IPA vs nur LDAP für Linux-Boxen - auf der Suche nach einem Vergleich

Es gibt nur wenige (~ 30) Linux (RHEL) -Boxen und ich suche nach einer zentralisierten und einfach zu verwaltenden Lösung, hauptsächlich für die Steuerung von Benutzerkonten. Ich bin mit LDAP vertraut und habe ein Pilotprojekt von IPA ver2 von Red Hat (== FreeIPA) bereitgestellt.

Ich verstehe, dass IPA theoretisch eine "MS Windows Domain" -ähnliche Lösung bietet, aber auf den ersten Blick ist es noch kein so einfaches und ausgereiftes Produkt. Gibt es neben SSO Sicherheitsfunktionen, die nur in der IPA-Domäne und bei Verwendung von LDAP nicht verfügbar sind?

Ich bin nicht an DNS- und NTP-Teilen der IPA-Domain interessiert.

Zunächst einmal würde ich sagen, dass IPA ab sofort (und schon seit einiger Zeit) perfekt für eine Produktionsumgebung geeignet ist, obwohl Sie die 3.x-Serie bereits verwenden sollten.

IPA bietet keine "MS Windows AD-ähnliche" Lösung, sondern die Möglichkeit, eine Vertrauensbeziehung zwischen einem Active Directory und einer IPA-Domäne, die eigentlich ein Kerberos-REALM ist, einzurichten.

In Bezug auf einige der Sicherheitsfunktionen, die Sie standardmäßig mit IPA verwenden können , das in einer Standard-LDAP-Installation oder einem LDAP-basierten Kerberos-REALM nicht vorhanden ist, nennen wir einige:

• Speichern von SSH-Schlüsseln für Benutzer
• SELinux-Zuordnungen
• HBAC-Regeln
• Sudo-Regeln
• Festlegen von Kennwortrichtlinien
• Handhabung des Zertifikats (X509)

Beachten Sie im Zusammenhang mit SSO, dass die Zielanwendung die Kerberos-Authentifizierung und die LDAP-Autorisierung unterstützen muss. Oder mit SSSD sprechen können.

Schließlich müssen Sie weder NTP noch DNS konfigurieren, wenn Sie dies nicht möchten. Beide sind optional. Ich würde jedoch die Verwendung von beidem sehr empfehlen, da Sie NTP immer an eine höhere Schicht delegieren und Weiterleitungen für alles, was sich außerhalb Ihres Bereichs befindet, problemlos einrichten können.