIPA, функционально может состоять из трех типов систем: одного или нескольких серверов, клиентских машин и компьютера администратора. Последний, по сути, представляет собой обычный клиентский десктоп с консольными утилитами для удаленного управления FreeIPA (кстати, использовать их совсем не обязательно — вполне можно обойтись веб-интерфейсом, который написан на Java).

Менеджер аутентификации в Fedora
позволяет выбрать FreeIPA

Чтобы снизить нагрузку на канал, клиент использует локальный кеш (LDB и XML), получая из него настройки в том числе и при отсутствии доступа к серверу. На клиентской системе устанавливается агент управления аутентификацией SSSD (System Security Services Daemon). Клиентская часть реализована не только для Red Hat/Fedora и клонов, но и для других ОС и платформ: AIX, HP-UX, Solaris, openSUSE. Что интересно, над сборкой клиентских пакетов для Ubuntu/Debian и обеспечением их совместимости работают два сотрудника Red Hat.

Для настройки FreeIPA можно использовать консоль

Специальное приложение (certmonger) упрощает создание сертификатов и управление ими, автоматически генерируя и получая новый сертификат по истечении срока действия старого. Опционально возможна интеграция с DNS-сервером на базе BIND (нужен плагин LDAP BIND с динамическим обновлением через GSS-TSIG). При управлении компьютерами и группами компьютеров полномочия подтверждаются при помощи Kerberos keytab или сертификата. Модульная архитектура серверной и клиентской части позволяет без особых проблем интегрировать FreeIPA и любой продукт. В настоящее время политики используются в том числе и для хранения параметров доступа к локальным приложениям и настройкам рабочего стола. Пока реализованы не все функции управления политиками, аудита и контроля, которые планируется включить в проект. Нет настроек правил SELinux, поддержки Samba, FreeRADIUS, централизованного управления ключами SSH и LVM, OTP и многого другого. Очевидный минус продукта — ориентированность в первую очередь на производные от Red Hat дистрибутивы. Установить серверную часть FreeIPA можно из репозиториев Fedora, CentOS, K12LTSP и совместимых с ними. Разработчики сделали всё, чтобы упростить процесс локализации в версии 2.0 (используется gettext и UTF8). В каталоге install/po имеется файл ru.po, в котором переведена лишь малая часть сообщений.

Проект активно развивается, и при этом обнаруживаются ошибки. Последний релиз 2.1.4 устраняет CSRF-уязвимость (подделка межсайтовых запросов, CVE-2011-3636).

Apache Directory Server

Сервер каталогов, разрабатываемый Apache Software Foundation. Полностью написан на Java, поддерживает LDAPv3, Kerberos и Change Password Protocol. Позиционируется как встраиваемое в другие Java-приложения решение, однако никто не запрещает использовать его автономно. Обеспечивает выполнение LDAP и Kerberos, возможна реализация поддержки любого протокола. Продукт мультиплатформенный. На сайте проекта доступны пакеты для установки в Linux, Windows и Mac OS X, исходные тексты позволяют собрать ADS на любой системе, для которой имеется Java. Кроме стандартных возможностей LDAP, реализованы хранимые процедуры, триггеры, динамические объекты Java и многое другое. Распространяется под лицензией Apache. В рамках проекта разрабатывается Apache Directory Studio, включающий LDAP-браузер, браузер схем, редакторы LDIF и DSML, клиентские программы для администрирования.

GOsa2

• Сайт проекта: oss.gonicus.de/labs/gosa.
• Лицензия: GNU GPL.
• Дистрибутивы: пакеты — Debian/Ubuntu, RedHat/CentOS/Fedora, openSUSE/SLES, из исходных текстов — любой *nix.

Проект GOsa2, являющийся надстройкой для популярных опенсорсных приложений, предоставляет администратору единый центр управления всей ИТ-инфраструктурой. Интерфейс позволяет управлять учетными записями *nix и Samba, правами пользователей и групп, компьютерами, списками рассылок, приложениями, настройками основных сетевых служб: DHCP, DNS, HTTP, SMTP и т. д. Разработка ведется под эгидой компании Gonicus GmbH, которая использует GOsa в своих сервисах.

Все функции вынесены в плагины (принцип «один сервис = один плагин»), поэтому админ собирает конфигурацию в соответствии со своими нуждами.

В настоящее время реализовано более 30 плагинов, обеспечивающих управление такими сервисами, как Squid, DansGuardin, Postfix, Courier-IMAP, Maildrop, GNARWL, Cyrus-SASL, OpenSSL, ISC DHCP, WebDAV, PureFTPd, PPTP, Kerberos, Asterisk, Nagios, OPSI, Netatalk, FAI, rsyslog, и серверами коллективной работы: SOGo, OpenGroupware, Kolab, Scalix. При этом все вышеуказанные плагины не обязательно должны работать на одном сервере, некоторые из них можно установить на отдельные хосты.

GOsa позволяет управлять учетными записями *nix и сервисами

Учетные записи пользователей объединяются в группы, для которых назначаются разрешенные приложения. При создании новых аккаунтов применяются шаблоны (админ создает их сам) с прописанными правами доступа к объектам. Набор разрешений ACL состоит из типа, определяющего видимость, объектов (пользователей/групп) и разрешений. Разрешения определяют все возможные действия: создание, удаление, перемещение, чтение, запись и т. д.

GOsa — единственный в нашем обзоре проект с локализованным интерфейсом управления. Правда, локализован он пока не полностью, но использование gettext позволяет при необходимости сделать это самостоятельно.

Поддерживается установка в любом дистрибутиве Linux. Разработчики рекомендуют Debian, под который создан отдельный репозиторий. Также доступны пакеты для Red Hat/CentOS/Fedora и openSUSE/SLES, но, как правило, разработчики не спешат их собирать, поэтому версии немного запаздывают. Можно использовать любой веб-сервер, однако предпочтение отдается Apache2 и nginx. Документация доступна только на английском и не поспевает за развитием проекта, многие моменты отражены в ней весьма поверхностно.

Девиз Identity Policy Audit хорошо поясняет сущность FreeIPA

FreeIPA используется для аутентификации и авторизации в решении oVirt для виртуализации, построенном на основе KVM.

Инсталляцию описываемых продуктов рекомендуется производить на «чистую» систему, не выполняющую никаких других функций.

Для синхронизации 389DS с Active Directory необходимо установить Windows Sync.

После установки пакета 389-ds для конфигурации 389DS следует запустить скрипт.

Утилита system-config-autentification, входящая в состав Fedora, содержит вкладку, позволяющую активировать аутентификацию через FreeIPA.

Заключение

Даже невооруженным глазом видно, что наиболее многофункциональным инструментом является GOsa2. Это решение обеспечивает управление учетными записями и многочисленными сервисами, поддерживает установку в большинстве дистрибутивов Linux, имеет локализованный интерфейс. Однако окончательный выбор зависит от конкретной задачи.

Sorry, you have been blocked

This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

What can I do to resolve this?

You can email the site owner to let them know you were blocked. Please include what you were doing when this page came up and the Cloudflare Ray ID found at the bottom of this page.

Cloudflare Ray ID: 755ca7c43b82c2b9 • Your IP: Click to reveal 138.199.34.58 • Performance & security by Cloudflare