Linux (RHEL) 机箱很少 (~30),我正在寻找集中且易于管理的解决方案,主要用于控制用户帐户。我熟悉 LDAP,并且我部署了 Red Hat (==FreeIPA) 的 IPA ver2 试用版。
我知道 IPA 理论上提供了类似“MS Windows 域”的解决方案,但乍一看它还不是那么简单和成熟的产品。除了 SSO,是否有任何安全功能仅在 IPA 域中可用,而当我使用 LDAP 时不可用?
我对 IPA 域的 DNS 和 NTP 部分不感兴趣。
答案1
首先,我想说 IPA 现在非常适合生产环境(并且已经有相当长一段时间了),尽管您现在应该使用 3.x 系列。
IPA 不提供“类似 MS Windows AD”的解决方案,而是提供设置相信Active Directory 和 IPA 域之间的关系,实际上它是一个 Kerberos REALM。
关于您可以使用的一些安全功能盒子外面由于 IPA 不存在于标准 LDAP 安装或基于 LDAP 的 Kerberos REALM 中,我们来列举几个:
- 为用户存储 SSH 密钥
- SELinux 映射
- HBAC 规则
- sudo 规则
- 设置密码策略
- 证书(X509)处理
与 SSO 相关,请记住目标应用程序必须支持 Kerberos 身份验证和 LDAP 授权。或者能够与 SSSD 对话。
最后,如果您不想配置 NTP 或 DNS,则无需配置,两者都是可选的。但是,我非常建议同时使用两者,因为您始终可以在更高层委托 NTP,并轻松为域外的任何事物设置转发器。