В предыдущей статье обзора CentOS 7 было рассказано о поддержке контейнеров Linux в Cent OS 7. Эта статья посвящена управлению идентификацией и интеграции с Active Directory. В конце поста ссылка на бесплатное тестирование CentOS 7 в облаке InfoboxCloud.
Ежедневно мы читаем в новостях об утечках данных пользователей. Возможность предоставления доступа к важной информации только правильным людям с правильными учетными записями критична для обеспечения информационной безопасности в вашей инфраструктуре. Критична, но не всегда просто реализуема.
До недавнего времени возможности по централизованному управлению идентификацией в Linux были ограничены. Не было готового «под ключ» контроллера домена. Некоторые дистрибутивы Linux встраивали open-source инструменты Kerberos и DNS для создания централизованного механизма управления идентификацией, основанного на Linux. Этот способ мог занимать много времени для настройки и обслуживания. Некоторые интегрировали клиентов Linux напрямую в Microsoft Active Directory, но этот подход ограничивал возможности использования некоторых стандартных инструментов Linux, например sudo и automount.
Управление идентификацией IdM
С момента выхода 6.4, CentOS включает в себя управлениe идентификацией (Identity Management, IdM) — набор функций, предоставляющих централизованный и простой способ управления идентификаторами пользователей, машин и сервисов в больших Linux/Unix корпоративных инсталляциях. IdM предоставляет способ определения политик безопасности доступа для управления этими идентификаторами. Основа управления идентификацией была разработана в рамках открытого проекта FreeIPA, объединяющего стандартные сетевые сервисы общего назначения в единую систему управления: PAM, LDAP, Kerberos, DNS, NTP и сервисами сертификации. Это позволяет системам на CentOS работать в качестве контроллеров доменов в среде Linux. Из-за того, что функция управления идентификацией встроена в CentOS – достаточно просто добавить управление политиками и идентификацией в ваш рабочий процесс.
Интеграция IdM и Active Directory в Cent OS 7
Для многих организаций, Active Directory (AD) – центр управления идентификационными данными пользователей внутри предприятия. Все системы, к которым могут получать доступ пользователи AD, должны уметь работать с AD для выполнения аутентификации и проверки идентификационных данных.
Управление идентификацией в CentOS 7 позволяет организовать два способа интеграции Linux систем в окружение Active Directory:
- Прямая интеграция. Linux системы могут быть соединены с Active Directory напрямую с помощью компонента System Security Services Daemon (SSSD). Компонент выступает в качестве шлюза аутентификации и проверки идентификационных данных в центральное хранилище идентификаций. SSSD может быть легко настроен с помощью нового компонента realmd. Realmd обнаруживает доступные домены на основе записей DNS и настраивает SSSD для взаимодействия с правильным источником идентификации. С помощью Realmd можно соединить любую Linux систему с IdM или AD, как показано ниже. После того, как система вошла в домен, пользователи домена могут получать доступ к ней. Пользователи смогут использовать аутентификацию и управление POSIX атрибутами, а Linux узнает о вступлении в группу. SSSD в этой инсталляции заменяет компонент winbind, используемый ранее. Однако если вы планируете использовать обмен файлами CIFS на Linux, вам придется настроить winbind.
- Непрямая интеграция. Прямая интеграция ограничена использованием только аутентификации и идентификационных данных, относящихся к пользователям. Система не получает политики и данные, контролирующие доступ в корпоративных окружениях. Системы Linux могут получать политики (например на sudo), правила контроля доступа хоста, automount, netgroups, SELinux и другие возможности из центрального сервера идентификации. Сервер управления идентификацией обеспечивает централизованное управление системами Linux, давая им идентификаторы, права и предоставляя централизованно управляемые политики для Linux, перечисленные выше. В большинстве корпоративных окружений, пользователи Active Directory должны иметь доступ и к Linux ресурсам. Это может быть достигнуто с помощью установки доверенных отношений между серверами IdM и AD. Диаграмма ниже показывает как пользователи из леса Active Directory получают доступ к системам Linux, входя в домен IdM.
Управление идентификацией в CentOS 7 добавляет новые возможности в SSSD (клиент) и IdM сервер, которые делают управление идентификацией более простым и функциональным, включая поддержку доверия доменов, улучшения в пользовательском интерфейсе и прототип функции бекапа и восстановления.
Использованные в подготовке статьи источники:
Linux Domain Identity, authentication, and policy guide в Red Hat Network, применимый и для CentOS 7
Oфициальный блог RedHat
База знаний RedHat
Официальный блог CentOS
Специально для наших читателей мы обеспечили возможность попробовать CentOS 7 в облаке InfoboxCloud. Регистрируйте пробную версию на 15 дней по этой ссылке. Если вам нужно больше ресурсов для тестирования, чем в пробной версии — напишите на trukhinyuri@infoboxcloud.com
Успешного использования CentOS 7! Продолжение следует.
Автор: infobox