IPA so với LDAP cho các hộp Linux - tìm kiếm sự so sánh


16

Có vài hộp (~ 30) Linux (RHEL) và tôi đang tìm giải pháp quản lý tập trung và dễ dàng, chủ yếu để kiểm soát tài khoản người dùng. Tôi quen thuộc với LDAP và tôi đã triển khai thí điểm IPA ver2 từ Red Hat (== FreeIPA).

Tôi hiểu rằng về lý thuyết, IPA cung cấp giải pháp giống như "miền MS Windows", nhưng nhìn thoáng qua, đây không phải là sản phẩm dễ dàng và trưởng thành. Ngoài SSO, có bất kỳ tính năng bảo mật nào chỉ có trong miền IPA và không khả dụng khi tôi sử dụng LDAP không?

Tôi không thú vị trong các phần DNS và NTP của tên miền IPA.

Câu trả lời:


20

Trước hết, tôi muốn nói rằng IPA hoàn toàn phù hợp với môi trường sản xuất cho đến thời điểm hiện tại (và đã khá lâu), mặc dù bây giờ bạn nên sử dụng loạt 3.x.

IPA không cung cấp giải pháp "MS Windows AD", thay vào đó, nó cung cấp khả năng thiết lập mối quan hệ tin cậy giữa Active Directory và IPA, thực tế là Kerberos REALM.

Liên quan đến một số tính năng bảo mật mà bạn có thể sử dụng ngoài IPA không có trong bản cài đặt LDAP tiêu chuẩn hoặc Kerberos REALM dựa trên LDAP, hãy kể tên một số:

  • lưu trữ khóa SSH cho người dùng
  • Ánh xạ SELinux
  • Quy tắc HBAC
  • quy tắc sudo
  • thiết lập chính sách mật khẩu
  • xử lý chứng chỉ (X509)

Liên quan đến SSO, hãy nhớ rằng ứng dụng đích phải hỗ trợ xác thực Kerberos và ủy quyền LDAP. Hoặc có thể nói chuyện với SSSD.

Cuối cùng, bạn không cần định cấu hình NTP hoặc DNS nếu bạn không muốn, cả hai đều là tùy chọn. Tuy nhiên, tôi rất khuyên bạn nên sử dụng cả hai, vì bạn luôn có thể ủy thác NTP ở tầng cao hơn và thiết lập chuyển tiếp cho mọi thứ bên ngoài vương quốc của bạn một cách dễ dàng.


1
Cảm ơn bạn, danh sách này và lời giải thích của bạn thực sự hữu ích! - IPA3 có chính thức được phát hành cho RHEL không? - Tôi sẽ kiểm tra lại - vì một số lý do tôi chắc chắn rằng chính sách mật khẩu có thể dễ dàng triển khai bằng LDAP [IMHO, ngay cả với các công cụ * nix cũ của trường]
Vitaly

1
@Vitaly Có, IPA 3.0 được bao gồm trong Red Hat 6.4. Hãy chắc chắn kiểm tra các ghi chú nâng cấp trước khi nâng cấp một cách mù quáng.
Michael Hampton

"Hãy nhớ rằng ứng dụng đích phải hỗ trợ xác thực Kerberos và ủy quyền LDAP" - Còn xác thực LDAP thì sao? GitLab , ví dụ chỉ hỗ trợ LDAP.
Jonathon Reinhart

Bạn vẫn có thể sử dụng freeIPA cho điều đó. Sự khác biệt giữa xác thực và ủy quyền được thực hiện bởi Gitlab.
dawud
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.