很少(~30)
Linux(RHEL)盒子,我正在寻找集中和易管理的解决方案,主要用于控制用户帐户.我熟悉LDAP,我从Red Hat(== FreeIPA)部署了IPA ver2的试用版.
据我所知,理论上IPA提供了“MS Windows域”式解决方案,但一眼就看出它不是那么容易和成熟的产品[尚未].除了SSO,是否有任何仅在IPA域中可用的安全功能,在我使用LDAP时不可用?
我对IPA域的DNS和NTP部分并不感兴趣.
解决方法
首先,我会说IPA非常适合现在的生产环境(已经有很长一段时间了),尽管你现在应该使用3.x系列.
IPA不提供“MS Windows AD-like”解决方案,而是提供在Active Directory和IPA域(实际上是Kerberos REALM)之间建立信任关系的功能.
关于一些安全功能,您可以使用标准LDAP安装中没有的IPA或基于LDAP的Kerberos REALM开箱即用,我们举几个例子:
>为用户存储SSH密钥
> SELinux映射
> HBAC规则
> sudo规则
>设置密码策略
>证书(X509)处理
与SSO相关,请记住目标应用程序必须支持Kerberos身份验证和LDAP授权.或者能够与SSSD交谈.
最后,如果您不想要,则不需要配置NTP和DNS,两者都是可选的.但是,我非常建议同时使用这两种方法,因为您总是可以将NTP委托给更高层,并且可以轻松地为您的领域之外的任何内容设置转发器.
