Integrare FreeIPA o RH IdM in un ambiente MS AD esistente

Voglio distribuire FreeIPA o Red Hat IdM nel mio ambiente esistente

Attualmente il mio dominio è gestito da MS AD controllato da un gruppo separato. Supponiamo che cambiare qualcosa nel MS AD sarà difficile o imansible per motivi politici.

  • Spostare lo spazio da un volume a altro
  • Reindirizzamento cartella specifica per sito tramite criteri di gruppo
  • Creazione di directory sotto / mnt durante% post di Kickstart
  • Postfix inoltra le mail specifiche dalla coda HOLD
  • bash bloccato a 3.2-24.el5 (Redhat)
  • ripristino delle autorizzazioni allo schema AD
  • Per Linux ho recentemente configurato i sisthemes per utilizzare l'authentication Kerberos di password fornita direttamente da MS AD, utilizzando SSSD su Enterprise Linux. Le informazioni sull'identity framework; sono ancora fornite sul sistema locale.

    Il mio più grande hangup in questo momento è capire come proporre il nuovo spazio per il nome di dominio.

    Posso utilizzare un sotto-dominio del nostro dominio MS AD e debind il controllo a FreeIPA?

    Penso che possa essere desiderabile che le configurazioni di Kerberos puntino direttamente a MS AD, è già estremamente resistente, perché non approfittare dell'infrastruttura esistente? Ma sarà più difficile che vale la pena? Non sono sicuro di come le cose si integrano.

    Prendilo in considerazione:

    Il nostro standard di denominazione host è qualcosa di simile a questo "app-id-dev / prd.domain.com". Così per esempio: "server01dev.domain.com"

    Con la politica non duplica l'ID del server tra gli ambienti dev / prd, quindi stavo pensando che un modo perfetto per utilizzare i sotto-domini sarebbe quello di convertire l'esempio precedente in "server01.dev.domain.com". Una caratteristica piacevole di questo sarebbe che quando si specifica il nome corto di un host non dovremmo specificare più dev / prd se il nostro ordine di ricerca di dominio è impostato correttamente sul client.

    Vantaggio percepito: Questo mi permetterebbe di diventare CA per quei sotto-domini. Questo dovrebbe semplificare qualsiasi certificato relativo alla strada.

    Svantaggio percepito: cosa significa per l'authentication? Ancora desidero che gli utenti autenticino usando un nome utente già esistente nel dominio originale. Esempio: user0321@DOMAIN.COM non user0321@DEV.DOMAIN.COM

    Un altro dubbio che ho è se esista un certo punto nell'utilizzo diretto di MS Kerberos AD, poiché se le informazioni sull'identity framework; non sono disponibili dal FreeIPA LDAP, impedirà all'utente di accedere correttamente a less che non dispongano di un'identity framework; locale sul sistema client.

    Se questo è un vero problema, mi fa domandare se è ansible sincronizzare le informazioni LDAP FreeIPA con AD, ma credo che gli utenti dovrebbero essere creati nel sottodominio.

    Oppure, dovrei buttare via qualsiasi idea di utilizzare MS AD direttamente per la resilienza e accettare che ho bisogno di creare un ambiente Resiliente FreeIPA / RH IdM?

    One Solution collect form web for “Integrare FreeIPA o RH IdM in un ambiente MS AD esistente”

    In primo luogo, userò FreeIPA e Red Hat Enterprise IdM in modo intercambiabile. Se questo provoca fastidio, lasciathemes suggerire una bevanda.

    FreeIPA dovrebbe essere un regno Kerberos separato da Active Directory e dovrebbe utilizzare una zona DNS separata corrispondente al regno di Krb5. Se il dominio AD utilizza la zona DNS "domain.com" con zone bambini "dev" e "prd", si desidera creare una nuova zona DNS denominata qualcosa come "idm.domain.com" e tutti i sotto-regioni sotto esso. Vorresti creare un regno di Krb5 chiamato "IDM.DOMAIN.COM", con tutti i UPN come USER@IDM.DOMAIN.COM e tutti gli SPN come HOST / SERVER123.IDM.DOMAIN.COM o simili (forse WWW / SERVER123. PRD.IDM.DOMAIN.COM ).

    È ansible utilizzare la stessa zona DNS come AD, ma è un'idea veramente ctriggers. Non solo perdete la scoperta di servizio utilizzando DNS, devi eseguire mappe manuali e probabilmente avrai difficoltà a risolvere i problemi dei client che tentano di submit un token Krb che non è appropriato ai server del dominio IdM

    Dovresti lavorare con il team AD alless brevemente per disporre di un trust di cross-domain. Potrebbero volerlo essere una fiducia unidirezionale, where AD è il dominio Trusted e FreeIPA è il dominio Trusting. Nella maggior parte dei casi, questo non dovrebbe essere un problema.

    A questo punto, la versione di FreeIPA che viene fornita con RHEL 7 non support la creazione di trust con il dominio AD-forest-apex e il passaggio verso il basso ai domini dei figli per l'authentication. Mi è stato detto in RHEL 7u1, questo sarà rimediato, poiché il supporto della fiducia transitoria verrà aggiunto a FreeIPA, ma non sto tenendo il respiro finché non vedo la list delle caratteristiche un giorno dopo il block di codice. Come un lavoro, dovresti essere in grado di impostare la fiducia nel dominio figlio in cui i privilegi degli utenti vengono concessi.

    Sto lavorando su uno sforzo simile. Buona fortuna, dimmi come funziona. Sono abbastanza fortunato ad avere il team AD come elemento della mia squadra (e sono seduti proprio di fronte a me). Raggiungiamo lo stesso leader a livello di squadra (unità di squadre) e abbiamo molto supporto dal nostro leader di divisione, che vuole vedere che questa integrazione abbia successo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.