我想在我现有的环境中部署FreeIPA或Red Hat IdM
目前,我的域名由MS ADpipe理,由独立的组织pipe理。 假设因为政治原因,改变MS AD中的任何内容都是困难的或不可能的。
对于Linux,我最近configuration了系统,使用Enterprise ADS使用SSSD,直接使用由MS AD提供的Kerberos密码validation。 身份信息仍然在本地系统上提供。
我现在最大的困惑是搞清楚如何提出新的域名空间。
我可以使用我们的MS AD域的子域,并将其委托给FreeIPA?
我认为可能希望将Kerberosconfiguration直接指向MS AD,它已经非常灵活,为什么不利用现有的基础架构? 但是这样我会比这更值得吗? 我不确定事情将如何整合。
考虑到这一点:
我们的主机命名标准是这样的“app-id-dev / prd.domain.com”。 所以例如:“server01dev.domain.com”
通过策略,我们不会在dev / prd环境之间重复服务器ID,所以我想使用子域的一个很好的方法是将前面的例子转换为“server01.dev.domain.com”。 这样做的一个很好的特性是,当指定主机的短名称时,如果我们的域search顺序在客户端上正确设置,则不需要指定dev / prd。
感知优势:这将使我成为这些子域的CA. 这应该简化任何相关的证书。
感知的缺点:这对authentication意味着什么? 我仍然希望用户使用原始域中已存在的用户名进行身份validation。 例如:[email protected]不是[email protected]
另一个疑问是,直接使用MS AD Kerberos是否有意义,因为如果FreeIPA LDAP中没有可用的身份信息,它仍然会阻止用户正确login,除非他们在客户端系统上有本地身份。
如果这是一个真正的问题,这让我怀疑是否有可能与AD同步FreeIPA LDAP信息,但是我认为用户将不得不在子域中创build。
或者,我是否应该放弃直接使用MS AD的想法,并接受我需要创build一个弹性的FreeIPA / RH IdM环境?
首先,我将交替使用FreeIPA和Red Hat Enterprise IdM。 如果这导致不适,让我build议喝一杯。
FreeIPA应该是Active Directory中的一个单独的Kerberos领域,并且应该使用与Krb5领域相对应的单独的DNS区域。 如果您的AD域使用具有子区域“dev”和“prd”的DNS区域“domain.com”,则您需要创build一个名为“idm.domain.com”的新DNS域,以及任何子域它。 你会想创build一个名为“IDM.DOMAIN.COM”的Krb5域,所有的UPN都是[email protected] ,所有的SPN都是HOST / SERVER123.IDM.DOMAIN.COM之类的(可能是WWW / SERVER123。 PRD.IDM.DOMAIN.COM )。
您可以使用与AD相同的DNS区域,但这是一个非常糟糕的主意。 您不仅使用DNS丢失了服务发现,还必须执行手动映射,并且可能难以排除客户端试图传递对IdM领域中的服务器不合适的Krb令牌的问题
您需要至less短暂地与AD团队合作,让他们build立一个跨领域的信任。 他们可能希望它是一个单向信任,AD是可信域,FreeIPA是信任域。 在大多数情况下,这不应该是一个问题。
此时,RHEL 7附带的FreeIPA版本不支持与forest-apex AD域build立信任关系,并向下遍历子域进行身份validation。 我在RHEL 7u1中被告知,这个问题将得到解决,因为传递信任支持将被添加到FreeIPA中,但是我不会屏住呼吸,直到我在代码冻结后一天看到function列表。 作为解决办法,您应该能够将信任设置为用户主体所在的子域。
我正在做类似的工作。 祝你好运,让我们知道这是如何工作的。 我很幸运地把AD队作为我的队伍的一员(他们坐在我的对面)。 我们在团队层面(团队规模)积累了同样的领导者,我们有很多来自我们部门领导者的支持,他们希望看到这种整合的成功。