AD (Active Directory) on Microsofti implementatsioon standardiseeritud LDAP (Lightweight Directory Access Protocol) protokollile. LDAP protokoll võimalda ettevõtte või mõne muu organisatsiooni struktuuri informatsiooni pärida kesksest serverist ja kiiresti. Seetõttu LDAP serveri realisatsioonid kasutavad oma andmebaasi mitte ei sõltu mõnest relatsioonilisest andmebaasist.

• Organisatsiooniüksused: müügiosakond, arendusosakond, tugiosakond

• Kasutajakontod: kasutaja id (user id), kasutajanimi, parooli räsid, sertifikaadid

• Kasutajate grupid: grupi id (group id), grupi nimi

• Inventar: serverid, töölauamasinad, printerid,

Kombineerides LDAP serveri erinevate teiste serveritega saame üsna hõlpsalt luua korralikult integreeritud kohtvõrgu:

• Failiserver (file server)

• Kaughaldus (remote management)

• Kaugtöö (remote shell, remote desktop)

• Veebiserver

Tarkvarakogumikud mis kombineerivad eelnimetatut

• ClearOS kombineerib kohtvõrgu jaoks: LDAP, faili- ja printserver, domeenikontroller, e-postiserver koos antiviirse ja spämmifiltriga, veebiserveri koos PHP toega, MySQL andmebaasiserver, Zafara e-posti klient ning grupitöö tarkvara, kohtvõrgu haldus, virtuaalprivaatvõrk, veebi proxy ja palju muud baseerudes CentOS-il.

• Zentyal täidab täpset sama eesmärki mis ClearOS baseerudes Ubuntul.

Kõigi eelnimetatu plussideks on ilmselgelt see et neid on testitud ning enamasti töötavad hästi. Seevastu selleks et mõnda probleemi lahendada peab nende konfiguratsioonidest aru saada ning selle peale võib palju aega kuluda.

Käsitsi komponentide paigladamine

ClearOS või Zentyal lahendusele analoogse saab ise ka kokku panna, põhiline on see et administraatoril peaks olema arusaam kuidas süsteem üles ehitatud on siis oskab ta ka seda parandada kui tulekahju on:

• OpenLDAP serveri paigladus

• Töömasinate seadistamine autentimaks vastu LDAP serverit

• Nginx veebiserveri paigaldus ning WebDAV kaudu failidele ligipääs

LDAP klienttarkvara

Veebiliidesed:

• phpldapadmin - Veebiliides nagu phpmyadmin.

• GOsa2 - Veebiliides, baseerub PHP-l nagu phpldapadmin.

Kohalikud rakendused:

• LDAP Admin - Graafiline kasutajaliides Windowsile

• luma - Pythonil ning PyQt3-l baseeruv graafiline liides, kasutuskõlbmatu kuna modernsetes distributsioonides on ainult Qt4.

Kohalike rakenduste kasutamist võiks jällegi vältida, mõlemad veebiliidesed on Ubuntu paketihalduses olemas.

PAM

PAM (pluggable authentication module) on mehhanism millega UNIX-laadse operatsioonisüsteemi autentimine modulaaseks muuta. PAM võimaldab traditsioonilise /etc/passwd asemel kasutajat autentida PKCS sertifikaatide, sõrmejälgedega või hoopiski LDAP serveri abil. Ubuntu/Debian paketihaldusest leiab:

• libpam-pkcs11, libpam-p11 - Autendi PKCS#11 smart cardidega

• libpam-pgsql - Autendi PostgreSQL andmebaasi tabeli vastu

• libpam-musql - Autendi MySQL andmebaasi tabeli vastu

• libpam-ssh - Autendi kasutajat SSH võtmetega

• libpam-sshauth - Autendi SSH serveri abil

• libpam-ldapd, libpam-ldap - Autendi LDAP serveri vastu

• libpam-fprintd, libpam-fprint - Autendi sõrmejälje abil

• libpam-krb5 - Autendi Kerberose vastu

Failiserver

Windowsi failijagamine on tuntud ka kui SMB (Server Message Block) protokoll. Samba on avatud lähtekoodiga serveri realisatsioon nimetatud protokollile ning sellel on mitu versiooni mis kõik omavahel on pisut ebaühilduvad:

• samba2

• samba36 - Eemaldati näiteks security = share

• samba4

Samba peaks saama seadistada autentima otse LDAP serveri pihta, kui /etc/samba/smb.conf konfiguratsioonifailis öelda:

passdb backend = ldapsam:ldap://ldap.koodur.com
ldap suffix =

Samas on ilmselt loogilisem seadistada failiserveri PAM autentima LDAP serveri pihta ning Samba autentima PAM-iga. Sellisel juhul peaks kasutajanimed ja muu nodi ka õigeks minema Samba serveris.

Üle veebi failidele ligi saamiseks võib kasutada OwnCloudi. See on PHP-s kirjutatud veebiliides mis pakub ligipääsu kettale. OwnCloudi saab seadistada LDAP-ist eraldiseisvasse masinasse. Turvalisuse mõttes tuleks OwnCloudi serveerivas veebiserveris kasutada SSL sertifikaate.

OpenSSH server

OpenSSH server võimaldab ligipääsu kaugmasina käsureale ning failidele turvalisel moel. OpenSSH kasutab autentimiseks PAM-i, mille saab omakorda LDAP vastu käima panna selleks et kasutaja parooli kontrollitaks LDAP kirjete alusel.

Selleks, et võimaldada OpenSSH serverisse sisse logimine avaliku võtmega mis on hoiustatud LDAP serveris saab kasutada AuthorizedKeysCommand võtit OpenSSH serveri konfiguratsioonis.

Kui LDAPi on ID-kaardi sertifikaadid juba imporditud saab sel moel OpenSSH serverisse sisse logida ID-kaardi abil, eeldusel et OpenSSH klient on vastavalt seadistatud.

Kaughaldus

Kaughalduseks on välja pakkuda

• Puppet

• Salt