IPA vs LDAP solo per le scatole di Linux - alla ricerca di un confronto


16

Esistono poche (~ 30) scatole Linux (RHEL) e sto cercando una soluzione centralizzata e di facile gestione, principalmente per controllare gli account utente. Conosco LDAP e ho distribuito un pilota di IPA ver2 da Red Hat (== FreeIPA).

Capisco che in teoria IPA fornisce una soluzione simile a "dominio MS Windows", ma a prima vista non è un prodotto così semplice e maturo [ancora]. A parte SSO, ci sono funzionalità di sicurezza che sono disponibili solo nel dominio IPA e non sono disponibili quando sto usando LDAP?

Non sono interessante nelle parti DNS e NTP del dominio IPA.

Risposte:


20

Prima di tutto, direi che IPA è perfettamente adatto per un ambiente di produzione fin da ora (ed è stato per un bel po 'di tempo), anche se dovresti usare la serie 3.x ormai.

IPA non fornisce una soluzione "simile a MS Windows AD", ma fornisce la capacità di impostare una relazione di trust tra un dominio Active Directory e un dominio IPA, che in realtà è un REALM Kerberos.

Per quanto riguarda alcune delle funzionalità di sicurezza che è possibile utilizzare immediatamente con IPA non presente in un'installazione LDAP standard o Kerberos REALM basato su LDAP, ne citiamo alcune:

  • memorizzazione delle chiavi SSH per gli utenti
  • Mappature SELinux
  • Regole HBAC
  • regole sudo
  • impostazione dei criteri password
  • gestione del certificato (X509)

Relativo a SSO, tenere presente che l'applicazione di destinazione deve supportare l'autenticazione Kerberos e l'autorizzazione LDAP. O essere in grado di parlare con SSSD.

Infine, non è necessario configurare NTP o DNS se non si desidera, entrambi sono facoltativi. Tuttavia, ti consiglio vivamente di utilizzare entrambi, poiché puoi sempre delegare NTP su uno strato più alto e configurare facilmente gli spedizionieri per qualsiasi cosa al di fuori del tuo regno.


1
Grazie, questo elenco e la tua spiegazione sono davvero utili! - IPA3 è ufficialmente rilasciato per RHEL? - Ricontrollerò - per qualche motivo ero sicuro che la politica delle password potesse essere facilmente implementata con LDAP [IMHO, anche solo con gli strumenti nix della vecchia scuola]
Vitaly,

1
@Vitaly Sì, IPA 3.0 è incluso in Red Hat 6.4. Assicurati di controllare le note di aggiornamento prima di aggiornare ciecamente.
Michael Hampton

"tenere presente che l'applicazione di destinazione deve supportare l'autenticazione Kerberos e l'autorizzazione LDAP" - Che dire dell'autenticazione LDAP ? GitLab , ad esempio, supporta solo LDAP.
Jonathon Reinhart,

Puoi comunque usare freeIPA per questo. La distinzione tra autenticazione e autorizzazione viene fatta da Gitlab.
Dawud,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.