IPA vs просто LDAP для Linux коробки - шукаємо порівняння

Є декілька (~ 30) вікон Linux (RHEL), і я шукаю централізоване та просте кероване рішення, переважно для керування обліковими записами користувачів. Я знайомий з LDAP, і я розгорнув пілот IPA ver2 від Red Hat (== FreeIPA).

Я розумію, що теоретично IPA пропонує подібне рішення для домену MS Windows, але, на перший погляд, це не так просто і зрілий продукт [поки]. Окрім SSO, чи є функції захисту, які доступні лише в домені IPA, а недоступні, коли я використовую LDAP?

Мені не цікаво DNS та NTP частини IPA домену.

Перш за все, я б сказав, що IPA ідеально підходить для виробничого середовища на даний момент (і вже давно), хоча ви вже повинні використовувати серію 3.x.

IPA не забезпечує "MS Windows, подібного до AD" рішення, скоріше він надає можливість встановити довірчі відносини між Active Directory та IPA доменом, що фактично є Kerberos REALM.

Що стосується деяких функцій безпеки, які ви можете використовувати поза коробкою із IPA, який не присутній у стандартній установці LDAP, або на основі LDAP Kerberos REALM, назвемо декілька:

• зберігання SSH ключів для користувачів
• Відображення SELinux
• Правила HBAC
• правила судо
• встановлення політик паролів
• обробка сертифіката (X509)

Що стосується SSO, майте на увазі, що цільова програма повинна підтримувати автентифікацію Kerberos та авторизацію LDAP. Або мати можливість поговорити з SSSD.

Нарешті, вам не потрібно налаштовувати NTP та DNS, якщо цього не потрібно, обидва не є обов'язковими. Однак я б дуже рекомендував використовувати обидва, оскільки ви завжди можете делегувати NTP на більш високий прошарок, а також налаштувати форвардерів для будь-чого, що знаходиться поза вашою сферою.