1.2. 常见 IdM 客户场景及其解决方案

场景 1

情况

您是贵公司的 Windows 管理员。

除了 Windows 系统外，您还需要管理一些 Linux 系统。

因为您无法将环境的任何部分控制委派给 Linux 管理员，所以您必须处理 Active Directory (AD) 中的所有安全控制。

解决方案

将 Linux 主机直接集成到 AD。

如果您希望在 LDAP 服务器中集中定义 sudo 规则，您必须在 AD 域控制器 (DC) 中实施模式扩展。如果您没有实现此扩展的权限，请考虑安装身份管理(IdM)- 请参阅下面的场景 3。因为 IdM 已经包含模式扩展，所以您可以 在 IdM 中直接管理 sudo 规则。

如果您期望将来需要更多 Linux 技能，请进一步建议

与 Linux 社区联系，了解他人如何管理身份：用户、主机和服务。

研究最佳实践。

您需要更加熟悉 Linux：

• 尽可能使用 RHEL web 控制台。
• 尽可能在命令行中使用简单命令。
• 参加红帽系统管理课程。

场景 2

情况

您是贵公司的 Linux 管理员。

您的 Linux 用户需要不同级别的公司资源访问权限。

您需要密切的集中访问控制您的 Linux 机器。

解决方案

安装 IdM ，并将您的用户迁移到其中。

如果您期望公司在未来扩展，请进一步建议

安装 IdM 后，配置 基于主机的访问控制 和 sudo 规则。这些是保持安全最佳实践限制访问权限和最小特权所必需的。

为满足您的安全目标，开发一种统一的身份和访问管理 (IAM) 策略，它使用协议来保护基础架构和应用程序层。

场景 3

情况

您是贵公司的 Linux 管理员，您必须将 Linux 系统与公司 Windows 服务器集成。您希望保持对 Linux 系统的唯一访问权限控制者。

不同的用户需要对 Linux 系统有不同的访问级别，但它们都位于 AD 中。

解决方案

由于 AD 控制不够强大，因此您必须在 Linux 端配置对 Linux 系统的访问控制。安装 IdM ，并 建立 IdM-AD 信任。

进一步建议增强环境安全性

安装 IdM 后，配置 基于主机的访问控制 和 sudo 规则。这些是保持安全最佳实践限制访问权限和最小特权所必需的。

要满足您的安全目标，开发一个统一的身份和访问管理(IAM)策略，该策略使用协议来保护基础设施和应用程序层。

场景 4

情况

作为安全管理员，您必须在所有环境中管理身份和访问，包括所有红帽产品。您必须在一个位置管理所有身份，并在所有平台、云和产品中保持访问控制。

解决方案

集成 IdM、红帽单点登录、Red Hat Satellite、Red Hat Ansible Automation Platform 和其他红帽产品。

场景 5

情况

作为国防部 (DoD) 或 Intelligence Community (IC) 环境的安全性和系统管理员，您需要使用智能卡或 RSA 身份验证。您需要使用 PIV 证书或 RSA 令牌。

解决方案

1. 在 IdM 中配置证书映射。
2. 如果存在 IdM-AD 信任，请确保已启用 GSSAPI 委派。
3. 为 RSA 令牌配置 IdM 中的 radius 配置。
4. 为智能卡身份验证 配置 IdM 服务器和 IdM 客户端。