就像Jackson Shaw所说的那样,由Windows支配的严格的鉴定管理在IT决策中产生了重要的范例方法。Jackson Shaw是Quest软件的活动目录产品管理高级主管。Shaw说:“我们现在正在研究企业内部的活动目录组织能够为更多的公司带来一如既往的支持。或者它其中的一部分能满足更多的调整需求,或者它其中的一部分是因为活动目录已经在市场上存在了一段时间了。几年以前,因为它们被运行在高端应用服务器上,Unix系统管理员往往去做更多的调用。现在,这些希望被作为活动目录的一部分,因为它是简单易用的。”
尽管,这个方法依然处于萌芽阶段,John Enck指出。John Enck是位于Stamford的Gartner公司的调查副总。他说:“与我们进行探讨的客户大概数以百计了,它看上去非常地少”,尽管如此,他认为既使是很小的移动信号都能给Unix提供商带来反应。Enck 说:“没有人能够提高机会。”
究竟非Windows环境能够容易地被做成联合微软活动目录的环境么?是存在于活动目录支持者与活动目录的竞争工具支持者之间的问题焦点,尤其是像IBM Tivoli这样的工具。
Martin Carnegie是Gulf Breeze软件的一名软件训练师,他是使用Tivoli企业版的专业咨询员。Martin Carnegie 指出:“我认为活动目录能够工作在一个不同种类的环境中,但是我已经听到因为微软不会去追随为LDAP(轻量级目录访问协议)做出的所有标准,它将导致一些问题出现。我曾经经历过这样一件事,当我在有活动目录的情况下试图去为将信息推出编写一个Perl脚本,这种情况大概比拔牙还要糟糕。”
Quest公司的Shaw对此解释有不同的看法。他说:“作为一名活动目录产品管理者,我已经工作了五年半的时间了。[它]是一个来自于任何微软竞争者的典型回答。微软的活动目录是能够全面支持LDAP V3的,这意味着,他同时也能够支持V2。很显然,微软的活动目录产品是目前最大限度的支持LDAP配置的目录产品。”
从A状况到B状况
一旦你决定去统一用户和组ID时,你该怎样开始迁移?
Centrify公司向他的DirectControl用户建议了两个方法。首先,对于那些只有一个系统来存储已有的Unix,Linux和Java特性的这样的用户,包括现有Unix目录信息直接到活动目录,并且接下来映射每一个Unix账号到适合的活动目录账号。一旦你完成这个任务,你就会使用DirectControl处理用户登陆在Unix系统,来代替使用遗留下来的目录系统。Centrify公司这样解释。
为Unix用户帐号组织具有多样存在的存储将会需要使用两个步骤的移动。第一步包括从现有的Unix目录移动信息到活动目录,也就是说,去最小化重映射文件所有者或者拒绝用户使用新的用户名带来的损坏。第二步包括巩固多重的将Unix特性导入到更小特性区域的渐进努力,Centrify公司这样解释。这些区域将会被物理区域,辅助的或者群角色所组织。你会有事务需要规定分组与为用户和组命名协定,来取代为定义的用户名做的遗留下来的多系统。
Quest公司还有一个不同的方法。不像需要去配置在系统上加入活动目录域的Unix用户ID合理化,Quest公司的Vintela Authentication Services(VAS)软件允许简便的创建改变的Unix“个性化”,为不同的系统需要,在活动目录中定义特性。
Vintela Authentication Services具有一个脚本组件能够在活动目录中创建激活的Unix用户和组,迁移现有的Unix账户信息到已有的活动目录用户和组,并且创建定制化的迁移脚本。Quest指出,当迁移相矛盾的账户域的时候,VAS也可以允许做二选一的Unix个性化对象的创建。
在这个部分,IBM的Tivoli目录集成(Tivoli Directory Integrator)将会帮助做残留在目录,数据库以及协作系统中的身份数据的同步操作。作为一个同步层,IBM声称,Tivoli目录集成消除了集中目录数据存储的必要。然而,Tivoli Directory Integrator也能够被用于连接从不同的Unix和Linux服务器得身份数据到一个中心仓库中。
对于用户来多,识别和定位用户是最艰巨的一部分,不管你使用了哪几种工具。就职于人类国际网络的工程主管Dmitri Thorpe指出:“投资回报被设法弄到管理时间,你将会获得的人工。我会说,现在我们能够真正的帮助我们的Mac用户了。”