IPA与仅用于Linux的LDAP的盒子 – 寻找比较

几乎没有(〜30)Linux(RHEL)盒子,我正在寻找集中和简单的pipe理解决scheme,主要是为了控制用户帐户。 我熟悉LDAP,并且我从Red Hat部署了一个IPA ver2(== FreeIPA)的试点。

据我所知,理论上IPA提供了“MS Windows域”的解决scheme,但是一目了然,它还不是那么容易和成熟的产品。 除了SSO,是否有任何安全function只能在IPA域中使用,而在使用LDAP时不可用?

我对IPA域的DNS和NTP部分并不感兴趣。

首先,我想说IPA现在已经非常适合生产环境(而且已经有相当长的一段时间了),但是现在应该使用3.x系列了。

IPA不提供“MS Windows AD”解决scheme,而是提供了在Active Directory和实际上是Kerberos REALM的IPA域之间build立信任关系的function。

关于一些标准LDAP安装中不包含IPA的安全function,或者基于LDAP的Kerberos REALM,我们举几个例子:

  • 存储用户的SSH密钥
  • SELinux映射
  • HBAC规则
  • sudo规则
  • 设置密码策略
  • 证书(X509)处理

请注意,与SSO相关的目标应用程序必须支持Kerberos身份validation和LDAP授权。 或者能够与SSSD交谈。

最后,你不需要configurationNTP和DNS,如果你不想,都是可选的。 不过,我非常推荐使用这两种方法,因为您可以随时将NTP委派给更高层,并且可以轻松地为转发器之外的任何内容安装转发器。