IPA a tylko LDAP dla Linux-a - szukam porównania

Jest kilka (~ 30) Linux'ów (RHEL) i szukam scentralizowanego i łatwego w zarządzaniu rozwiązania, głównie do kontroli kont użytkowników. Znam LDAP i wdrożyłem pilotażową wersję IPA 2 z Red Hat (== FreeIPA).

Rozumiem, że teoretycznie IPA zapewnia rozwiązanie podobne do „domeny MS Windows”, ale na pierwszy rzut oka nie jest to tak łatwy i dojrzały produkt [jeszcze]. Czy oprócz logowania jednokrotnego są jakieś funkcje bezpieczeństwa, które są dostępne tylko w domenie IPA i nie są dostępne, gdy używam LDAP?

Nie interesuje mnie część DNS i NTP domeny IPA.

Po pierwsze, powiedziałbym, że IPA jest teraz doskonale przystosowany do środowiska produkcyjnego (i był już od dłuższego czasu), chociaż do tej pory powinieneś używać serii 3.x.

IPA nie zapewnia rozwiązania „podobnego do MS Windows AD”, raczej umożliwia konfigurację relacji zaufania między Active Directory a domeną IPA, która w rzeczywistości jest REALMEM Kerberos.

Jeśli chodzi o niektóre funkcje zabezpieczeń, których można używać od razu po zainstalowaniu, gdy IPA nie występuje w standardowej instalacji LDAP lub opartej na LDAP Kerberos REALM, nazwijmy kilka:

• przechowywanie kluczy SSH dla użytkowników
• Odwzorowania SELinuksa
• Zasady HBAC
• zasady sudo
• ustawianie zasad haseł
• obsługa certyfikatu (X509)

W przypadku logowania jednokrotnego należy pamiętać, że aplikacja docelowa musi obsługiwać uwierzytelnianie Kerberos i autoryzację LDAP. Lub być w stanie porozmawiać z SSSD.

Na koniec nie musisz konfigurować NTP ani DNS, jeśli nie chcesz, oba są opcjonalne. Jednak bardzo polecam używanie obu, ponieważ zawsze możesz delegować NTP na wyższą warstwę i łatwo konfigurować forwardery dla wszystkiego poza twoim królestwem.