题 IPA vs Linux for Linux box - 寻找比较


很少(~30)Linux(RHEL)盒子,我正在寻找集中和易管理的解决方案,主要用于控制用户帐户。我熟悉LDAP,我从Red Hat(== FreeIPA)部署了IPA ver2的试用版。

据我所知,理论上IPA提供了“MS Windows域”式解决方案,但一眼就看出它不是那么容易和成熟的产品[尚未]。除了SSO,是否有任何仅在IPA域中可用的安全功能,在我使用LDAP时不可用?

我对IPA域的DNS和NTP部分并不感兴趣。


16
2018-06-16 12:57






答案:


首先,我会说IPA非常适合现在的生产环境(并且已经有很长一段时间了),尽管你现在应该使用3.x系列。

IPA不提供“MS Windows AD-like”解决方案,而是提供设置的能力 信任 实际上,Active Directory和IPA域(实际上是Kerberos REALM)之间的关系。

关于您可以使用的一些安全功能 盒子外面 如果IPA不存在于标准LDAP安装或基于LDAP的Kerberos REALM中,我们举几个例子:

  • 为用户存储SSH密钥
  • SELinux映射
  • HBAC规则
  • sudo规则
  • 设置密码策略
  • 证书(X509)处理

与SSO相关,请记住目标应用程序必须支持Kerberos身份验证和LDAP授权。或者能够与SSSD交谈。

最后,如果您不想要,则不需要配置NTP和DNS,两者都是可选的。但是,我非常建议同时使用这两种方法,因为您总是可以将NTP委托给更高层,并且可以轻松地为您的领域之外的任何内容设置转发器。


20
2018-06-16 13:25



谢谢,这份清单和你的解释真的很有用! - IPA3是否正式为RHEL发布? - 我会重新检查 - 由于某种原因,我确信可以使用LDAP轻松部署密码策略[恕我直言,即使只是使用老式* nix工具] - Vitaly
@Vitaly是的,IPA 3.0包含在Red Hat 6.4中。一定要检查 升级说明 之前只是盲目升级。 - Michael Hampton♦
“请记住,目标应用程序必须支持Kerberos身份验证和LDAP授权”  - LDAP怎么样? 认证? GitLab例如,仅支持LDAP。 - Jonathon Reinhart
你仍然可以使用freeIPA。身份验证和授权之间的区别由Gitlab完成。 - dawud