IPA vs apenas LDAP para caixas Linux - procurando uma comparação

16

Existem poucas (~ 30) caixas Linux (RHEL) e estou procurando uma solução gerenciada centralizada e fácil, principalmente para contas de usuários de controle. Estou familiarizado com o LDAP e implantei um piloto do IPA ver2 da Red Hat (== FreeIPA).

Eu entendo que, em teoria, o IPA fornece uma solução parecida com um "domínio do MS Windows", mas num ápice não é um produto tão fácil e maduro [ainda]. Além do SSO, há algum recurso de segurança disponível apenas no domínio IPA e não disponível quando estou usando o LDAP?

Eu não sou interessante em partes DNS e NTP do domínio IPA.

    
por Vitaly 16.06.2013 / 14:57

1 resposta

20

Primeiro de tudo, eu diria que o IPA é perfeitamente adequado para um ambiente de produção a partir de agora (e tem sido por um bom tempo), embora você deva estar usando a série 3.x até agora.

O IPA não fornece uma solução "MS Windows AD-like", mas fornece a capacidade de configurar um relacionamento confiança entre um Active Directory e um domínio IPA, que é um Kerberos REALM, na verdade .

Com relação a alguns dos recursos de segurança que você pode usar fora da caixa com IPA não presente em uma instalação LDAP padrão ou um Kerberos REALM baseado em LDAP, vamos citar alguns:

  • armazenando chaves SSH para usuários
  • mapeamentos do SELinux
  • Regras do HBAC
  • regras do sudo
  • definindo políticas de senha
  • certificado (X509) manuseio

Relacionado ao SSO, lembre-se de que o aplicativo de destino deve oferecer suporte à autenticação do Kerberos e à autorização do LDAP. Ou ser capaz de falar com o SSSD.

Por fim, você não precisa configurar o NTP nem o DNS se não quiser, ambos são opcionais. No entanto, eu recomendo muito usar ambos, como você pode sempre delegar NTP em um estrato superior e configurar encaminhadores para qualquer coisa fora do seu reino facilmente.

    
por 16.06.2013 / 15:25