10.01.2013 06:43:51

Управление пользователями.

Сервис «Управление пользователями» в компьютерной сети не участвует напрямую ни в одном бизнес-процессе. Однако этот сервис является базовым для всех остальных сервисов и определяет идеологию и архитектуру всей сети.

Для управления правами на доступ к данным в компьютерной сети каждый пользователь идентифицируется по комбинации имя пользователя-пароль. На каждом компьютере, на каждом сервере, в каждой учетной системе и базе данных, куда обращается пользователь, должны быть заведены его имя пользователя и пароль. С ростом количества сотрудников и серверов администрирование становится крайне трудоемким, а подчас невозможным.

Чтобы упростить администрирование создается сервер, на котором хранятся данные обо всех пользователях, группах пользователей, компьютерах, службах и их настройках, а все остальные серверы, компьютеры, службы проверяют пользователей на этом сервере, не имея собственной базы пользователей. Такая среда называется доменом, а сервер, управляющей ею, контроллером домена. Вся современная компьютерная сеть Windows строится на основе доменной архитектуры. Все сервера Microsoft (почтовый, сервер коммуникаций, CRM и т.д.) интегрированы с доменом и, как правило, не могут существовать без домена. Сервер - контроллер домена становиться сердцем любой сети, и, в случае его неисправности, парализуется работа всех служб и сервисов. Поэтому дублированию и резервированию контроллера домена уделяют повышенное внимание.

Подход к управлению пользователями и ресурсами в сети для Linux и Windows сильно различается.

Домен Windows использует службы ActiveDirectory, предоставляющие самый широкий функционал, позволяющие интегрировать многие серверные решения под Windows как от Microsoft, так и от сторонних производителей ПО. При этом далеко не все серверные службы Linux имеют интеграцию с ActiveDirectory.

Под Linux нет единой службы реализующий функционал, аналогичный ActiveDirectory. Но есть ряд служб, позволяющих реализовать основной функционал ActiveDirectory. Это служба каталогов OpenLDAP, в которой храниться информация о различных объектах (пользователях, группах, компьютерах и т.д.) и samba, позволяющая эмулировать контроллер домена Windows. Большинство служб и сервисов под Linux имеют встроенную интеграцию с OpenLDAP, а вот многие серверные службы под Windows интеграции с LDAP каталогами не имеют. Samba может работать в роли контроллера домена windows очень старой версии, которой более 10 лет. Поэтому функции контроллера домена на samba самые базовые: управление пользователями и группами, запуск скриптов при загрузке и выключении компьютера.

Функции	WIndows	Linux
Контроллер домена	+	+/-
Участник домена	+	+
Управление пользователями	+	+
Скрипты запуска/выключения	+	+
Групповые политики	+	-
Политики безопасности	+	-
Дублирование контроллера домена	+	-
Территориально развитая сеть	+	-
Шифрование данных при передаче по сети	+	-
Аудит безопасности	+	-
Графический интерфейс управления	+	+/-
Интеграция серверных решений Windows	+	+/-
Интеграция серверных решений Linux	+/-	+
Простота администрирования	+	-

Несколько комментариев

Контроллер домена. На базе Linux можно сделать контроллер домена старой версии, которой более 10 лет. Windows - это родня среда для домена. Современный Windows Server имеет массу новых функций в сравнении со старой версией. Все современные серверные решения уже не поддерживают старые версии домена, которые реализованы на Linux.

Групповые политики - это настройки применяемые ко всем компьютерам и пользователям в рамках домена. В современных версиях Windows это несколько тысяч параметров, с помощью которых легко можно настроить все компьютеры организации. Данный функционал не доступен для домена с использованием Linux, но многие настройки можно реализовать с использованием скриптов загрузки, но с потерей в гибкости настроек.

Политики безопасности - это требования к сложности пароля, к сроку его действия, условия блокировки пользователей и т.д. Большинство этих параметров при реализации домена на Linux недоступно.

Дублирование контроллера домена Windows позволяет устанавливать несколько равноправных контроллеров домена, которые сами синхронизируют свою работу. Это позволяет сильно повысить отказоустойчивость всей сети. Под Linux такой функционал отсутствует для контроллера домена на Linux с использованием SAMBA, но он доступен для OpenLDAP серверов.

Территориально развитая сеть Поскольку Windows позволяет иметь несколько контроллеров домена, то в филиал можно вынести один из контроллеров, обеспечив тем самым единое пространство по управлению пользователями в рамках всей организации. В случае с Linux компьютеры филиала не смогут проверить пользователей на удаленном сервере.

Аудит безопасности Windows позволяет вести подробный журнал по действиям пользователей (попытки подключения, отказ доступа и т.д.) В Linux такого подробного журнала нет

Графический интерфейс управления Windows Server изначально ориентирован на администрирование через графический интерфейс. На Linux сервере есть Web-интерфейс для управления пользователями и группами. Более тонкую настройку придется производить через командную строку и редактирование файлов конфигурации.

Интеграция серверных решений Windows Все решений Microsoft и многих других производителей ПО имеют интеграцию с доменом Windows. Но контроллер домена на Linux слишком старый и не позволит интегрироваться с ним. Однако, если ПО имеет интеграцию с LDAP, то оно сможет использовать OpenLDAP на Linux.

Интеграция серверных решений Linux Большинство серверных служб Linux имеют интеграцию с LDAP и легко используют OpenLDAP сервер. Active Directory не является классическим LDAP каталогом и интеграцию с ним имеют далеко не все серверные службы Linux.

Простота администрирования Администрировать Windows Server для неопытного администратора проще благодаря графическому интерфейсу, подсказкам и мастерам настройки. Администрируя Linux сервер нужно точно знать что мы делаем, какой результат получим и как устроена система. Простота администрирования Windows Server в какой-то степени является отрицательным свойством. Слишком много неквалифицированных и малограмотных специалистов называют себя системными администраторами. Они могут долгое время поддерживать работоспособность настроенного сервера, но в случае нештатной ситуации их квалификации может не хватить для восстановления системы, что повлечет длительные простои или потерю данных. Администрировать Linux сервер, не понимая устройства системы, невозможно.

В каком случае можно создавать домен с использованием Linux:

Никогда не будет серверных решений на Windows
Достаточно базовых функций от контроллера домена (проверка пользователей и групп, скрипты загрузки/выключения)
Сеть Windows компьютеров будет небольшой без филиалов и удаленных подразделений
Требования к безопасности фактически отсутствуют
На компьютерах части пользователей будет Linux
Будут использоваться серверные решения на Linux

Первые 4 условия обязательны! Это результат технических ограничений.

Последние 2 пункта создают предпосылки организовать домен на Linux, но не обязывают это делать.

Если в организации более 50 человек или предполагается рост компании, то выгоднее опираться на решения на базе Windows. Решения на Linux могут стать тормозом в развитии бизнеса, если не учесть всех особенностей и ограничений.