ApoyoConsolaDesarrolladoresIniciar una pruebaContacto

Capítulo 1. Visión general de la planificación de IdM y control de acceso en RHEL

Las secciones siguientes proporcionan una visión general de las opciones para la gestión de identidades (IdM) y el control de acceso en Red Hat Enterprise Linux. Después de leer estas secciones, podrá abordar la etapa de planificación de su entorno.

1.1. Introducción a la IdM

Este módulo explica el propósito de la Gestión de identidades (IdM) en Red Hat Enterprise Linux. También proporciona información básica sobre el dominio IdM, incluyendo las máquinas cliente y servidoras que forman parte del dominio.

El objetivo de IdM en Red Hat Enterprise Linux

IdM en Red Hat Enterprise Linux proporciona una forma centralizada y unificada de gestionar almacenes de identidad, autenticación, políticas y políticas de autorización en un dominio basado en Linux. IdM reduce significativamente la sobrecarga administrativa de la gestión de diferentes servicios de forma individual y el uso de diferentes herramientas en diferentes máquinas.

IdM es una de las pocas soluciones de software de identidad, política y autorización centralizadas que admiten:

  • Características avanzadas de los entornos del sistema operativo Linux
  • Unificación de grandes grupos de máquinas Linux
  • Integración nativa con Active Directory

IdM crea un dominio basado y controlado por Linux:

  • IdM se basa en herramientas y protocolos nativos de Linux ya existentes. Tiene sus propios procesos y configuración, pero sus tecnologías subyacentes están bien establecidas en los sistemas Linux y son de confianza para los administradores de Linux.
  • Los servidores y clientes de IdM son máquinas Red Hat Enterprise Linux. Los clientes de IdM también pueden ser otras distribuciones de Linux y UNIX si soportan los protocolos estándar. Los clientes Windows no pueden ser miembros del dominio IdM, pero los usuarios que inician sesión en sistemas Windows gestionados por Active Directory (AD) pueden conectarse a clientes Linux o acceder a servicios gestionados por IdM. Esto se consigue estableciendo una confianza cruzada entre los dominios AD e IdM.

Gestión de identidades y políticas en múltiples servidores Linux

Without IdM: Cada servidor se administra por separado. Todas las contraseñas se guardan en las máquinas locales. El administrador de TI gestiona los usuarios en cada máquina, establece las políticas de autenticación y autorización por separado y mantiene las contraseñas locales. Sin embargo, lo más frecuente es que los usuarios confíen en otra solución centralizada, por ejemplo la integración directa con AD. Los sistemas pueden integrarse directamente con AD utilizando varias soluciones diferentes:

  • Herramientas heredadas de Linux (no se recomienda su uso)
  • Solución basada en Samba winbind (recomendada para casos de uso específicos)
  • Solución basada en un software de terceros (suele requerir una licencia de otro proveedor)
  • Solución basada en SSSD (nativo de Linux y recomendado para la mayoría de los casos de uso)

With IdM: El administrador de TI puede:

  • Mantener las identidades en un lugar central: el servidor IdM
  • Aplicar políticas de manera uniforme a múltiples máquinas al mismo tiempo
  • Establezca diferentes niveles de acceso para los usuarios utilizando el control de acceso basado en el host, la delegación y otras reglas
  • Gestionar de forma centralizada las reglas de escalada de privilegios
  • Definir cómo se montan los directorios personales

SSO para empresas

En el caso de IdM Enterprise, el inicio de sesión único (SSO) se implementa aprovechando el protocolo Kerberos. Este protocolo es popular en el nivel de infraestructura y permite el SSO con servicios como SSH, LDAP, NFS, CUPS, o DNS. Los servicios web que utilizan diferentes pilas web (Apache, EAP, Django y otros) también pueden ser habilitados para utilizar Kerberos para el SSO. Sin embargo, la práctica demuestra que el uso de OpenID Connect o SAML basado en SSO es más conveniente para las aplicaciones web. Para unir las dos capas, se recomienda implementar una solución de proveedor de identidad (IdP) que sea capaz de convertir la autenticación Kerberos en un ticket de OpenID Connect o una aserción SAML. La tecnología SSO de Red Hat basada en el proyecto de código abierto Keycloak es un ejemplo de este tipo de IdP

Without IdM: Los usuarios se conectan al sistema y se les pide una contraseña cada vez que acceden a un servicio o aplicación. Estas contraseñas pueden ser diferentes, y los usuarios tienen que recordar qué credencial utilizar para cada aplicación.

With Idm: Después de que los usuarios se conecten al sistema, pueden acceder a múltiples servicios y aplicaciones sin que se les pidan repetidamente sus credenciales. Esto ayuda a:

  • Mejorar la usabilidad
  • Reducir el riesgo de que las contraseñas se escriban o se almacenen de forma insegura
  • Aumentar la productividad de los usuarios

Gestión de un entorno mixto Linux y Windows

Without IdM: Los sistemas Windows se gestionan en un bosque AD, pero los equipos de desarrollo, producción y otros tienen muchos sistemas Linux. Los sistemas Linux están excluidos del entorno AD.

With IdM: El administrador de TI puede:

  • Gestionar los sistemas Linux utilizando herramientas nativas de Linux
  • Integrar los sistemas Linux en los entornos gestionados centralmente por Active Directory, conservando así un almacén de usuarios centralizado.
  • Implante fácilmente nuevos sistemas Linux a escala o según sus necesidades.
  • Reaccionar rápidamente a las necesidades de la empresa y tomar decisiones relacionadas con la gestión de la infraestructura de Linux sin depender de otros equipos evitando retrasos.

Contraste de IdM con un directorio LDAP estándar

Un directorio LDAP estándar, como Red Hat Directory Server, es un directorio de propósito general: puede ser personalizado para adaptarse a una amplia gama de casos de uso.

  • Esquema: un esquema flexible que puede personalizarse para una amplia gama de entradas, como usuarios, máquinas, entidades de red, equipos físicos o edificios.
  • Normalmente se utiliza como: un directorio back-end para almacenar datos para otras aplicaciones, como las aplicaciones empresariales que proporcionan servicios en Internet.

La IdM tiene un propósito específico: gestionar las identidades internas, dentro de la empresa, así como las políticas de autenticación y autorización que se relacionan con estas identidades.

  • Esquema: un esquema específico que define un conjunto particular de entradas relevantes para su propósito, como las entradas para las identidades de usuarios o máquinas.
  • Normalmente se utiliza como: el servidor de identidad y autenticación para gestionar las identidades dentro de los límites de una empresa o un proyecto.

La tecnología del servidor de directorio subyacente es la misma tanto para Red Hat Directory Server como para IdM. Sin embargo, IdM está optimizado para gestionar identidades dentro de la empresa. Esto limita su extensibilidad general, pero también aporta ciertas ventajas: una configuración más sencilla, una mejor automatización de la gestión de recursos y una mayor eficiencia en la gestión de las identidades empresariales.

Recursos adicionales

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.