Journal Active Directory VS OpenDirectory ( ou openldap + samba 3 )

Posté par  (site web personnel) .
Étiquettes : aucune
0
15
juin
2004
bien le bonjour à tous,

- lorsqu' un contrôleur de domaine NT 4 commence à se faire vieux
- lorsque tout le monde se met a parler de Active Directory dans tous les sens car désormais beaucoup d'application s'appuient dessus.
- lorsqu on commence a entendre dire qu'on est has been parceque l'on fonctionne encore avec du NT 4.
- lorsqu on nous conseille plus que très fortement de migrer sous Active Directory
- lorsque les fonctionnalités d'administration massive deviennent limitées

... et bien je commence a m'inquiéter car il est effectivement temps de migrer ... mais vers quoi ??

personnellement je mettrais bien un GNU/Linux + OpenLDAP + Samba
mais ca fait peur a tout le monde ( encore plus que AD ! )
d'autant plus qu'a mettre en place ça ne parrait pas si évident que ça.
( un système complet j'entend, pouvant par ailleurs s'appuyer sur du Lotus Domino pour la messagerie et quelques applications )

deuxieme solution : OpenDirectory ( la solution d'apple ) qui semble est un bon compromis puisque ce sont les memes outils mais cette fois ci packagés par apple, avec les interfaces qui vont bien et qui facilitent le quotidien.
par contre cette solution est plus rigide, moins ouverte.

bref, je suis donc a la recherche de comparatifs, d'études, traitant de Active Directory, de Samba/openldap, ou tout simplement de retours d'expérience, afin de pouvoir montrer à quelques décideurs pressés que la solution Active Directory est sûrement la solution la plus simple mais pas forcement la meilleure.

Si vous avez ça sous le coude je suis preneur ;-)

les tests d'OpenDirectory que nous avons effectué jusqu'a maintenant se sont avérrés plutot concluants, mais la solution ne plaît pas parceque pas Microsoft.

simplement parceque lorsqu on se plante de techno et qu'on a opté pour du Microsoft, ce n'est pas grave on s'est contenté de faire comme tout le monde.
par contre si on se plante sans microsoft, cette fois ci c'est bien de notre faute et ca parait bien plus grave.

Contexte : authentification et partage de fichier/imprimante pour un réseau de quelques 300 postes et une 40 aine de serveurs, au sein d'un groupe relativement important utilisant de multiples technologies Microsoftiennes.

d'avance merci pour les infos que vous pourrez m'apporter quant a ce sujet ma fois bien épineux.
  • # Mouai

    Posté par  . Évalué à 3.

    Je ne connais pas les autres systemes (encore que j'ai déjà utilisé samba) mais je sais que ici Active Directory c'est une merde sans nom ... vu comme je vois mon admin pester :)

    Voila c'est mon retour :)

    Dam
  • # OpenLDAP + Samba3 + ...

    Posté par  . Évalué à 5.

    Je ne pourrai malheureusement pas te parler d'alternatives propriétaires mais concernant OpenLDAP+Samba+... , l'intégration dans un réseau d'entreprise n'est pas si complexe que cela (même s'il faut y mettre du sien ;).

    - Pour OpenLDAP, les HOWTO
    LDAP-HOWTO - http://www.tldp.org/HOWTO/LDAP-HOWTO/index.html(...)
    LDAP-Implementation-HOWTO - http://www.tldp.org/HOWTO/LDAP-Implementation-HOWTO/index.html(...)
    peuvent te fournir un aperçu complet des possibilités offertes.
    L'avantage : les données d'entreprise/d'utilisateur sont parfaitement maitrisées et tu définis simplement la structure de ton LDAP.
    Dans ce domaine, tu peux centraliser : DNS, MTA, Samba (voir documentation de samba), Carnet d'adresses ...

    - Pour Samba, le HOWTO officiel samba v3 sur le site de www.samba.org est très complet :
    . Migration NT4 -> Samba 3
    . Outils de configuration (SWAT)
    et guides de configuration

    - Pour l'impression, le partage d'imprimantes avec CUPS + Samba est aussi très puissant.
    La configuration des imprimantes peut être faite soit par l'interface Web du serveur CUPS, soit avec les utilitaires foomatic (cela a été beaucoup plus facile pour moi avec ce dernier).
    CUPS supporte un nombre impressionnant d'imprimantes, réseau/socket, USB, //... et permet de les partager seules ou autravers de Samba.
    La configuration des clients *NIX est triviale avec un cupsys-client. Celle de Windows a la hauteur du système : ça dépend des versions... (et cela dépend de ton paramétrage Samba mais jouable avec le HOWTO printing dans Samba)
    Quoiqu'il en soit, c'est un bonheur de ne plus avoir à configurer les filtres d'impression, s'assurer que le protocole PCL bla-bla...

    Avec ce trio, je crois que rien n'est impossible ;o)

    Par ailleurs, tu fais référence à Notes. Je l'utilise parfois mais n'ai jamais eu à l'administrer. Etant donné sa place en entreprise, il serait toutefois étonnant qu'il ne respecte pas les RFC 1777, 2251 et 2307 pour dialoguer avec le LDAP (au moins pour le carnet d'adresses et l'authentification).

    Dans mon cas, les expériences de mise en place sont moins extrêmes (au "pire", ~ 30 postes, 2 serveurs) mais aucune impossibilité : partage de données et profiles itinérants, authentification, impression... et chaque élément de la chaine peut être surveillé /administré de manière centralisée.

    Mon seul mauvais souvenir de migration aura été des soucis de transfert de données vers le nouveau serveur mais il s'agissait de problèmes NT et impossible de savoir pourquoi les données n'étaient plus accessibles.

    Maintenant, tout n'est pas rose mais au moins tout problème trouve une solution pourvu qu'on prenne le temps de s'y pencher, les données de l'entreprise sont backupées de manière transparentes et automatiques, l'accès aux ressources est identique que ce soit depuis un poste client ou un serveur et je n'ai pas eu à renouveller une/des licence(s) simplement parce que le support NT touche à sa fin ou que la version 2003 vient de sortir...
    Dans ton cas, le nombre de postes impose effectivement une étude préalable et une migration progressive. Pourquoi ne pas envisager par exemple un domaine (au sens Windows) de test en // où seront mis peu à peu en place tous les services (authentification puis impression puis partages samba) et limité à quelques utilisateurs "choisis" ?

    J'espère que ton choix se portera sur le trio libre... mais quoiqu'il en soit courage ;)
    • [^] # Re: OpenLDAP + Samba3 + ...

      Posté par  (site web personnel) . Évalué à 3.

      tout d'abord merci pour ta reponse ;-)

      Pourquoi ne pas envisager par exemple un domaine (au sens Windows) de test en // où seront mis peu à peu en place tous les services (authentification puis impression puis partages samba) et limité à quelques utilisateurs "choisis" ?

      et bien c'est justement ce que nous faisons avec OpenDirectory, mais meme si ca fonctionne bien, le coté non-microsoft a l'air de beaucoup deranger.

      je pense que certains préferent se raccrocher à des valeurs sures ( question de point de vue ) et suivre la masse pour eviter les imprevus.
      meme si certaines autre solutions peuvent paraitre interessantes.
      La peur de faire un mauvais choix les taraude.

      j'ai l'impression que pour convaincre les gens de passer a une solition libre, il faudrait que ça puisse faire mieux que la solution proprio, faire aussi bien ne suffit pas. Le constat est triste.

      ( et leur dire qu'il existe de bon Howto pour faire tourner tout ca correctement fera tout sauf les rassurer )


      j'ai trouvé quelques comparatifs AD / Samba+OpenLDAP mais ca me parait rarement objectif ( d'autant plus que les resultats changent d'une etude à l'autre )
      Ces comparatifs n'etant que rarement precis de toute facon ....
      bref toujours pas de comparatif serieux en vue :-/
      • [^] # Re: OpenLDAP + Samba3 + ...

        Posté par  (site web personnel) . Évalué à 4.

        Je te deconseille la page suivante : http://www.microsoft.com/mscorp/facts/default.asp(...)
        ^^


        Bon plus sérieusement un avis objectif.
        L'AD est un annuaire mais apporte aussi tout un ensemble de fonctionalités au sein d'une entreprise : Déploiement d'applications, de stratégies systemes via GPO par exemple.

        C'est aussi la pierre angulaire des services Exchange de Microsoft : sans AD, pas d'Exchange par exemple.

        AD est stable si l'admin est compétent, s'il a été formé et s'il a bien assimilé un certain nombre de mécanismes sous jacents qui ne sont pas intuitifs. De plus, la maitrise du DNS est primordiale : 90% des merdes AD sont des merdes DNS...

        Maintenant, pour bénéficier des fonctionnalités "Full AD", il faut que tous les clients soient des postes 2000/XP.

        As tu besoin d'AD? La est la question. Si tu n'as pas besoin d'AD car pas d'Exchange, des clients hétérogènes (Mac/linux), tu ne tireras aucun bénéfice d'une migration vers AD. Propose cela comme argument.

        Ensuite, comme annuaires LDAP, tu as un standard solide comme un roc, éprouvé et a un prix dérisoire (2€ par user) : eDirectory de Novell.

        Stable, robuste (choisi par la DGI pour les télé-déclaration des impots en ligne) multiplateforme (déployable sur Microsoft, Netware,Linux,SUN) avec une administration via http, c'est un super produit, en avance de plusieurs années sur l'AD. Et Novell reprend une belle image de marque en ce moment.

        Tu as la possibilité de tester les fameux Nterprise Linux Services : je te conseille de les tester et de te faire une idée par toi-même :

        SUSE LINUX Enterprise Server 8 [90-day eval] : http://www.suse.com/us/business/products/server/sles/index.html(...)
        (ça tourne aussi sur du RedHat en Certifié mais sur toute distrib sans support de Novell)

        Nterprise Linux Services [90-day eval]
        http://www.novell.com/linux/download_two.html(...)

        et enfin, si tu es sur paris :
        Workshop Technique Novell Suse Linux
        Journée gratuite - déjeuner offert - inscription préalable obligatoire sur le site de Novell :
        http://www.novell.com/offices/emea/training/linux/workshop/workshop(...)

        - 1er juillet chez Novell France à Neuilly sur Seine,
        - 2 juillet chez Novell France à Neuilly sur Seine.

        Y seront abordé via demo par un instructeur l'install et le deploiement de NNLS sur du SUSE.

        Pour Samba et OpenLDAP, par contre, je ne suis pas compétent mais IdealX a fait une doc, non?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.