IPA vs solo LDAP para cajas Linux - buscando una comparación

16

Hay pocos (~ 30) cuadros de Linux (RHEL) y estoy buscando una solución centralizada y fácil de administrar, principalmente para controlar las cuentas de los usuarios. Estoy familiarizado con LDAP, e implementé un piloto de IPA ver2 de Red Hat (== FreeIPA).

Entiendo que, en teoría, IPA proporciona una solución similar al "dominio MS Windows", pero de un vistazo no es un producto tan fácil y maduro [todavía]. Además de SSO, ¿hay alguna característica de seguridad que esté disponible solo en el dominio IPA y no esté disponible cuando estoy usando LDAP?

No me interesan las partes DNS y NTP del dominio IPA.

Vitalia
fuente

Respuestas:

20

En primer lugar, diría que IPA es perfectamente adecuado para un entorno de producción a partir de ahora (y lo ha sido durante bastante tiempo), aunque ya debería estar utilizando la serie 3.x.

IPA no proporciona una solución "MS Windows AD-like", sino que brinda la capacidad de configurar una relación de confianza entre un Active Directory y un dominio IPA, que es un Kerberos REALM, en realidad.

Con respecto a algunas de las características de seguridad que puede usar de forma inmediata con IPA no presente en una instalación LDAP estándar, o Kerberos REALM basado en LDAP, mencionemos algunas:

  • almacenar claves SSH para usuarios
  • Mapeos de SELinux
  • Reglas de HBAC
  • reglas de sudo
  • establecer políticas de contraseña
  • manejo del certificado (X509)

En relación con SSO, tenga en cuenta que la aplicación de destino debe admitir la autenticación Kerberos y la autorización LDAP. O ser capaz de hablar con SSSD.

Por último, no necesita configurar NTP ni DNS si no lo desea, ambos son opcionales. Sin embargo, recomiendo usar ambos, ya que siempre puedes delegar NTP en un estrato más alto y configurar fácilmente los reenviadores para cualquier cosa fuera de tu reino.

Dawud
fuente
1
¡Gracias, esta lista y su explicación son realmente útiles! - ¿Se lanza oficialmente IPA3 para RHEL? - Volveré a verificar; por alguna razón, estaba seguro de que la política de contraseñas se puede implementar fácilmente con LDAP [En mi humilde opinión, incluso solo con las herramientas de la vieja escuela * nix]
Vitaly
1
@Vitaly Sí, IPA 3.0 está incluido en Red Hat 6.4. Asegúrese de revisar las notas de actualización antes de actualizar a ciegas.
Michael Hampton
"tenga en cuenta que la aplicación de destino debe admitir la autenticación Kerberos y la autorización LDAP" - ¿Qué pasa con la autenticación LDAP ? GitLab , por ejemplo, solo admite LDAP.
Jonathon Reinhart
Todavía puedes usar freeIPA para eso. La distinción entre autenticación y autorización la realiza Gitlab.
dawud