Linuxボックス用のIPAと単なるLDAP-比較を探しています

16

Linux(RHEL)ボックスは数個(〜30個)しかなく、主に制御ユーザーアカウント用の集中管理された簡単な管理ソリューションを探しています。私はLDAPに精通しており、Red Hat(== FreeIPA)からIPA ver2のパイロットを展開しました。

理論上、IPAは「MS Windowsドメイン」のようなソリューションを提供することを理解していますが、一見するとそれほど簡単で成熟した製品ではありません[まだ]。SSOとは別に、IPAドメインでのみ使用でき、LDAPを使用している場合は使用できないセキュリティ機能はありますか?

IPAドメインのDNSおよびNTPの部分には興味がありません。

linux  ldap  kerberos  freeipa 
ヴィタリー
ソース

回答:

20

まず第一に、IPAは現在の生産環境に完全に適していると思います(かなり以前から使用されています)が、今では3.xシリーズを使用する必要があります。

IPAは、「MS Windows ADに似た」ソリューションを提供するのではなく、実際には、Kerberos REALMであるActive DirectoryとIPAドメイン間の信頼関係をセットアップする機能を提供します。

標準のLDAPインストールまたはLDAPベースのKerberos REALMに存在しないIPAですぐに使用できるセキュリティ機能のいくつかに関して、いくつか例を挙げましょう。

  • ユーザーのSSHキーを保存する
  • SELinuxマッピング
  • HBACルール
  • sudoルール
  • パスワードポリシーの設定
  • 証明書(X509)の取り扱い

SSOに関連して、ターゲットアプリケーションはKerberos認証とLDAP承認をサポートする必要があることに注意してください。または、SSSDと話すことができます。

最後に、必要に応じてNTPもDNSも構成する必要はありません。両方ともオプションです。ただし、NTPを上位の階層にいつでも委任し、レルム外のフォワーダーを簡単にセットアップできるため、両方を使用することを強くお勧めします。

ダウド
ソース
1
ありがとう、このリストとあなたの説明は本当に役に立ちます!-RHEL用にIPA3が正式にリリースされましたか?-私は再チェックよ-私はパスワードポリシーを簡単にLDAP [だけでも、古い学校の* nixツールとIMHO、]を展開できることを確信していたいくつかの理由のために
ヴィタリー
1
@Vitalyはい、IPA 3.0はRed Hat 6.4に含まれています。盲目的にアップグレードする前に、アップグレードノートを確認してください。
マイケルハンプトン
「ターゲットアプリケーションはKerberos認証とLDAP承認をサポートする必要があることに注意してください」 -LDAP 認証はどうですか?たとえばGitLabはLDAPのみをサポートします。
ジョナサンラインハルト
そのために引き続きfreeIPAを使用できます。認証と承認の区別はGitlabによって行われます。
dawud
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.