web-dev-qa-db-fra.com

IPA vs juste LDAP pour les boîtes Linux - à la recherche d'une comparaison

Il y a peu de (~ 30) boîtes Linux (RHEL) et je suis à la recherche d'une solution gérée centralisée et facile, principalement pour les comptes d'utilisateurs de contrôle. Je connais bien le LDAP et j'ai déployé un pilote d'IPA Ver2 de Red Hat (== Freepipa).

Je comprends que dans la théorie IPA fournit une solution "MS Windows Domaine", mais en un coup d'œil, ce n'est pas si facile et mature Produit [Encore]. Outre SSO, existe-t-il des fonctionnalités de sécurité disponibles uniquement dans le domaine IPA et non disponibles lorsque j'utilise LDAP?

Je ne suis pas intéressant dans DNS et NTP Parties du domaine IPA.

17
Vitaly

Tout d'abord, je dirais que l'IPA est parfaitement adaptée à un environnement de production dès présent (et a été assez longtemps), bien que vous deviez utiliser la série 3.x.

IPA ne fournit pas de solution "MS Windows Ad-like" ", elle fournit plutôt la capacité de configurer une relation A Trust entre un domaine Active Directory et un domaine IPA, qui est un royaume Kerberos, en fait.

En ce qui concerne certaines des fonctionnalités de sécurité que vous pouvez utiliser en dehors de la boîte avec IPA ne présente pas dans une installation standard LDAP, ou un kerberos à base de LDAP Royaume, nommons quelques-uns:

  • stockage des clés SSH pour les utilisateurs
  • Mappages SELINUX
  • Règles HBAC
  • Règles sudo
  • configuration des politiques de mot de passe
  • certificat (x 509) manipulation

En ce qui concerne la SSO, gardez à l'esprit que l'application cible doit prendre en charge l'authentification Kerberos et l'autorisation de LDAP. Ou être capable de parler à SSSD.

Enfin, vous n'avez pas besoin de configurer NTP ni DNS si vous ne voulez pas, les deux sont facultatifs. Cependant, je vous recommande vivement d'utiliser les deux, comme vous pouvez toujours déléguer = NTP sur une strate supérieure et des transmis de configuration pour que quelque chose en dehors de votre royaume soit facilement.

20
dawud