我想在现有环境中部署 FreeIPA 或 Red Hat IdM
目前我的域名由 MS AD 管理,而 MS AD 由一个单独的团队控制。假设由于政治原因,更改 MS AD 中的任何内容都会变得困难或不可能。
对于 Linux,我最近将系统配置为使用 MS AD 直接提供的 Kerberos 密码身份验证,使用 Enterprise Linux 上的 SSSD。身份信息仍在本地系统上提供。
我现在最大的困扰就是弄清楚如何提出新的域名空间。
我可以使用我们的 MS AD 域的子域并将其控制权委托给 FreeIPA 吗?
我认为将 Kerberos 配置直接指向 MS AD 可能是可取的,它已经非常有弹性了,为什么不利用现有的基础设施呢?但这会给我带来比它本身更多的麻烦吗?我不确定事情会如何整合。
考虑一下这一点:
我们的主机命名标准类似于“app-id-dev/prd.domain.com”。例如:“server01dev.domain.com”
根据政策,我们不会在 dev/prd 环境之间复制服务器 ID,因此我认为使用子域的一个巧妙方法是将前面的示例转换为“server01.dev.domain.com”。这样做的一个好处是,如果客户端上正确设置了域搜索顺序,则在指定主机的短名称时,我们不再需要指定 dev/prd。
感知优势:这将使我成为这些子域的 CA。这将简化以后与证书相关的所有事情。
感知到的缺点:这对身份验证意味着什么?我仍然希望用户使用原始域中已存在的用户名进行身份验证。示例:[电子邮件保护]不是[电子邮件保护]
我的另一个疑问是直接使用 MS AD Kerberos 是否有任何意义,因为如果 FreeIPA LDAP 中没有身份信息,它仍然会阻止用户正确登录,除非他们在客户端系统上具有本地身份。
如果这是一个真正的问题,那么我就会怀疑是否可以将 FreeIPA LDAP 信息与 AD 同步,但我认为必须在子域中创建用户。
或者,我是否应该放弃直接使用 MS AD 实现弹性的想法,并接受我需要创建一个有弹性的 FreeIPA/RH IdM 环境?
答案1
首先,我将交替使用 FreeIPA 和 Red Hat Enterprise IdM。如果这让您感到不舒服,我建议您喝一杯。
FreeIPA 应是与 Active Directory 分开的 Kerberos 领域,并且应使用与 Krb5 领域相对应的单独 DNS 区域。如果您的 AD 域使用 DNS 区域“domain.com”及其子区域“dev”和“prd”,则您需要创建一个名为“idm.domain.com”的新 DNS 区域,以及其下的任何子领域。您需要创建一个名为“IDM.DOMAIN.COM”的 Krb5 领域,所有 UPN 都为[电子邮件保护]并且所有 SPN 均为主机/服务器123.IDM.域.COM或类似的东西(也许网址/SERVER123.PRD.IDM.DOMAIN.COM)。
您可以使用与 AD 相同的 DNS 区域,但它是真的坏主意。你不仅会失去使用 DNS 的服务发现功能,还必须进行手动映射,并且可能会遇到难以排除故障的问题,即客户端尝试传递不适合 IdM 域中服务器的 Krb 令牌
您需要与 AD 团队至少短暂合作,让他们建立跨领域信任。他们可能希望它是单向信任,其中 AD 是受信任域,而 FreeIPA 是信任域。在大多数情况下,这应该不是问题。
目前,RHEL 7 附带的 FreeIPA 版本不支持与林顶点 AD 域建立信任并向下遍历到子域进行身份验证。我被告知在 RHEL 7u1 中,这个问题将得到解决,因为将向 FreeIPA 添加传递信任支持,但我并不指望在代码冻结一天后看到功能列表。作为一种解决方法,您应该能够设置对生成用户主体的子域的信任。
我正在做类似的工作。祝你好运,让我们知道进展如何。我很幸运,我的团队中有 AD 团队(他们就坐在我对面)。我们在团队层面(小队规模单位)由同一位领导,我们得到了部门领导的大力支持,他希望看到这种整合取得成功。