IPA와 Linux 용 LDAP 상자 비교-비교


16

Linux (RHEL) 상자는 (~ 30) 개가 거의 없으며 중앙 집중식의 관리하기 쉬운 솔루션을 찾고 있습니다. 주로 제어 사용자 계정입니다. LDAP에 익숙하고 Red Hat의 IPA ver2 파일럿 (== FreeIPA)을 배포했습니다.

이론상 IPA는 "MS Windows 도메인"과 유사한 솔루션을 제공하지만 한 눈에보기에는 너무 쉽고 성숙한 제품은 아닙니다. SSO와 함께 IPA 도메인에서만 사용할 수 있고 LDAP를 사용할 때 사용할 수없는 보안 기능이 있습니까?

IPA 도메인의 DNS 및 NTP 부분에서는 흥미롭지 않습니다.

답변:


20

우선, IPA는 지금 당장 프로덕션 환경에 완벽하게 적합하고 (그리고 꽤 오랜 시간이 지났음) 지금은 3.x 시리즈를 사용해야한다고 말하고 싶습니다.

IPA는 "MS Windows AD와 유사한"솔루션을 제공하지 않고 Active Directory와 실제로 Kerberos REALM 인 IPA 도메인 간의 트러스트 관계 를 설정하는 기능을 제공합니다 .

보안의 일부에 관해서 당신이 사용할 수있는 기능 상자 밖으로 ,의 몇 가지 이름을하자 IPA 표준 LDAP 설치 또는 LDAP 기반의 Kerberos 영역에 존재하지로 :

  • 사용자를위한 SSH 키 저장
  • SELinux 매핑
  • HBAC 규칙
  • sudo 규칙
  • 비밀번호 정책 설정
  • 인증서 (X509) 처리

SSO와 관련하여 대상 응용 프로그램은 Kerberos 인증 및 LDAP 권한을 지원해야합니다. 또는 SSSD와 대화 할 수 있습니다.

마지막으로 원하지 않는 경우 NTP 또는 DNS를 구성 할 필요가 없으며 둘 다 선택 사항입니다. 그러나 항상 높은 계층에서 NTP를 위임하고 영역 외부의 모든 항목에 대한 전달자를 쉽게 설정할 수 있으므로 둘 다 사용하는 것이 좋습니다.


1
감사합니다.이 목록과 설명은 정말 유용합니다! -IPA3는 공식적으로 RHEL 용으로 출시됩니까? -다시 확인하겠습니다-어떤 이유로 든 비밀번호 정책을 LDAP를 사용하여 쉽게 배포 할 수 있다고 확신했습니다. [IMHO, 구식 * nix 도구로도 가능]
Vitaly

1
@Vitaly 예, IPA 3.0은 Red Hat 6.4에 포함되어 있습니다. 맹목적으로 업그레이드하기 전에 업그레이드 정보 를 확인 하십시오 .
Michael Hampton

"대상 응용 프로그램은 Kerberos 인증 및 LDAP 인증을 지원해야합니다." -LDAP 인증은 어떻습니까? 예를 들어 GitLab 은 LDAP 만 지원합니다.
Jonathon Reinhart 3

여전히 freeIPA를 사용할 수 있습니다. 인증과 권한의 구별은 Gitlab에 의해 수행됩니다.
dawud
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.