19 июня 2008

Red Hat Enterprise IPA

Сегодня компания Red Hat анонсировала новый продукт под названием Red Hat Enterprise IPA, являющийся решением с открытым исходным кодом для управления доступом и учетными данными. Red Hat Enterprise IPA осуществляет централизованную аутентификацию, управление политиками доступа и аудита для компьютеров, пользователей и сервисов в Unix и Linux-окружениях. В состав решения входят ряд служб, в том числе: LDAP, Kerberos и RADIUS. Помимо этого существуют средства для интеграции с другими сервисами каталогов, включая Active Directory и утилиты для миграции с NIS. Для упрощения работы с Red Hat Enterprise IPA в состав решения входит консоль управления с web-интерфейсом.

Важным преимуществом решения является то, что оно основывается на полностью открытых стандартах и технологиях, что является отличной защитой инвестиций и позволяет избежать замыкания на продуктах конкретного вендора (vendor lock-in).

Основные особенности решения:
  • SSO при помощи единой учетной записи, используя Kerberos и LDAP (Red Hat Directory Server) для доступа к компьютерам и службам
  • Возможность использовать нескольких полностью равноправных мастер-серверов с автоматическим разрешением конфликтов
  • Синхронизация с уже существующими серверами каталогов, включая Active Directory. В следующих версиях помимо односторонней или двухсторонней синхронизации планируется возможность использовать выданные Active Directory билеты Kerberos в Kerberos-области Red Hat Enterprise IPA, а также интеграция с Red Hat Certificate System
  • Использование открытых стандартов
  • Простота установки и управления законченным решением
  • Расширение функционала за счет подключаемых модулей (plug-ins)
Функциональная схема первой версии Red Hat Enterprise IPA/Free IPA:


Требования к серверу:
  • Red Hat Enterprise Linux 5 (32 или 64-bit)
Требования к клиентам:
  • Red Hat Enterprise Linux версий 2.1, 3, 4, 5
  • HP-UX версий 11, 11i v.1 и 2
  • Sun Solaris 2.6, 7, 8, 9, 10
  • AIX 5.1, 5.2, 5.3
  • Mac OS X
  • Microsoft Windows XP/2000
В качестве основы Red Hat Enterprise IPA выступает спонсируемый компанией Red Hat проект FreeIPA. Фактически Red Hat Enterprise IPA - это FreeIPA с поддержкой от Red Hat.

Пара снимков с экрана web-интерфейса тестового сервера FreeIPA. Red Hat Enterprise IPA должен отличаться только логотипами:



FreeIPA включен в репозиторий Fedora 9. Все, что нужно для установки - это отдать команду:

yum install ipa-server

или

yum install ipa-client

При разработке версии 1 основное внимание было уделено централизованному управлению пользователями и аутентификацией. В следующих версиях будут добавлены функции централизованного управления сервисами, физическими и виртуальными машинами. Также будут реализованы централизованные политики управления sudoers и аудита.

Кроме того, Red Hat Enterprise IPA/Free IPA используется для аутентификации и авторизации в другом представленном на днях проекте Red Hat - решении для виртуализации на основе KVM - oVirt.

Ссылки:
http://www.redhat.com/promo/ipa/ - Страница Red Hat Enterprise IPA на сайте Red Hat
http://freeipa.org - Проект FreeIPA
http://www.markelov.net/articles.php?lng=ru&pg=2363 - мой обзор Fedora Directory Server, являющегося основой Red Hat Enterprise IPA и FreeIPA

5 комментариев:

Анонимный комментирует...

А можно как-нибудь с Вами в IM пообщаться?:) Есть один вопросик по IPA. Собственно я его развернул и даже подружил с ним свой мак, но не могу попасть в веб-интерфейс(хотя по ssh спокойно захожу с помощью тикета), пытаюсь заходить под юзером admin, пишет что не хватает привелегий. Может каким-то другим юзером надо?:)

Andrey Markelov комментирует...

Я думаю подобные вопросы правильнее задавать в список рассылки Freeipa-users который как-раз посвещен вопросам использования, настройки и внедрения FreeIPA. https://www.redhat.com/mailman/listinfo/freeipa-users

Анонимный комментирует...

Да я уже разобрался :) это так странно работает керберос в сафари, в ффоксе все замечательно.

Анонимный комментирует...

А где можно прочитать в чем различия между IPA и 389 server?

/С уважением, Константин/

Andrey Markelov комментирует...

> А где можно прочитать в чем различия между IPA и 389 server?

389 server входит в состав IPA как один из компонентов. Поэтому нужно читать не про различия IPA и 389 server, а про различия 389 как отдельного продукта и 389 в составе IPA. Если кратко, то различия в схеме сервера каталога, которая идет "по умолчанию" и утилитах управления. Читать нужно на сайте IPA.