第 1 章 红帽身份管理简介
1.1. 红帽身份管理的目标
红帽身份管理(IdM)为在基于 Linux 的域中管理身份存储、身份验证、策略和授权策略提供集中和统一的方式。IdM 可显著降低单独管理不同服务以及在不同机器上使用不同工具的管理开销。
IdM 是一个用于中央化身份、策略和授权的软件解决方案,它支持:
- Linux 操作系统环境的高级特性
- 统一大型的 Linux 机器组
- 与 Active Directory 的原生集成
IdM 创建一个基于 Linux 并由 Linux 控制的域:
- IdM 基于现有的原生 Linux 工具和协议构建。它有自己的进程和配置,但其底层的技术已在 Linux 系统中广泛使用,并被 Linux 管理员信任。
- IdM 服务器和客户端是 Red Hat Enterprise Linux 机器。但是,即使 IdM 不支持 Windows 客户端,它也允许与 Active Directory 环境集成。注意本指南描述了仅在 Linux 环境中使用 IdM。有关与 Active Directory 集成的更多信息,请参阅《 Windows 集成指南 》。有关 Samba 套件的详情,允许将 Linux 计算机集成到 Active Directory 环境中,请参阅 Windows 集成指南中的 使用 Samba 进行 Active Directory 集成 章节。如果您使用 Samba 作为服务器,请注意,将服务器集成到 IdM 域中,并验证连接到 IdM 或可信 Active Directory 域的用户。
1.1.1. IdM 的优势分支示例
- 使用几个 Linux 服务器管理身份和策略
- 没有 IdM:每个服务器都会单独管理。所有密码都保存在本地机器上。IT 管理员管理每台计算机上的用户,单独设置身份验证和授权策略,并且维护本地密码。使用 IdM:IT 管理员可以:
- 在一个中央位置管理用户的身份:IdM 服务器
- 同时对多个机器统一应用策略
- 使用基于主机的访问控制、委托和其他规则为用户设置不同的访问级别
- 集中管理权限升级规则
- 定义如何挂载主目录
- 企业单点登录
- 没有 IdM:用户登录系统,每次访问服务或应用时都会提示输入密码。这些密码可能有所不同,用户必须记住使用哪个凭证。使用 IdM:用户登录系统后,他们可以访问多个服务和应用程序,而无需重复请求其凭据。它包括:
- 提高可用性
- 降低以不安全方式写入或保存密码的安全风险
- 提高用户的生产率
- 管理一个混合了 Linux 和 Windows 的环境
- 没有 IdM:Windows 系统在 Active Directory 林中管理,但开发、生产和其他团队具有许多 Linux 系统。Linux 系统不包含在 Active Directory 环境中。使用 IdM:IT 管理员可以:
- 使用原生 Linux 工具管理 Linux 系统
- 将 Linux 系统与 Windows 系统集成,从而保留集中式用户存储
- 轻松扩展 Linux 基础
- 单独管理 Linux 和 Active Directory 机器,使 Linux 和 Windows 管理员能够直接控制其环境
1.1.2. 将身份管理与标准 LDAP 目录进行比较
标准 LDAP 目录(如红帽目录服务器)是一个通用用途目录:可以自定义,以适应广泛的用例。
- Schema:一种可针对大量条目(如用户、计算机、网络实体、物理设备或设施)自定义的灵活方案。
- 通常用作:用于存储其他应用的数据的后端目录,如在 Internet 上提供服务的业务应用程序。
身份管理(IdM)具有特定目的:管理身份以及与这些身份相关的身份验证和授权策略。
- Schema:定义一组与其目的相关的特定条目的特定架构,如用于用户身份或机器身份的条目。
- 通常,身份和验证服务器用于在企业或项目边界内管理身份。
红帽目录服务器和 IdM 的底层目录服务器技术是相同的。但是,IdM 被优化来管理身份。这限制了其一般的可扩展性,但也带来了一些好处:更简单的配置、更好的资源管理自动化和更高的管理身份的效率。
其它资源
- 红帽企业 Linux 博客上的身份管理或红帽目录服务器 - 应该使用一个 目录服务器?