Pesquisar

Capítulo 1. Visão geral do planejamento para IdM e controle de acesso na RHEL

download PDF

As seções seguintes fornecem uma visão geral das opções para gerenciamento de identidade (IdM) e controle de acesso no Red Hat Enterprise Linux. Após ler estas seções, você poderá se aproximar da etapa de planejamento de seu ambiente.

1.1. Introdução à IdM

Este módulo explica o propósito do Gerenciamento de Identidade (IdM) no Red Hat Enterprise Linux. Ele também fornece informações básicas sobre o domínio IdM, incluindo as máquinas clientes e servidores que fazem parte do domínio.

O objetivo do IdM no Red Hat Enterprise Linux

O IdM no Red Hat Enterprise Linux fornece uma forma centralizada e unificada de gerenciar lojas de identidade, autenticação, políticas e políticas de autorização em um domínio baseado no Linux. O IdM reduz significativamente a sobrecarga administrativa de gerenciar diferentes serviços individualmente e usar diferentes ferramentas em diferentes máquinas.

IdM é uma das poucas soluções centralizadas de software de identidade, política e autorização que suportam:

  • Características avançadas dos ambientes do sistema operacional Linux
  • Unificando grandes grupos de máquinas Linux
  • Integração nativa com o Active Directory

IdM cria um domínio baseado em Linux e controlado por Linux:

  • IdM se baseia em ferramentas e protocolos Linux existentes e nativos. Tem seus próprios processos e configurações, mas suas tecnologias subjacentes são bem estabelecidas em sistemas Linux e confiáveis pelos administradores Linux.
  • Os servidores e clientes da IdM são máquinas Red Hat Enterprise Linux. Os clientes IdM também podem ser outras distribuições Linux e UNIX se eles suportarem protocolos padrão. O cliente Windows não pode ser um membro do domínio IdM mas o usuário logado em sistemas Windows gerenciados pelo Active Directory (AD) pode se conectar a clientes Linux ou acessar serviços gerenciados pelo IdM. Isto é conseguido através do estabelecimento de confiança florestal entre os domínios AD e IdM.

Gerenciando identidades e políticas em múltiplos servidores Linux

Without IdM: Cada servidor é administrado separadamente. Todas as senhas são salvas nas máquinas locais. O administrador de TI gerencia os usuários em cada máquina, define as políticas de autenticação e autorização separadamente e mantém as senhas locais. Entretanto, mais freqüentemente os usuários confiam em outra solução centralizada, por exemplo, integração direta com AD. Os sistemas podem ser integrados diretamente com o AD usando várias soluções diferentes:

  • Ferramentas Legacy Linux (não é recomendado o uso)
  • Solução baseada em Samba winbind (recomendada para casos específicos de uso)
  • Solução baseada em um software de terceiros (geralmente requer uma licença de outro fornecedor)
  • Solução baseada em SSSD (Linux nativo e recomendado para a maioria dos casos de uso)

With IdM: O administrador de TI pode:

  • Manter as identidades em um lugar central: o servidor IdM
  • Aplicar as políticas de maneira uniforme a múltiplos de máquinas ao mesmo tempo
  • Estabelecer diferentes níveis de acesso para os usuários usando controle de acesso baseado em host, delegação, e outras regras
  • Administrar de forma centralizada as regras de escalada de privilégios
  • Definir como os diretórios residenciais são montados

SSO Empresarial

No caso da IdM Enterprise, o single sign-on (SSO) é implementado alavancando o protocolo Kerberos. Este protocolo é popular no nível de infra-estrutura e permite SSO com serviços como SSH, LDAP, NFS, CUPS, ou DNS. Serviços web que utilizam diferentes pilhas web (Apache, EAP, Django, e outros) também podem ser habilitados para usar o Kerberos para SSO. Entretanto, a prática mostra que o uso de OpenID Connect ou SAML baseado em SSO é mais conveniente para aplicações web. Para fazer a ponte entre as duas camadas, recomenda-se implantar uma solução Identity Provider (IdP) que seria capaz de converter a autenticação Kerberos em um bilhete OpenID Connect ou afirmação SAML. A tecnologia SSO da Red Hat baseada no projeto de código aberto Keycloak é um exemplo de tal IdP

Without IdM: Os usuários acessam o sistema e são solicitados a obter uma senha toda vez que acessam um serviço ou aplicativo. Estas senhas podem ser diferentes, e os usuários têm que lembrar qual credencial usar para qual aplicação.

With Idm: Após o login dos usuários no sistema, eles podem acessar vários serviços e aplicações sem serem repetidamente solicitados por suas credenciais. Isto ajuda a:

  • Melhorar a usabilidade
  • Reduzir o risco de segurança de senhas escritas ou armazenadas de forma insegura
  • Aumentar a produtividade do usuário

Gerenciando um ambiente Linux e Windows misto

Without IdM: Os sistemas Windows são gerenciados em uma floresta AD, mas o desenvolvimento, produção e outras equipes têm muitos sistemas Linux. Os sistemas Linux são excluídos do ambiente AD.

With IdM: O administrador de TI pode:

  • Gerenciar os sistemas Linux usando ferramentas nativas Linux
  • Integrar os sistemas Linux nos ambientes gerenciados centralmente pelo Active Directory, preservando assim uma loja de usuários centralizada.
  • Implantar facilmente novos sistemas Linux em escala ou conforme a necessidade.
  • Reagir rapidamente às necessidades comerciais e tomar decisões relacionadas ao gerenciamento da infra-estrutura Linux sem depender de outras equipes, evitando atrasos.

Contrastando o IdM com um Diretório LDAP padrão

Um diretório LDAP padrão, como o Red Hat Directory Server, é um diretório de uso geral: ele pode ser personalizado para se adequar a uma ampla gama de casos de uso.

  • Esquema: um esquema flexível que pode ser personalizado para uma vasta gama de entradas, tais como usuários, máquinas, entidades de rede, equipamentos físicos ou edifícios.
  • Tipicamente utilizado como: um diretório back-end para armazenar dados para outras aplicações, tais como aplicações comerciais que fornecem serviços na Internet.

IdM tem um propósito específico: gerenciar as identidades internas, internas à empresa, bem como as políticas de autenticação e autorização que se relacionam com essas identidades.

  • Esquema: um esquema específico que define um conjunto particular de entradas relevantes para sua finalidade, tais como entradas para identidades de usuários ou máquinas.
  • Normalmente utilizado como: o servidor de identidade e autenticação para gerenciar identidades dentro dos limites de uma empresa ou de um projeto.

A tecnologia subjacente do servidor de diretório é a mesma tanto para o Red Hat Directory Server quanto para o IdM. Entretanto, o IdM é otimizado para gerenciar as identidades dentro da empresa. Isto limita sua extensibilidade geral, mas também traz certos benefícios: configuração mais simples, melhor automação do gerenciamento de recursos e maior eficiência no gerenciamento de identidades empresariais.

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.