IPA vs nur LDAP für Linux-Boxen - auf der Suche nach einem Vergleich

16

Es gibt nur wenige (~ 30) Linux (RHEL) -Boxen und ich suche nach einer zentralisierten und einfach zu verwaltenden Lösung, hauptsächlich für die Steuerung von Benutzerkonten. Ich bin mit LDAP vertraut und habe ein Pilotprojekt von IPA ver2 von Red Hat (== FreeIPA) bereitgestellt.

Ich verstehe, dass IPA theoretisch eine "MS Windows Domain" -ähnliche Lösung bietet, aber auf den ersten Blick ist es noch kein so einfaches und ausgereiftes Produkt. Gibt es neben SSO Sicherheitsfunktionen, die nur in der IPA-Domäne und bei Verwendung von LDAP nicht verfügbar sind?

Ich bin nicht an DNS- und NTP-Teilen der IPA-Domain interessiert.

Vitaly
quelle

Antworten:

20

Zunächst einmal würde ich sagen, dass IPA ab sofort (und schon seit einiger Zeit) perfekt für eine Produktionsumgebung geeignet ist, obwohl Sie die 3.x-Serie bereits verwenden sollten.

IPA bietet keine "MS Windows AD-ähnliche" Lösung, sondern die Möglichkeit, eine Vertrauensbeziehung zwischen einem Active Directory und einer IPA-Domäne, die eigentlich ein Kerberos-REALM ist, einzurichten.

In Bezug auf einige der Sicherheitsfunktionen, die Sie standardmäßig mit IPA verwenden können , das in einer Standard-LDAP-Installation oder einem LDAP-basierten Kerberos-REALM nicht vorhanden ist, nennen wir einige:

  • Speichern von SSH-Schlüsseln für Benutzer
  • SELinux-Zuordnungen
  • HBAC-Regeln
  • Sudo-Regeln
  • Festlegen von Kennwortrichtlinien
  • Handhabung des Zertifikats (X509)

Beachten Sie im Zusammenhang mit SSO, dass die Zielanwendung die Kerberos-Authentifizierung und die LDAP-Autorisierung unterstützen muss. Oder mit SSSD sprechen können.

Schließlich müssen Sie weder NTP noch DNS konfigurieren, wenn Sie dies nicht möchten. Beide sind optional. Ich würde jedoch die Verwendung von beidem sehr empfehlen, da Sie NTP immer an eine höhere Schicht delegieren und Weiterleitungen für alles, was sich außerhalb Ihres Bereichs befindet, problemlos einrichten können.

Dawud
quelle
1
Vielen Dank, diese Liste und Ihre Erklärung sind wirklich nützlich! - Ist IPA3 offiziell für RHEL freigegeben? - Ich werde es noch einmal überprüfen - aus irgendeinem Grund war ich mir sicher, dass die Kennwortrichtlinie mit LDAP einfach bereitgestellt werden kann [IMHO, auch nur mit alten * nix-Tools]
Vitaly
1
@Vitaly Ja, IPA 3.0 ist in Red Hat 6.4 enthalten. Lesen Sie unbedingt die Upgrade-Hinweise, bevor Sie ein Blind-Upgrade durchführen.
Michael Hampton
"Beachten Sie, dass die Zielanwendung die Kerberos-Authentifizierung und die LDAP-Autorisierung unterstützen muss" - Was ist mit der LDAP- Authentifizierung ? GitLab unterstützt beispielsweise nur LDAP.
Jonathon Reinhart
Sie können dafür immer noch freeIPA verwenden. Die Unterscheidung zwischen Authentifizierung und Autorisierung erfolgt durch Gitlab.
Dawud