Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Что нового в управлении аутентификацией иавторизацией в RHEL 6.4Andrey MarkelovRHCARed Hat, Presales Solution Architect
2Интеграция● Аутентификация● Кто занимается аутентификацией?● Информация о пользователе● Как система узнает какого пользов...
3Постоновка проблемы● В большинстве компаний - AD● Так или иначе нужно получать доступ к AD● Иногда AD – корпоративный ста...
4Интеграция сторонними решениямиADLinux System3rdparty clientAuthentication3rdPartyPluginPoliciesvia GPOKDCLDAPDNSIdentiti...
5Сторонние решения – за и против● За● Все управление из одной консоли● Против● Требует еще одного вендора● Дополнительные ...
6Устаревший вариант интеграцииADLinux SystemLDAP/KRBAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautom...
7Устаревший вариант - за и против● За:● Бесплатно● Не нужен 3й вендор● Интуитиво понятно и “прозрачно”● Против:● Требует S...
8Традиционный вариантADLinux SystemWinbindAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinu...
9Традиционный вариант – За и Против● За:● Широко известный● Не требует 3го вендора● Не требует SFU/IMU● Доверительные отно...
10Современный вариант (RHEL 6.4)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomou...
11Современный вариант – за и против● За:● Не требует 3го вендорв● Не требует SFU/IMU (RHEL 6.4)● Доверительные отношенияме...
12СравнениеFeature LDAP/KRB Winbind SSSDAuthenticate using Kerberos orLDAPYes Yes YesIdentities are looked up in AD Yes Ye...
13Ограничения интеграции с AD напрямую● Нет управления политиками● CAL остаються● Администраторы Linux/UNIX теряют контрол...
14IdMIdM CoreDirectoryServerKerberosKDCNTPDNSManagementframeworkManaged host(client)SSSDManagement StationCLIBrowserCertmo...
15Интеграция на базе IdM (рекомендуется)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohba...
16За и Против интеграции через IdM● За:● Нет 3го вендора● Централизованное управление политиками● Контроль сохраняется за ...
17Интеграция на базе IdM (split brain)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbaca...
18За и против “Split Brain”● За:● Вся аутентификация в AD● Против:● Настройка вручную
19IdM – Доверительные отношения (RHEL 6.4)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudoh...
20Доверительные отношения – За и Против● За:Стоимость – нет CAL и третьего вендора● Централизованное управление политиками...
Спасибо!Андрей Маркеловandrey@redhat.comtwitter.com/amarkelov
Upcoming SlideShare
Loading in …5
×

0

Share

Download to read offline

Что нового в управлении аутентификацией и авторизацией в RHEL 6.4

Download to read offline

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Что нового в управлении аутентификацией и авторизацией в RHEL 6.4

  1. 1. Что нового в управлении аутентификацией иавторизацией в RHEL 6.4Andrey MarkelovRHCARed Hat, Presales Solution Architect
  2. 2. 2Интеграция● Аутентификация● Кто занимается аутентификацией?● Информация о пользователе● Как система узнает какого пользователя нужно брать?● Как учетные записи AD сопоставляются POSIX?● Разрешение имен и поиск сервисов● Как система узнает где сервера аутентификации и БДпользователей?● Управление политиками● Как политики применяются к пользователям и системам?
  3. 3. 3Постоновка проблемы● В большинстве компаний - AD● Так или иначе нужно получать доступ к AD● Иногда AD – корпоративный стандарт● DNS часто интегрирован в AD
  4. 4. 4Интеграция сторонними решениямиADLinux System3rdparty clientAuthentication3rdPartyPluginPoliciesvia GPOKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxAuthenticationcan use LDAPor KerberosID mapping is implementationspecific or uses SFU/IMUextensions in ADClient may alsouse native ADprotocols
  5. 5. 5Сторонние решения – за и против● За● Все управление из одной консоли● Против● Требует еще одного вендора● Дополнительные деньги за каждую систему● Ограничивает независимость среды UNIX/Linux● Требует установки дополнительного ПО на стороне AD
  6. 6. 6Устаревший вариант интеграцииADLinux SystemLDAP/KRBAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxAuthenticationcan use LDAPor KerberosID mapping uses SFU/IMUextensions in ADPolicies are delivered viaconfiguration files managedlocally or via a config serverlike PuppetAD can be extended to serve basic sudo and automount
  7. 7. 7Устаревший вариант - за и против● За:● Бесплатно● Не нужен 3й вендор● Интуитиво понятно и “прозрачно”● Против:● Требует SFU/IMU● Нет централизованного управления политиками● Тяжело настраивать
  8. 8. 8Традиционный вариантADLinux SystemWinbindAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxAuthenticationcan use LDAPor KerberosMap AD SID to POSIX attributesJoin system into AD domainUses native AD protocolsPolicies are delivered viaconfiguration files managedlocally or via a config serverlike PuppetAD can be extended to serve basic sudo and automount
  9. 9. 9Традиционный вариант – За и Против● За:● Широко известный● Не требует 3го вендора● Не требует SFU/IMU● Доверительные отношения между доменами● Против:● Можно подключаться только к AD● Могут быть проблемы со стабильностью
  10. 10. 10Современный вариант (RHEL 6.4)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxAuthenticationcan use LDAPor KerberosCan map AD SID to POSIX attributesCan join system into AD domainPolicies are delivered viaconfiguration files managedlocally or via a config serverlike PuppetAD can be extended to serve basic sudo and automount
  11. 11. 11Современный вариант – за и против● За:● Не требует 3го вендорв● Не требует SFU/IMU (RHEL 6.4)● Доверительные отношениямежду доменами в IPA (RHEL 6.4)● Выглядит стабильнее Winbind● Против:● Не поддерживает доверительные отношения в AD (1.10)● Не поддерживает некоторый продвинутый функционал AD (1.10)
  12. 12. 12СравнениеFeature LDAP/KRB Winbind SSSDAuthenticate using Kerberos orLDAPYes Yes YesIdentities are looked up in AD Yes Yes YesRequires SFU/IMU Yes No Yes until SSSD 1.9ID mapping None Multiple ways One way starting SSSD 1.9(RHEL 6.4)System is joined into AD Manual Has join utility Samba join utility needs tobe used (realmd projectmakes it easy)Supports multiple AD domains No Yes Will in SSSD 1.10Supports heterogeneousdomainsNo No YesSupport advanced AD features No Yes SomeReliability High Medium HighCommunity N/A Hard to deal with Friendly
  13. 13. 13Ограничения интеграции с AD напрямую● Нет управления политиками● CAL остаються● Администраторы Linux/UNIX теряют контрольнад средой
  14. 14. 14IdMIdM CoreDirectoryServerKerberosKDCNTPDNSManagementframeworkManaged host(client)SSSDManagement StationCLIBrowserCertmongeripa-clientCAConfiguresConfiguresConfiguresConfiguresnss_ldapWEBUIAuthenticationAuthenticationName lookupsName lookupsand serviceand servicediscoverydiscoveryCert tracking &Cert tracking &provisioningprovisioningOther mapsOther mapsEnrollment & un-enrollmentEnrollment & un-enrollmentManagementManagementUsers, Groups,Users, Groups,Netgroups, HBACNetgroups, HBAC
  15. 15. 15Интеграция на базе IdM (рекомендуется)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxPolicies arecentrallymanagedover LDAPIdMKDCLDAPDNSA DNS zone is delegated by ADto IdM to manage LinuxenvironmentName resolutionand servicediscovery queriesare resolvedagainst IdMUsers aresynchronizedfrom AD to IdM
  16. 16. 16За и Против интеграции через IdM● За:● Нет 3го вендора● Централизованное управление политиками● Контроль сохраняется за Linux-администраторами● Против:● Требуется синхронизация пользователей и паролей● Аутентификация не в AD● Требует дополнительной правильной настройки DNS
  17. 17. 17Интеграция на базе IdM (split brain)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxPolicies arecentrallymanagedover LDAPIdMKDCLDAPDNSA DNS zone isdelegated by ADto IdM to manageLinux environmentName resolution andservice discovery queriesare resolved against IdMUsers aresynchronizedfrom AD to IdMRequires changesto config filesafter installationand initial clientenrollment
  18. 18. 18За и против “Split Brain”● За:● Вся аутентификация в AD● Против:● Настройка вручную
  19. 19. 19IdM – Доверительные отношения (RHEL 6.4)ADLinux SystemSSSDAuthenticationKDCLDAPDNSIdentitiesName resolutionPoliciessudohbacautomountselinuxPolicies arecentrallymanagedover LDAPIdMKDCLDAPDNSDomains trust eachother. Users staywhere they are,no synchronizationneededA DNS zone is delegatedby AD to IdM to manageLinux systems or IdM hasan independent namespaceClientsoftwareconnects tothe rightserverdependingon theinformationit needs
  20. 20. 20Доверительные отношения – За и Против● За:Стоимость – нет CAL и третьего вендора● Централизованное управление политиками● Контроль остается у Linux-администраторов● Не нужна синхронизация● Аутентификация в AD● Cons:● Требует правильной настройки DNS● Требует последней версии SSSD
  21. 21. Спасибо!Андрей Маркеловandrey@redhat.comtwitter.com/amarkelov

Views

Total views

583

On Slideshare

0

From embeds

0

Number of embeds

2

Actions

Downloads

11

Shares

0

Comments

0

Likes

0

×