IPA против только LDAP для Linux-боксов - ищем сравнение


16

Существует несколько (~ 30) блоков Linux (RHEL), и я ищу централизованное и простое управляемое решение, в основном для контроля учетных записей пользователей. Я знаком с LDAP и развернул пилотную версию IPA ver2 из Red Hat (== FreeIPA).

Я понимаю, что теоретически IPA предоставляет решение, подобное «домену MS Windows», но на первый взгляд это не такой простой и зрелый продукт [пока]. Помимо SSO, есть ли какие-либо функции безопасности, которые доступны только в домене IPA и недоступны при использовании LDAP?

Меня не интересуют части DNS и NTP домена IPA.

Ответы:


20

Прежде всего, я бы сказал, что IPA идеально подходит для производственной среды на данный момент (и уже довольно давно), хотя вы уже должны использовать серию 3.x.

IPA не предоставляет «MS Windows AD-like» решение, скорее, оно предоставляет возможность установить доверительные отношения между Active Directory и доменом IPA, который на самом деле является Kerberos REALM.

Что касается некоторых функций безопасности, которые вы можете использовать из коробки с IPA, отсутствующим в стандартной установке LDAP, или с Kerberos REALM на основе LDAP, давайте назовем несколько:

  • хранение ключей SSH для пользователей
  • SELinux mappings
  • Правила HBAC
  • правила судо
  • установка политик паролей
  • обработка сертификата (X509)

Что касается единого входа, помните, что целевое приложение должно поддерживать аутентификацию Kerberos и авторизацию LDAP. Или сможете поговорить с SSSD.

Наконец, вам не нужно настраивать NTP или DNS, если вы этого не хотите, оба являются необязательными. Тем не менее, я бы очень рекомендовал использовать оба, так как вы всегда можете делегировать NTP на более высоком уровне, и легко настроить пересылки для всего, что находится за пределами вашей области.


1
Спасибо, этот список и ваше объяснение действительно полезны! - официально выпущен IPA3 для RHEL? - Я перепроверяю - по какой-то причине я был уверен, что политику паролей можно легко развернуть с помощью LDAP [IMHO, даже просто с помощью инструментов * nix старой школы]
Виталий

1
@Vitaly Да, IPA 3.0 включен в Red Hat 6.4. Обязательно ознакомьтесь с замечаниями по обновлению, прежде чем просто вслепую.
Майкл Хэмптон

«имейте в виду, что целевое приложение должно поддерживать аутентификацию Kerberos и авторизацию LDAP» - А как насчет аутентификации LDAP ? GitLab , например, поддерживает только LDAP.
Джонатон Рейнхарт

Вы все еще можете использовать FreeIPA для этого. Различие между аутентификацией и авторизацией осуществляется Gitlab.
Дауд
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.