IPA so với LDAP cho các hộp Linux - tìm kiếm sự so sánh

Có vài hộp (~ 30) Linux (RHEL) và tôi đang tìm giải pháp quản lý tập trung và dễ dàng, chủ yếu để kiểm soát tài khoản người dùng. Tôi quen thuộc với LDAP và tôi đã triển khai thí điểm IPA ver2 từ Red Hat (== FreeIPA).

Tôi hiểu rằng về lý thuyết, IPA cung cấp giải pháp giống như "miền MS Windows", nhưng nhìn thoáng qua, đây không phải là sản phẩm dễ dàng và trưởng thành. Ngoài SSO, có bất kỳ tính năng bảo mật nào chỉ có trong miền IPA và không khả dụng khi tôi sử dụng LDAP không?

Tôi không thú vị trong các phần DNS và NTP của tên miền IPA.

Trước hết, tôi muốn nói rằng IPA hoàn toàn phù hợp với môi trường sản xuất cho đến thời điểm hiện tại (và đã khá lâu), mặc dù bây giờ bạn nên sử dụng loạt 3.x.

IPA không cung cấp giải pháp "MS Windows AD", thay vào đó, nó cung cấp khả năng thiết lập mối quan hệ tin cậy giữa Active Directory và IPA, thực tế là Kerberos REALM.

Liên quan đến một số tính năng bảo mật mà bạn có thể sử dụng ngoài IPA không có trong bản cài đặt LDAP tiêu chuẩn hoặc Kerberos REALM dựa trên LDAP, hãy kể tên một số:

• lưu trữ khóa SSH cho người dùng
• Ánh xạ SELinux
• Quy tắc HBAC
• quy tắc sudo
• thiết lập chính sách mật khẩu
• xử lý chứng chỉ (X509)

Liên quan đến SSO, hãy nhớ rằng ứng dụng đích phải hỗ trợ xác thực Kerberos và ủy quyền LDAP. Hoặc có thể nói chuyện với SSSD.

Cuối cùng, bạn không cần định cấu hình NTP hoặc DNS nếu bạn không muốn, cả hai đều là tùy chọn. Tuy nhiên, tôi rất khuyên bạn nên sử dụng cả hai, vì bạn luôn có thể ủy thác NTP ở tầng cao hơn và thiết lập chuyển tiếp cho mọi thứ bên ngoài vương quốc của bạn một cách dễ dàng.