IPA против только LDAP для Linux-боксов - ищем сравнение

Существует несколько (~ 30) блоков Linux (RHEL), и я ищу централизованное и простое управляемое решение, в основном для контроля учетных записей пользователей. Я знаком с LDAP и развернул пилотную версию IPA ver2 из Red Hat (== FreeIPA).

Я понимаю, что теоретически IPA предоставляет решение, подобное «домену MS Windows», но на первый взгляд это не такой простой и зрелый продукт [пока]. Помимо SSO, есть ли какие-либо функции безопасности, которые доступны только в домене IPA и недоступны при использовании LDAP?

Меня не интересуют части DNS и NTP домена IPA.

Прежде всего, я бы сказал, что IPA идеально подходит для производственной среды на данный момент (и уже довольно давно), хотя вы уже должны использовать серию 3.x.

IPA не предоставляет «MS Windows AD-like» решение, скорее, оно предоставляет возможность установить доверительные отношения между Active Directory и доменом IPA, который на самом деле является Kerberos REALM.

Что касается некоторых функций безопасности, которые вы можете использовать из коробки с IPA, отсутствующим в стандартной установке LDAP, или с Kerberos REALM на основе LDAP, давайте назовем несколько:

• хранение ключей SSH для пользователей
• SELinux mappings
• Правила HBAC
• правила судо
• установка политик паролей
• обработка сертификата (X509)

Что касается единого входа, помните, что целевое приложение должно поддерживать аутентификацию Kerberos и авторизацию LDAP. Или сможете поговорить с SSSD.

Наконец, вам не нужно настраивать NTP или DNS, если вы этого не хотите, оба являются необязательными. Тем не менее, я бы очень рекомендовал использовать оба, так как вы всегда можете делегировать NTP на более высоком уровне, и легко настроить пересылки для всего, что находится за пределами вашей области.