Меню
Главная
Случайная статья
Настройки
|
FreeIPA (акроним от англ. Free Identity, Policy and Audit) — открытое программное обеспечение, специализированная служба каталогов, предназначенная для создания в ОС Linux среды, позволяющей централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита. Функциональные возможности приближены к Active Directory, используемому в Windows[5][6].
Развитие проекта осуществляется сообществом разработчиков при спонсорской поддержке Red Hat[5].
Серверная часть разработана только для дистрибутивов Linux, основанных на коде Red Hat (Centos, Fedora и прочих), а клиентская часть реализована также и для других дистрибутивов Linux (в том числе Debian, Ubuntu, openSUSE, так и для ряда других unix-систем (в том числе AIX, HP-UX, Solaris)[5].
Первый выпуск опубликован в мае 2008 года и вошёл в дистрибутив Fedora 9[5]. В октябре 2009 года началась работа над версией 2.0 как отдельной ветки, в конце марта 2011 года выпущена в составе Fedora 15[5].
Основные функции по состоянию на 2012 год[5]:
- централизованное управление учётными записями пользователей, групп, компьютеров и сервисов;
- управление доступом к приложениям, установка политик паролей и настроек Kerberos, управление правилами sudo;
- аутентификация Kerberos для пользователей и узлов;
- управление и хранение ролей в LDAP (англ. HBAC — Host Based Access Control);
- служба управления сертификатами (англ. Dogtag Certificate Server, DCS).
Начиная с версии 3.0.0 во FreeIPA реализована интеграция с Active Directory посредством доверительных отношений, для чего используется Samba[6].
Содержание
Архитектура и возможности FreeIPA
Предусмотрены следующие функциональные элементы[5]:
- серверы (один или несколько);
- клиентские компьютеры;
- компьютер администратора (клиентский компьютер с консольными программами для дистанционного управления FreeIPA) — он не является необходимым компонентом, поскольку во FreeIPA реализовано управление с помощью веб-интерфейса, запускаемого на сервере.
Реализован модульным как в серверной, так и в клиентской его части[5].
Компоненты[6]:
- сервер LDAP: 389 Directory Server;
- служба аутентификации и единого входа: MIT Kerberos;
- служба управления сертификатами: DogTag;
- служба синхронизации времени: NTP;
- служба для управления DNS: BIND;
- служба DHCP;
- средство интеграции с Active Directory: Samba (начиная c 3.0.0);
- веб-интерфейс управления (написан на Java[5]).
С целью снижения нагрузки на сервер у клиентов для хранения настроек используется локальный кеш (LDB и XML)[5].
Управление политиками реализовано правилами HBAC (англ. host based access control — управление доступом на уровне узла), которые описывают, какие службы доступны пользователям на конкретном зарегистрированном во FreeIPA хосте (компьютере)[6].
FreeIPA позволяет гибко делегировать пользователям отдельные роли, не раскрывая им пароль администратора. К примеру, роль Enroll hosts даёт возможность пользователю регистрировать хосты в каталоге FreeIPA[6].
Есть возможность построения многоуровневой системы управления доступом, в которой, например, руководителю подразделения можно дать полномочия добавлять в группу этого подразделения новых пользователей[6].
Примечания
- Python Coding Style - FreeIPA (неопр.). Дата обращения: 16 ноября 2017. Архивировано 16 ноября 2017 года.
- FreeIPA Code Analysis // Ohloh.net
- Coding Style - FreeIPA (неопр.). Дата обращения: 16 ноября 2017. Архивировано 16 ноября 2017 года.
- https://www.freeipa.org/release-notes/4-12-1.html
- 1 2 3 4 5 6 7 8 9 10 Хакер, 2012, 05. FreeIPA.
- 1 2 3 4 5 6 Кантер, 2018.
Литература
Ссылки
|
|