web-dev-qa-db-ja.com

LinuxボックスのIPAとLDAPの比較-比較を探す

Linux(RHEL)ボックスは(〜30)数台しかなく、主にユーザーアカウントを制御するための集中型で簡単に管理できるソリューションを探しています。私はLDAPに精通しており、Red Hat(== FreeIPA)からIPA ver2のパイロットをデプロイしました。

理論的にはIPAが「MS Windowsドメイン」のようなソリューションを提供することは理解していますが、一見すると、それほど簡単で成熟した製品ではありません。 SSO以外に、IPAドメインでのみ使用でき、LDAPを使用しているときには使用できないセキュリティ機能はありますか?

DNSとNTP IPAドメインの一部)には興味がありません。

17
Vitaly

まず最初に、IPAは現在(そしてかなり前から)実稼働環境に完全に適していると思いますが、3.xシリーズは今では使用しているはずです。

IPAは「MS Windows ADのような」ソリューションを提供せず、実際にはActive DirectoryとKerberos REALMであるIPAドメイン間のtrust関係を設定する機能を提供します。

使用できるセキュリティ機能の一部について標準標準のLDAPインストールにないIPA、またはLDAPベースのKerberos REALMを使用して、いくつか例を挙げましょう。

  • ユーザーのSSHキーの保存
  • SELinuxマッピング
  • HBACルール
  • 須藤ルール
  • パスワードポリシーの設定
  • 証明書(X509)の処理

SSOに関連して、ターゲットアプリケーションはKerberos認証とLDAP承認をサポートする必要があることに注意してください。またはSSSDと話すことができます。

最後に、NTPも必要もない場合はDNSも設定する必要はありません。両方ともオプションです。ただし、常に委任できるため、両方を使用することを強くお勧めします= NTP上位層で、領域外のすべてのフォワーダーを簡単にセットアップします。

20
dawud