IPA vs LDAP solo per le scatole di Linux - alla ricerca di un confronto

Esistono poche (~ 30) scatole Linux (RHEL) e sto cercando una soluzione centralizzata e di facile gestione, principalmente per controllare gli account utente. Conosco LDAP e ho distribuito un pilota di IPA ver2 da Red Hat (== FreeIPA).

Capisco che in teoria IPA fornisce una soluzione simile a "dominio MS Windows", ma a prima vista non è un prodotto così semplice e maturo [ancora]. A parte SSO, ci sono funzionalità di sicurezza che sono disponibili solo nel dominio IPA e non sono disponibili quando sto usando LDAP?

Non sono interessante nelle parti DNS e NTP del dominio IPA.

Prima di tutto, direi che IPA è perfettamente adatto per un ambiente di produzione fin da ora (ed è stato per un bel po 'di tempo), anche se dovresti usare la serie 3.x ormai.

IPA non fornisce una soluzione "simile a MS Windows AD", ma fornisce la capacità di impostare una relazione di trust tra un dominio Active Directory e un dominio IPA, che in realtà è un REALM Kerberos.

Per quanto riguarda alcune delle funzionalità di sicurezza che è possibile utilizzare immediatamente con IPA non presente in un'installazione LDAP standard o Kerberos REALM basato su LDAP, ne citiamo alcune:

• memorizzazione delle chiavi SSH per gli utenti
• Mappature SELinux
• Regole HBAC
• regole sudo
• impostazione dei criteri password
• gestione del certificato (X509)

Relativo a SSO, tenere presente che l'applicazione di destinazione deve supportare l'autenticazione Kerberos e l'autorizzazione LDAP. O essere in grado di parlare con SSSD.

Infine, non è necessario configurare NTP o DNS se non si desidera, entrambi sono facoltativi. Tuttavia, ti consiglio vivamente di utilizzare entrambi, poiché puoi sempre delegare NTP su uno strato più alto e configurare facilmente gli spedizionieri per qualsiasi cosa al di fuori del tuo regno.