IPA vs apenas caixas LDAP para Linux - procurando uma comparação

16

Existem poucas (~ 30) caixas Linux (RHEL) e estou procurando uma solução gerenciada centralizada e fácil, principalmente para controlar contas de usuários. Estou familiarizado com o LDAP e implantei um piloto do IPA ver2 da Red Hat (== FreeIPA).

Entendo que, em teoria, o IPA fornece uma solução semelhante ao "domínio MS Windows", mas, à primeira vista, ainda não é um produto tão fácil e maduro. Além do SSO, existem recursos de segurança disponíveis apenas no domínio IPA e não disponíveis quando estou usando LDAP?

Não sou interessante em partes DNS e NTP do domínio IPA.

Vitaly
fonte

Respostas:

20

Antes de tudo, eu diria que o IPA é perfeitamente adequado para um ambiente de produção a partir de agora (e já existe há bastante tempo), embora você deva estar usando a série 3.x até agora.

O IPA não fornece uma solução "semelhante ao MS Windows AD", mas oferece a capacidade de configurar uma relação de confiança entre um Active Directory e um domínio IPA, que é realmente um Kerberos REALM.

Com relação a alguns dos recursos de segurança que você pode usar fora da caixa com IPA não está presente em uma instalação padrão do LDAP, ou um Kerberos REINO baseado em LDAP, vamos citar alguns:

  • armazenando chaves SSH para usuários
  • Mapeamentos do SELinux
  • Regras HBAC
  • regras do sudo
  • definindo políticas de senha
  • manuseio de certificado (X509)

Relacionado ao SSO, lembre-se de que o aplicativo de destino deve suportar autenticação Kerberos e autorização LDAP. Ou poder falar com o SSSD.

Por fim, você não precisa configurar o NTP nem o DNS, se não quiser, ambos são opcionais. No entanto, eu recomendo usar os dois, pois você sempre pode delegar o NTP em um nível mais alto e configurar encaminhadores para qualquer coisa fora do seu reino facilmente.

dawud
fonte
11
Obrigado, esta lista e sua explicação são realmente úteis! - o IPA3 é lançado oficialmente para o RHEL? - Eu vou re-check - por alguma razão eu tinha certeza de que a política de senha podem ser facilmente implantados com LDAP [IMHO, mesmo apenas com old-school * nix ferramentas]
Vitaly
11
@Vitaly Sim, o IPA 3.0 está incluído no Red Hat 6.4. Certifique-se de verificar as notas de atualização antes de atualizar cegamente.
Michael Hampton
"lembre-se de que o aplicativo de destino deve suportar autenticação Kerberos e autorização LDAP" - E a autenticação LDAP ? O GitLab , por exemplo, suporta apenas LDAP.
Jonathon Reinhart
Você ainda pode usar o freeIPA para isso. A distinção entre autenticação e autorização é feita pelo Gitlab.
dawud 12/08/2015