IPA против только LDAP для Linux-боксов - ищем сравнение
Существует несколько (~30) блоков Linux (RHEL), и я ищу централизованное и простое управляемое решение, в основном для контроля учетных записей пользователей. Я знаком с LDAP и развернул пилотную версию IPA ver2 из Red Hat (==FreeIPA).
Я понимаю, что теоретически IPA предоставляет решение, подобное "домену MS Windows", но на первый взгляд это не такой простой и зрелый продукт [пока]. Помимо SSO, есть ли какие-либо функции безопасности, которые доступны только в домене IPA и недоступны при использовании LDAP?
Меня не интересуют части DNS и NTP домена IPA.
1 ответ
Прежде всего, я бы сказал, что IPA идеально подходит для производственной среды на данный момент (и уже довольно давно), хотя вы уже должны использовать серию 3.x.
IPA не предоставляет "MS Windows AD-like" решение, скорее, оно предоставляет возможность установить доверительные отношения между Active Directory и доменом IPA, который на самом деле является Kerberos REALM.
Что касается некоторых функций безопасности, которые вы можете использовать из коробки с IPA, отсутствующим в стандартной установке LDAP, или с Kerberos REALM на основе LDAP, давайте назовем несколько:
- хранение ключей SSH для пользователей
- Сопоставления SELinux
- Правила HBAC
- правила судо
- установка политик паролей
- обработка сертификата (X509)
Что касается единого входа, помните, что целевое приложение должно поддерживать аутентификацию Kerberos и авторизацию LDAP. Или сможете поговорить с SSSD.
Наконец, вам не нужно настраивать NTP или DNS, если вы этого не хотите, оба являются необязательными. Тем не менее, я бы очень рекомендовал использовать оба, так как вы всегда можете делегировать NTP на более высоком уровне, и легко настроить пересылки для всего, что находится за пределами вашей области.