Linux (RHEL) 상자는 (~ 30) 개가 거의 없으며 중앙 집중식의 관리하기 쉬운 솔루션을 찾고 있습니다. 주로 제어 사용자 계정입니다. LDAP에 익숙하고 Red Hat의 IPA ver2 파일럿 (== FreeIPA)을 배포했습니다.
이론상 IPA는 “MS Windows 도메인”과 유사한 솔루션을 제공하지만 한 눈에보기에는 너무 쉽고 성숙한 제품은 아닙니다. SSO와 함께 IPA 도메인에서만 사용할 수 있고 LDAP를 사용할 때 사용할 수없는 보안 기능이 있습니까?
IPA 도메인의 DNS 및 NTP 부분에서는 흥미롭지 않습니다.
답변
우선, IPA는 지금 당장 프로덕션 환경에 완벽하게 적합하고 (그리고 꽤 오랜 시간이 지났음) 지금은 3.x 시리즈를 사용해야한다고 말하고 싶습니다.
IPA는 “MS Windows AD와 유사한”솔루션을 제공하지 않고 Active Directory와 실제로 Kerberos REALM 인 IPA 도메인 간의 트러스트 관계 를 설정하는 기능을 제공합니다 .
보안의 일부에 관해서 당신이 사용할 수있는 기능 상자 밖으로 ,의 몇 가지 이름을하자 IPA 표준 LDAP 설치 또는 LDAP 기반의 Kerberos 영역에 존재하지로 :
- 사용자를위한 SSH 키 저장
- SELinux 매핑
- HBAC 규칙
- sudo 규칙
- 비밀번호 정책 설정
- 인증서 (X509) 처리
SSO와 관련하여 대상 응용 프로그램은 Kerberos 인증 및 LDAP 권한을 지원해야합니다. 또는 SSSD와 대화 할 수 있습니다.
마지막으로 원하지 않는 경우 NTP 또는 DNS를 구성 할 필요가 없으며 둘 다 선택 사항입니다. 그러나 항상 높은 계층에서 NTP를 위임하고 영역 외부의 모든 항목에 대한 전달자를 쉽게 설정할 수 있으므로 둘 다 사용하는 것이 좋습니다.