在現有 MS AD 環境中集成 FreeIPA 或 RH IdM
我想在現有環境中部署 FreeIPA 或 Red Hat IdM
目前我的域由一個單獨的組控制的 MS AD 管理。假設出於政治原因更改 MS AD 中的任何內容都將是困難或不可能的。
對於 Linux,我最近將系統配置為使用 MS AD 直接提供的 Kerberos 密碼身份驗證,在 Enterprise Linux 上使用 SSSD。身份資訊仍然在本地系統上提供。
我現在最大的問題是弄清楚如何提出新的域名空間。
我可以使用我們 MS AD 域的子域並將其控制權委託給 FreeIPA 嗎?
我認為讓 Kerberos 配置直接指向 MS AD 可能是可取的,它已經非常有彈性,為什麼不利用現有的基礎架構呢?但這會給我帶來更多的麻煩嗎?我不確定事情將如何整合。
考慮到這一點:
我們的主機命名標準類似於“app-id-dev/prd.domain.com”。例如:“server01dev.domain.com”
根據政策,我們不會在 dev/prd 環境之間重複伺服器 ID,所以我認為使用子域的一種好方法是將前面的範例轉換為“server01.dev.domain.com”。這樣做的一個很好的特性是,在指定主機的短名稱時,如果我們在客戶端上正確設置了域搜尋順序,我們將不再需要指定 dev/prd。
感知優勢:這將使我成為這些子域的 CA。這應該會簡化任何與未來相關的證書。
感知劣勢:這對身份驗證意味著什麼?我仍然希望使用者使用原始域中已經存在的使用者名進行身份驗證。範例:user0321@DOMAIN.COM 不是 user0321@DEV.DOMAIN.COM
我的另一個疑問是直接使用 MS AD Kerberos 是否有任何意義,因為如果無法從 FreeIPA LDAP 獲得身份資訊,它仍然會阻止使用者正確登錄,除非他們在客戶端系統上有本地身份。
如果這是一個真正的問題,我想知道是否可以將 FreeIPA LDAP 資訊與 AD 同步,但我認為必須在子域中創建使用者。
或者,我是否應該放棄任何直接使用 MS AD 來實現彈性的想法,並接受我需要創建一個彈性的 FreeIPA/RH IdM 環境?
首先,我將交替使用 FreeIPA 和 Red Hat Enterprise IdM。如果這引起不適,讓我建議喝一杯。
FreeIPA 應該是獨立於 Active Directory 的 Kerberos 領域,並且應該使用與 Krb5 領域相對應的單獨 DNS 區域。如果您的 AD 域使用帶有子區域“dev”和“prd”的 DNS 區域“domain.com”,則您需要創建一個名為“idm.domain.com”的新 DNS 區域,以及下面的任何子域它。您可能希望創建一個名為“IDM.DOMAIN.COM”的 Krb5 領域,所有 UPN 為USER@IDM.DOMAIN.COM,所有 SPN 為HOST/SERVER123.IDM.DOMAIN.COM等(可能是WWW/SERVER123. PRD.IDM.DOMAIN.COM)。
您可以使用與 AD 相同的 DNS 區域,但這是一個非常糟糕的主意。您不僅會失去使用 DNS 的服務發現,還必須進行手動映射,並且可能會遇到難以解決的問題,即客戶端嘗試將不適合 IdM 領域中的伺服器的 Krb 令牌傳遞給伺服器
您需要與 AD 團隊至少短暫合作,讓他們建立跨領域信任。他們可能希望它是一種單向信任,其中 AD 是受信任域,而 FreeIPA 是信任域。在大多數情況下,這應該不是問題。
目前,RHEL 7 附帶的 FreeIPA 版本不支持與 forest-apex AD 域建立信任並向下遍歷到子域進行身份驗證。我在 RHEL 7u1 中被告知,這將得到補救,因為傳遞信任支持將被添加到 FreeIPA,但我不會屏住呼吸,直到我在程式碼凍結後的第二天看到功能列表。作為一種變通方法,您應該能夠設置對生成使用者主體的子域的信任。
我正在做類似的工作。祝你好運,讓我們知道這是怎麼回事。我很幸運能夠讓 AD 團隊成為我團隊中的一個元素(他們就坐在我的對面)。我們在團隊級別(小隊規模的單位)匯總到同一個領導者,我們得到了部門領導的大力支持,他們希望看到這種整合成功。