FreeIPA vs. Microsoft Active Directory
Siehe auch
FreeIPA ist kein AD
Falls Windows-Hosts ins FreeIPA integriert werden sollen:
FreeIPA ist keine Neuimplementierung von Microsoft Active Directory. Aus diesem Grund kann es ohne konfigurierte AD-Vertrauensstellung nur einen Authentifizierungsdienst für Windows-Hosts bereitstellen (über das Standard-Kerberos-Protokoll).
Ohne AD-Trust bietet FreeIPA keine Kontodatenbank für Windows-Hosts, d.h. es muss für jeden Benutzer ein lokales Windows-Konto und eine entsprechende Kontozuordnung erstellt werden.
FreeIPA konzentriert sich auf Linux-Systeme (und andere standardkonforme Systeme).
Falls ein AD gefordert ist, empfiehlt das FreeIPA-Projekt:
Das vorhandene AD zu verwenden und Vertrauensstellungen zwischen AD und IPA einzurichten, wenn bereits ein AD existiert.
Wenn kein AD vorhanden ist, Samba 4 verwenden. Ab Samba 4.3 kann Samba bereichsübergreifende Vertrauensstellungen nutzen. Die Funktion ist immer noch unvollständig, kann aber so konfiguriert werden, dass sie FreeIPA vertraut.
Wenn keine der beiden Optionen in Frage kommt, muss jeder Windows-Server so konfiguriert werden, dass er direkt mit IPA zusammenarbeitet. Der Windows-Client erwartet allerdings einige Dienste, die FreeIPA nicht bereitstellt - und das FreeIPA-Entwicklungsteam unterstützt diesen Modus nicht.
Vorteile von FreeIPA
FreeIPA bietet zusätzliche „Linux-only“ Features:
Es ermöglicht Benutzern den Zugriff auf Linux-Rechner mit identischen Anmeldeinformationen und Sicherheitseinstellungen.
FreeIPA kann den Netzwerkzugriff auf ausgewählte Dienste für bestimmte Benutzer beschränken (HBAC).
FreeIPA ermöglicht die zentrale Verwaltung von Kennwörtern, öffentlichen SSH-Schlüsseln, sudo-Regeln, Keytabs und Access Control Rules.
Es bietet ein User Self Service Portal, über das Benutzer ihre persönlichen Konten ändern und beispielsweise öffentliche SSH-Schlüssel hochladen können.
Es integriert sich bei Bedarf in Active Directory-Umgebungen.
Built on 2024-04-18