Что нового в управлении аутентификацией и авторизацией в RHEL 6.4
•Download as ODP, PDF•
0 likes•619 views
Recommended
Recommended
More Related Content
Viewers also liked
Viewers also liked (13)
Similar to Что нового в управлении аутентификацией и авторизацией в RHEL 6.4
Similar to Что нового в управлении аутентификацией и авторизацией в RHEL 6.4 (20)
More from Andrey Markelov
More from Andrey Markelov (13)
Что нового в управлении аутентификацией и авторизацией в RHEL 6.4
- 1. Что нового в управлении аутентификацией и авторизацией в RHEL 6.4 Andrey Markelov RHCA Red Hat, Presales Solution Architect
- 2. 2 Интеграция ● Аутентификация ● Кто занимается аутентификацией? ● Информация о пользователе ● Как система узнает какого пользователя нужно брать? ● Как учетные записи AD сопоставляются POSIX? ● Разрешение имен и поиск сервисов ● Как система узнает где сервера аутентификации и БД пользователей? ● Управление политиками ● Как политики применяются к пользователям и системам?
- 3. 3 Постоновка проблемы ● В большинстве компаний - AD ● Так или иначе нужно получать доступ к AD ● Иногда AD – корпоративный стандарт ● DNS часто интегрирован в AD
- 4. 4 Интеграция сторонними решениями AD Linux System 3rd party client Authentication 3rd Party Plugin Policies via GPO KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinuxAuthentication can use LDAP or Kerberos ID mapping is implementation specific or uses SFU/IMU extensions in AD Client may also use native AD protocols
- 5. 5 Сторонние решения – за и против ● За ● Все управление из одной консоли ● Против ● Требует еще одного вендора ● Дополнительные деньги за каждую систему ● Ограничивает независимость среды UNIX/Linux ● Требует установки дополнительного ПО на стороне AD
- 6. 6 Устаревший вариант интеграции AD Linux System LDAP/KRB Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinuxAuthentication can use LDAP or Kerberos ID mapping uses SFU/IMU extensions in AD Policies are delivered via configuration files managed locally or via a config server like Puppet AD can be extended to serve basic sudo and automount
- 7. 7 Устаревший вариант - за и против ● За: ● Бесплатно ● Не нужен 3й вендор ● Интуитиво понятно и “прозрачно” ● Против: ● Требует SFU/IMU ● Нет централизованного управления политиками ● Тяжело настраивать
- 8. 8 Традиционный вариант AD Linux System Winbind Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinuxAuthentication can use LDAP or Kerberos Map AD SID to POSIX attributes Join system into AD domain Uses native AD protocols Policies are delivered via configuration files managed locally or via a config server like Puppet AD can be extended to serve basic sudo and automount
- 9. 9 Традиционный вариант – За и Против ● За: ● Широко известный ● Не требует 3го вендора ● Не требует SFU/IMU ● Доверительные отношения между доменами ● Против: ● Можно подключаться только к AD ● Могут быть проблемы со стабильностью
- 10. 10 Современный вариант (RHEL 6.4) AD Linux System SSSD Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinuxAuthentication can use LDAP or Kerberos Can map AD SID to POSIX attributes Can join system into AD domain Policies are delivered via configuration files managed locally or via a config server like Puppet AD can be extended to serve basic sudo and automount
- 11. 11 Современный вариант – за и против ● За: ● Не требует 3го вендорв ● Не требует SFU/IMU (RHEL 6.4) ● Доверительные отношениямежду доменами в IPA (RHEL 6.4) ● Выглядит стабильнее Winbind ● Против: ● Не поддерживает доверительные отношения в AD (1.10) ● Не поддерживает некоторый продвинутый функционал AD (1.10)
- 12. 12 Сравнение Feature LDAP/KRB Winbind SSSD Authenticate using Kerberos or LDAP Yes Yes Yes Identities are looked up in AD Yes Yes Yes Requires SFU/IMU Yes No Yes until SSSD 1.9 ID mapping None Multiple ways One way starting SSSD 1.9 (RHEL 6.4) System is joined into AD Manual Has join utility Samba join utility needs to be used (realmd project makes it easy) Supports multiple AD domains No Yes Will in SSSD 1.10 Supports heterogeneous domains No No Yes Support advanced AD features No Yes Some Reliability High Medium High Community N/A Hard to deal with Friendly
- 13. 13 Ограничения интеграции с AD напрямую ● Нет управления политиками ● CAL остаються ● Администраторы Linux/UNIX теряют контроль над средой
- 14. 14 IdM IdM Core Directory Server Kerberos KDC NTP DNS Management framework Managed host (client) SSSD Management Station CLI Browser Certmonger ipa-client CA ConfiguresConfigures ConfiguresConfigures nss_ldap WEBUI AuthenticationAuthentication Name lookupsName lookups and serviceand service discoverydiscovery Cert tracking &Cert tracking & provisioningprovisioning Other mapsOther maps Enrollment & un-enrollmentEnrollment & un-enrollment ManagementManagement Users, Groups,Users, Groups, Netgroups, HBACNetgroups, HBAC
- 15. 15 Интеграция на базе IdM (рекомендуется) AD Linux System SSSD Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinux Policies are centrally managed over LDAP IdM KDCLDAPDNS A DNS zone is delegated by AD to IdM to manage Linux environment Name resolution and service discovery queries are resolved against IdM Users are synchronized from AD to IdM
- 16. 16 За и Против интеграции через IdM ● За: ● Нет 3го вендора ● Централизованное управление политиками ● Контроль сохраняется за Linux-администраторами ● Против: ● Требуется синхронизация пользователей и паролей ● Аутентификация не в AD ● Требует дополнительной правильной настройки DNS
- 17. 17 Интеграция на базе IdM (split brain) AD Linux System SSSD Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinux Policies are centrally managed over LDAP IdM KDCLDAPDNS A DNS zone is delegated by AD to IdM to manage Linux environment Name resolution and service discovery queries are resolved against IdM Users are synchronized from AD to IdM Requires changes to config files after installation and initial client enrollment
- 18. 18 За и против “Split Brain” ● За: ● Вся аутентификация в AD ● Против: ● Настройка вручную
- 19. 19 IdM – Доверительные отношения (RHEL 6.4) AD Linux System SSSD Authentication KDCLDAPDNS Identities Name resolution Policies sudo hbac automount selinux Policies are centrally managed over LDAP IdM KDCLDAPDNS Domains trust each other. Users stay where they are, no synchronization needed A DNS zone is delegated by AD to IdM to manage Linux systems or IdM has an independent namespace Client software connects to the right server depending on the information it needs
- 20. 20 Доверительные отношения – За и Против ● За: Стоимость – нет CAL и третьего вендора ● Централизованное управление политиками ● Контроль остается у Linux-администраторов ● Не нужна синхронизация ● Аутентификация в AD ● Cons: ● Требует правильной настройки DNS ● Требует последней версии SSSD