Что нового в управлении аутентификацией и авторизацией в RHEL 6.4
1. Что нового в управлении аутентификацией и
авторизацией в RHEL 6.4
Andrey Markelov
RHCA
Red Hat, Presales Solution Architect
2. 2
Интеграция
● Аутентификация
● Кто занимается аутентификацией?
● Информация о пользователе
● Как система узнает какого пользователя нужно брать?
● Как учетные записи AD сопоставляются POSIX?
● Разрешение имен и поиск сервисов
● Как система узнает где сервера аутентификации и БД
пользователей?
● Управление политиками
● Как политики применяются к пользователям и системам?
3. 3
Постоновка проблемы
● В большинстве компаний - AD
● Так или иначе нужно получать доступ к AD
● Иногда AD – корпоративный стандарт
● DNS часто интегрирован в AD
4. 4
Интеграция сторонними решениями
AD
Linux System
3rd
party client
Authentication
3rd
Party
Plugin
Policies
via GPO
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinuxAuthentication
can use LDAP
or Kerberos
ID mapping is implementation
specific or uses SFU/IMU
extensions in AD
Client may also
use native AD
protocols
5. 5
Сторонние решения – за и против
● За
● Все управление из одной консоли
● Против
● Требует еще одного вендора
● Дополнительные деньги за каждую систему
● Ограничивает независимость среды UNIX/Linux
● Требует установки дополнительного ПО на стороне AD
6. 6
Устаревший вариант интеграции
AD
Linux System
LDAP/KRB
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinuxAuthentication
can use LDAP
or Kerberos
ID mapping uses SFU/IMU
extensions in AD
Policies are delivered via
configuration files managed
locally or via a config server
like Puppet
AD can be extended to serve basic sudo and automount
7. 7
Устаревший вариант - за и против
● За:
● Бесплатно
● Не нужен 3й вендор
● Интуитиво понятно и “прозрачно”
● Против:
● Требует SFU/IMU
● Нет централизованного управления политиками
● Тяжело настраивать
8. 8
Традиционный вариант
AD
Linux System
Winbind
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinuxAuthentication
can use LDAP
or Kerberos
Map AD SID to POSIX attributes
Join system into AD domain
Uses native AD protocols
Policies are delivered via
configuration files managed
locally or via a config server
like Puppet
AD can be extended to serve basic sudo and automount
9. 9
Традиционный вариант – За и Против
● За:
● Широко известный
● Не требует 3го вендора
● Не требует SFU/IMU
● Доверительные отношения между доменами
● Против:
● Можно подключаться только к AD
● Могут быть проблемы со стабильностью
10. 10
Современный вариант (RHEL 6.4)
AD
Linux System
SSSD
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinuxAuthentication
can use LDAP
or Kerberos
Can map AD SID to POSIX attributes
Can join system into AD domain
Policies are delivered via
configuration files managed
locally or via a config server
like Puppet
AD can be extended to serve basic sudo and automount
11. 11
Современный вариант – за и против
● За:
● Не требует 3го вендорв
● Не требует SFU/IMU (RHEL 6.4)
● Доверительные отношениямежду доменами в IPA (RHEL 6.4)
● Выглядит стабильнее Winbind
● Против:
● Не поддерживает доверительные отношения в AD (1.10)
● Не поддерживает некоторый продвинутый функционал AD (1.10)
12. 12
Сравнение
Feature LDAP/KRB Winbind SSSD
Authenticate using Kerberos or
LDAP
Yes Yes Yes
Identities are looked up in AD Yes Yes Yes
Requires SFU/IMU Yes No Yes until SSSD 1.9
ID mapping None Multiple ways One way starting SSSD 1.9
(RHEL 6.4)
System is joined into AD Manual Has join utility Samba join utility needs to
be used (realmd project
makes it easy)
Supports multiple AD domains No Yes Will in SSSD 1.10
Supports heterogeneous
domains
No No Yes
Support advanced AD features No Yes Some
Reliability High Medium High
Community N/A Hard to deal with Friendly
13. 13
Ограничения интеграции с AD напрямую
● Нет управления политиками
● CAL остаються
● Администраторы Linux/UNIX теряют контроль
над средой
14. 14
IdM
IdM Core
Directory
Server
Kerberos
KDC
NTP
DNS
Management
framework
Managed host
(client)
SSSD
Management Station
CLI
Browser
Certmonger
ipa-client
CA
ConfiguresConfigures
ConfiguresConfigures
nss_ldap
WEBUI
AuthenticationAuthentication
Name lookupsName lookups
and serviceand service
discoverydiscovery
Cert tracking &Cert tracking &
provisioningprovisioning
Other mapsOther maps
Enrollment & un-enrollmentEnrollment & un-enrollment
ManagementManagement
Users, Groups,Users, Groups,
Netgroups, HBACNetgroups, HBAC
15. 15
Интеграция на базе IdM (рекомендуется)
AD
Linux System
SSSD
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinux
Policies are
centrally
managed
over LDAP
IdM
KDCLDAPDNS
A DNS zone is delegated by AD
to IdM to manage Linux
environment
Name resolution
and service
discovery queries
are resolved
against IdM
Users are
synchronized
from AD to IdM
16. 16
За и Против интеграции через IdM
● За:
● Нет 3го вендора
● Централизованное управление политиками
● Контроль сохраняется за Linux-администраторами
● Против:
● Требуется синхронизация пользователей и паролей
● Аутентификация не в AD
● Требует дополнительной правильной настройки DNS
17. 17
Интеграция на базе IdM (split brain)
AD
Linux System
SSSD
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinux
Policies are
centrally
managed
over LDAP
IdM
KDCLDAPDNS
A DNS zone is
delegated by AD
to IdM to manage
Linux environment
Name resolution and
service discovery queries
are resolved against IdM
Users are
synchronized
from AD to IdM
Requires changes
to config files
after installation
and initial client
enrollment
18. 18
За и против “Split Brain”
● За:
● Вся аутентификация в AD
● Против:
● Настройка вручную
19. 19
IdM – Доверительные отношения (RHEL 6.4)
AD
Linux System
SSSD
Authentication
KDCLDAPDNS
Identities
Name resolution
Policies
sudo
hbac
automount
selinux
Policies are
centrally
managed
over LDAP
IdM
KDCLDAPDNS
Domains trust each
other. Users stay
where they are,
no synchronization
needed
A DNS zone is delegated
by AD to IdM to manage
Linux systems or IdM has
an independent namespace
Client
software
connects to
the right
server
depending
on the
information
it needs
20. 20
Доверительные отношения – За и Против
● За:
Стоимость – нет CAL и третьего вендора
● Централизованное управление политиками
● Контроль остается у Linux-администраторов
● Не нужна синхронизация
● Аутентификация в AD
● Cons:
● Требует правильной настройки DNS
● Требует последней версии SSSD