มีกล่อง (~ 30) Linux (RHEL) ไม่กี่กล่องและฉันกำลังมองหาโซลูชันที่จัดการจากส่วนกลางและใช้งานง่ายส่วนใหญ่สำหรับการควบคุมบัญชีผู้ใช้ ฉันคุ้นเคยกับ LDAP และฉันปรับใช้นักบินของ IPA ver2 จาก Red Hat (== FreeIPA)
ฉันเข้าใจว่าในทางทฤษฎีแล้ว IPA มีวิธีแก้ปัญหาคล้าย ๆ กับ "MS Windows domain" แต่โดยสรุปแล้วมันไม่ใช่ผลิตภัณฑ์ที่ง่ายและเป็นผู้ใหญ่ [ยัง] นอกเหนือจาก SSO มีคุณลักษณะด้านความปลอดภัยที่มีเฉพาะในโดเมน IPA และไม่สามารถใช้งานได้เมื่อฉันใช้ LDAP หรือไม่
ฉันไม่สนใจ DNS และส่วน NTP ของโดเมน IPA
คำตอบ:
ก่อนอื่นฉันจะบอกว่า IPA เหมาะสมที่สุดสำหรับสภาพแวดล้อมการผลิต ณ ขณะนี้ (และใช้เวลาค่อนข้างนาน) แม้ว่าคุณจะควรใช้ซีรีย์ 3.x ในตอนนี้
IPA ไม่มีโซลูชัน "คล้ายโฆษณา MS Windows" แต่ให้ความสามารถในการตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่าง Active Directory และโดเมน IPA ซึ่งเป็น Kerberos REALM
เกี่ยวกับคุณสมบัติความปลอดภัยบางอย่างที่คุณสามารถใช้นอกกรอบด้วย IPA ที่ไม่มีอยู่ในการติดตั้ง LDAP มาตรฐานหรือ Kerberos REALM ที่ใช้ LDAP ลองตั้งชื่อให้สองสามข้อ:
เกี่ยวข้องกับ SSO โปรดทราบว่าแอปพลิเคชันเป้าหมายต้องสนับสนุนการตรวจสอบสิทธิ์ Kerberos และการอนุญาต LDAP หรือสามารถคุยกับ SSSD
สุดท้ายคุณไม่จำเป็นต้องกำหนดค่า NTP หรือ DNS หากคุณไม่ต้องการทั้งคู่เป็นตัวเลือก อย่างไรก็ตามฉันขอแนะนำให้ใช้ทั้งสองอย่างมากเนื่องจากคุณสามารถมอบหมาย NTP ให้อยู่ในสตราตัมที่สูงขึ้นได้ตลอดเวลา