IPA vs solo LDAP para equipos Linux: en busca de una comparación

Pregunta:

Hay pocas (~ 30) cajas de Linux (RHEL) y estoy buscando una solución centralizada y fácil de administrar, principalmente para controlar las cuentas de usuario. Estoy familiarizado con LDAP e implementé un piloto de IPA ver2 de Red Hat (== FreeIPA).

Entiendo que, en teoría, IPA proporciona una solución similar a un "dominio de MS Windows", pero de un vistazo no es un producto tan fácil y maduro [todavía]. Aparte de SSO, ¿hay alguna función de seguridad que esté disponible solo en el dominio IPA y que no esté disponible cuando utilizo LDAP?

No me interesan las partes DNS y NTP del dominio IPA.

Respuesta:

En primer lugar, diría que IPA se adapta perfectamente a un entorno de producción a partir de ahora (y lo ha sido durante bastante tiempo), aunque ya debería estar utilizando la serie 3.x.

IPA no proporciona una solución "similar a MS Windows AD", sino que brinda la capacidad de establecer una relación de confianza entre un Active Directory y un dominio IPA, que en realidad es un REALM de Kerberos.

Con respecto a algunas de las características de seguridad que puede usar de inmediato con IPA que no está presente en una instalación LDAP estándar, o en un REALM Kerberos basado en LDAP, mencionemos algunas:

  • almacenar claves SSH para usuarios
  • Asignaciones SELinux
  • Reglas de HBAC
  • reglas de sudo
  • establecer políticas de contraseñas
  • manejo del certificado (X509)

En relación con SSO, tenga en cuenta que la aplicación de destino debe admitir la autenticación Kerberos y la autorización LDAP. O poder hablar con SSSD.

Por último, no necesita configurar NTP ni DNS si no lo desea, ambos son opcionales. Sin embargo, recomiendo encarecidamente usar ambos, ya que siempre puede delegar NTP en un estrato superior y configurar reenviadores para cualquier cosa fuera de su ámbito fácilmente.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım