1.2. 常见 IdM 客户场景及其解决方案
了解 Linux 和 Windows 环境中常见身份管理和访问控制用例的示例,以及它们的解决方案。
场景 1
- 情况
您是贵公司的 Windows 管理员。
除了 Windows 系统外,您还需要管理一些 Linux 系统。
因为您无法将环境的任何部分控制委派给 Linux 管理员,所以您必须处理 Active Directory (AD) 中的所有安全控制。
- 解决方案
如果您希望在 LDAP 服务器中集中定义
sudo
规则,您必须在 AD 域控制器 (DC) 中实施模式扩展。如果您没有实施此扩展的权限,请考虑安装身份管理(IdM)- 请参阅下面的 Scenario 3。因为 IdM 已经包含 schema 扩展,您可以在 IdM 中直接管理sudo
规则。- 如果您期望将来需要更多 Linux 技能,请进一步建议
与 Linux 社区联系,了解他人如何管理身份:用户、主机和服务。
研究最佳实践。
您需要更加熟悉 Linux:
- 尽可能使用 RHEL web 控制台。
- 尽可能在命令行中使用简单命令。
- 参加红帽系统管理课程。
场景 2
场景 3
- 情况
您是贵公司的 Linux 管理员,您必须将 Linux 系统与公司 Windows 服务器集成。您希望保持对 Linux 系统的唯一访问权限控制者。
不同的用户需要对 Linux 系统有不同的访问级别,但它们都位于 AD 中。
- 解决方案
- 由于 AD 控制不够强大,因此您必须在 Linux 端配置对 Linux 系统的访问控制。安装 IdM 和 建立 IdM-AD 信任。
- 进一步建议增强环境安全性
安装 IdM 后,配置 基于主机的访问控制 和 sudo 规则。这些是保持安全最佳实践限制访问权限和最小特权所必需的。
为满足您的安全目标,开发一个统一的 Identity and Access Management (IAM)策略,它使用协议来保护基础架构和应用程序层。
场景 4
- 情况
- 作为安全管理员,您必须在所有环境中管理身份和访问,包括所有红帽产品。您必须在一个位置管理所有身份,并在所有平台、云和产品中保持访问控制。
- 解决方案
- 集成 IdM、红帽单点登录、Red Hat Satellite、Red Hat Ansible Automation Platform 和其他红帽产品。
场景 5
- 情况
- 作为国防部 (DoD) 或 Intelligence Community (IC) 环境的安全性和系统管理员,您需要使用智能卡或 RSA 身份验证。您需要使用 PIV 证书或 RSA 令牌。
- 解决方案
- 在 IdM 中配置证书映射。
- 如果存在 IdM-AD 信任,请确保已启用 GSSAPI 委派。
- 为 RSA 令牌配置 IdM 中的 radius 配置。
- 为智能卡验证配置 IdM 服务器和 IdM 客户端。
其他资源
- 使用 Ansible 自动执行您的 IdM 任务,以减少客户端配置时间和复杂性并减少错误。