IPA vs simplement LDAP pour les boîtiers Linux - à la recherche d'une comparaison

Il y a peu (~ 30) de boîtiers Linux (RHEL) et je recherche une solution centralisée et facile à gérer, principalement pour contrôler les comptes utilisateurs. Je connais LDAP et j'ai déployé un pilote d'IPA ver2 de Red Hat (== FreeIPA).

Je comprends qu'en théorie IPA fournit une solution de type "domaine MS Windows", mais en un coup d'œil, ce n'est pas un produit aussi simple et mature [pour l'instant]. Outre l'authentification unique, existe-t-il des fonctionnalités de sécurité disponibles uniquement dans le domaine IPA et non disponibles lorsque j'utilise LDAP?

Je ne suis pas intéressé par les parties DNS et NTP du domaine IPA.

Tout d'abord, je dirais que l'IPA est parfaitement adapté à un environnement de production à partir de maintenant (et ce depuis longtemps), bien que vous devriez utiliser la série 3.x maintenant.

IPA ne fournit pas de solution "semblable à MS Windows AD", mais offre plutôt la possibilité de configurer une relation de confiance entre un Active Directory et un domaine IPA, qui est en fait un Kerberos REALM.

En ce qui concerne certaines des fonctionnalités de sécurité que vous pouvez utiliser dès le départ avec IPA non présent dans une installation LDAP standard ou un Kerberos REALM basé sur LDAP, nommons-en quelques-uns:

• stockage des clés SSH pour les utilisateurs
• Mappages SELinux
• Règles HBAC
• règles sudo
• définition de stratégies de mot de passe
• gestion des certificats (X509)

Concernant l'authentification unique, gardez à l'esprit que l'application cible doit prendre en charge l'authentification Kerberos et l'autorisation LDAP. Ou être en mesure de parler à SSSD.

Enfin, vous n'avez pas besoin de configurer NTP ni DNS si vous ne le souhaitez pas, les deux sont facultatifs. Cependant, je recommanderais vivement d'utiliser les deux, car vous pouvez toujours déléguer NTP sur une couche supérieure et configurer facilement des redirecteurs pour tout ce qui est en dehors de votre domaine.