IPA与仅LDAP for Linux盒-寻找比较

16

Linux(RHEL)盒很少(〜30),我正在寻找集中化且易于管理的解决方案,主要用于控制用户帐户。我熟悉LDAP,并且从Red Hat(== FreeIPA)部署了IPA ver2的试验。

我了解理论上IPA提供了类似于“ MS Windows域”的解决方案,但是乍一看,它并不是那么容易和成熟的产品[尚未]。除了SSO,是否有仅在IPA域中可用而在使用LDAP时不可用的安全功能?

我对IPA域的DNS和NTP部分不感兴趣。

linux  ldap  kerberos  freeipa 
维塔利
source

Answers:

20

首先,我要说的是,尽管您现在应该使用3.x系列,但IPA到目前为止(并且已经使用了很长时间)非常适合于生产环境。

IPA没有提供“类似于MS Windows AD”的解决方案,而是提供了在Active Directory和IPA域(实际上是Kerberos REALM)之间建立信任关系的功能。

至于一些安全的功能,你可以使用开箱即用IPA不存在标准的LDAP安装,或基于LDAP的Kerberos领域,让我们仅举几例:

  • 为用户存储SSH密钥
  • SELinux映射
  • HBAC规则
  • 须藤规则
  • 设置密码策略
  • 证书(X509)处理

与SSO相关,请记住目标应用程序必须支持Kerberos身份验证和LDAP授权。或能够与SSSD交谈。

最后,如果您不想配置NTP和DNS,则两者都是可选的。但是,我强烈建议同时使用这两种方法,因为您始终可以将NTP委托给更高的层次,并且可以轻松地为领域之外的任何内容设置转发器。

达武德
source
1
谢谢,这份清单和您的解释非常有用!-IPA3是否已针对RHEL正式发布?-我将重新检查-由于某种原因,我确定可以使用LDAP [IMHO,甚至仅使用老式的* nix工具也可以轻松地部署密码策略]
Vitaly 2013年
1
@Vitaly是的,IPA 3.0包含在Red Hat 6.4中。盲目升级之前,请务必检查升级说明
迈克尔·汉普顿
“请记住目标应用程序必须支持Kerberos身份验证和LDAP授权” -LDAP 身份验证如何?例如,GitLab仅支持LDAP。
乔纳森·莱因哈特
您仍然可以使用freeIPA。身份验证和授权之间的区别是由Gitlab完成的。
dawud
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.