IPA vs simplement LDAP pour les boîtiers Linux - à la recherche d'une comparaison

16

Il y a peu (~ 30) de boîtiers Linux (RHEL) et je recherche une solution centralisée et facile à gérer, principalement pour contrôler les comptes utilisateurs. Je connais LDAP et j'ai déployé un pilote d'IPA ver2 de Red Hat (== FreeIPA).

Je comprends qu'en théorie IPA fournit une solution de type "domaine MS Windows", mais en un coup d'œil, ce n'est pas un produit aussi simple et mature [pour l'instant]. Outre l'authentification unique, existe-t-il des fonctionnalités de sécurité disponibles uniquement dans le domaine IPA et non disponibles lorsque j'utilise LDAP?

Je ne suis pas intéressé par les parties DNS et NTP du domaine IPA.

Vitaly
la source

Réponses:

20

Tout d'abord, je dirais que l'IPA est parfaitement adapté à un environnement de production à partir de maintenant (et ce depuis longtemps), bien que vous devriez utiliser la série 3.x maintenant.

IPA ne fournit pas de solution "semblable à MS Windows AD", mais offre plutôt la possibilité de configurer une relation de confiance entre un Active Directory et un domaine IPA, qui est en fait un Kerberos REALM.

En ce qui concerne certaines des fonctionnalités de sécurité que vous pouvez utiliser dès le départ avec IPA non présent dans une installation LDAP standard ou un Kerberos REALM basé sur LDAP, nommons-en quelques-uns:

  • stockage des clés SSH pour les utilisateurs
  • Mappages SELinux
  • Règles HBAC
  • règles sudo
  • définition de stratégies de mot de passe
  • gestion des certificats (X509)

Concernant l'authentification unique, gardez à l'esprit que l'application cible doit prendre en charge l'authentification Kerberos et l'autorisation LDAP. Ou être en mesure de parler à SSSD.

Enfin, vous n'avez pas besoin de configurer NTP ni DNS si vous ne le souhaitez pas, les deux sont facultatifs. Cependant, je recommanderais vivement d'utiliser les deux, car vous pouvez toujours déléguer NTP sur une couche supérieure et configurer facilement des redirecteurs pour tout ce qui est en dehors de votre domaine.

dawud
la source
1
Merci, cette liste et vos explications sont vraiment utiles! - IPA3 est-il officiellement publié pour RHEL? - Je vais revérifier - pour une raison quelconque, j'étais sûr que la politique de mot de passe peut être facilement déployée avec LDAP [IMHO, même juste avec des outils old-school * nix]
Vitaly
1
@Vitaly Oui, IPA 3.0 est inclus dans Red Hat 6.4. Assurez-vous de vérifier les notes de mise à niveau avant de procéder à une mise à niveau aveugle.
Michael Hampton
"gardez à l'esprit que l'application cible doit prendre en charge l'authentification Kerberos et l'autorisation LDAP" - Qu'en est-il de l' authentification LDAP ? GitLab , par exemple, ne prend en charge que LDAP.
Jonathon Reinhart
Vous pouvez toujours utiliser freeIPA pour cela. La distinction entre authentification et autorisation est faite par Gitlab.
dawud