IPA vs hanya LDAP untuk kotak Linux - mencari perbandingan

Ada beberapa (~ 30) Linux (RHEL) kotak dan saya mencari solusi terpusat dan mudah dikelola, sebagian besar untuk mengontrol akun pengguna. Saya kenal dengan LDAP, dan saya menggunakan pilot IPA ver2 dari Red Hat (== FreeIPA).

Saya mengerti bahwa secara teori IPA menyediakan solusi seperti "MS Windows domain", tetapi sekilas itu tidak mudah dan produk yang matang [belum]. Selain SSO, apakah ada fitur keamanan yang hanya tersedia di domain IPA dan tidak tersedia saat saya menggunakan LDAP?

Saya tidak tertarik pada bagian DNS dan NTP dari domain IPA.

Pertama-tama, saya akan mengatakan IPA sangat cocok untuk lingkungan produksi seperti sekarang (dan telah cukup lama), meskipun Anda harus menggunakan seri 3.x sekarang.

IPA tidak menyediakan solusi "MS Windows AD-like", melainkan menyediakan kemampuan untuk mengatur hubungan saling percaya antara Active Directory dan domain IPA, yang sebenarnya adalah Kerberos REALM.

Berkenaan dengan beberapa fitur keamanan yang dapat Anda gunakan di luar kotak dengan IPA tidak ada dalam instalasi LDAP standar, atau Kerberos REALM berbasis LDAP, sebut saja beberapa:

• menyimpan kunci SSH untuk pengguna
• Pemetaan SELinux
• Aturan HBAC
• aturan sudo
• mengatur kebijakan kata sandi
• penanganan sertifikat (X509)

Terkait dengan SSO, perlu diingat bahwa aplikasi target harus mendukung otentikasi Kerberos dan otorisasi LDAP. Atau dapat berbicara dengan SSSD.

Terakhir, Anda tidak perlu mengkonfigurasi NTP atau DNS jika Anda tidak mau, keduanya opsional. Namun, saya sangat merekomendasikan menggunakan keduanya, karena Anda selalu dapat mendelegasikan NTP pada strata yang lebih tinggi, dan mengatur forwarder untuk apa pun di luar wilayah Anda dengan mudah.