IPA vs hanya LDAP untuk kotak Linux - mencari perbandingan

16

Ada beberapa (~ 30) Linux (RHEL) kotak dan saya mencari solusi terpusat dan mudah dikelola, sebagian besar untuk mengontrol akun pengguna. Saya kenal dengan LDAP, dan saya menggunakan pilot IPA ver2 dari Red Hat (== FreeIPA).

Saya mengerti bahwa secara teori IPA menyediakan solusi seperti "MS Windows domain", tetapi sekilas itu tidak mudah dan produk yang matang [belum]. Selain SSO, apakah ada fitur keamanan yang hanya tersedia di domain IPA dan tidak tersedia saat saya menggunakan LDAP?

Saya tidak tertarik pada bagian DNS dan NTP dari domain IPA.

Vitaly
sumber

Jawaban:

20

Pertama-tama, saya akan mengatakan IPA sangat cocok untuk lingkungan produksi seperti sekarang (dan telah cukup lama), meskipun Anda harus menggunakan seri 3.x sekarang.

IPA tidak menyediakan solusi "MS Windows AD-like", melainkan menyediakan kemampuan untuk mengatur hubungan saling percaya antara Active Directory dan domain IPA, yang sebenarnya adalah Kerberos REALM.

Berkenaan dengan beberapa fitur keamanan yang dapat Anda gunakan di luar kotak dengan IPA tidak ada dalam instalasi LDAP standar, atau Kerberos REALM berbasis LDAP, sebut saja beberapa:

  • menyimpan kunci SSH untuk pengguna
  • Pemetaan SELinux
  • Aturan HBAC
  • aturan sudo
  • mengatur kebijakan kata sandi
  • penanganan sertifikat (X509)

Terkait dengan SSO, perlu diingat bahwa aplikasi target harus mendukung otentikasi Kerberos dan otorisasi LDAP. Atau dapat berbicara dengan SSSD.

Terakhir, Anda tidak perlu mengkonfigurasi NTP atau DNS jika Anda tidak mau, keduanya opsional. Namun, saya sangat merekomendasikan menggunakan keduanya, karena Anda selalu dapat mendelegasikan NTP pada strata yang lebih tinggi, dan mengatur forwarder untuk apa pun di luar wilayah Anda dengan mudah.

dawud
sumber
1
Terima kasih, daftar ini dan penjelasan Anda sangat berguna! - Apakah IPA3 resmi dirilis untuk RHEL? - Saya akan memeriksa ulang - untuk beberapa alasan saya yakin bahwa kebijakan kata sandi dapat dengan mudah digunakan dengan LDAP [IMHO, bahkan hanya dengan alat * nix sekolah lama]
Vitaly
1
@Vitaly Ya, IPA 3.0 termasuk dalam Red Hat 6.4. Pastikan untuk memeriksa catatan pemutakhiran sebelum memutakhirkan secara membabi buta.
Michael Hampton
"perlu diingat bahwa aplikasi target harus mendukung otentikasi Kerberos dan otorisasi LDAP" - Bagaimana dengan otentikasi LDAP ? GitLab , misalnya hanya mendukung LDAP.
Jonathon Reinhart
Anda masih dapat menggunakan freeIPA untuk itu. Perbedaan antara otentikasi dan otorisasi dilakukan oleh Gitlab.
dawud