FreeIPA ( акроним от англ. Free Identity, Policy and Audit ) — открытое программное обеспечение , специализированная служба каталогов , предназначенная для создания в ОС Linux среды, позволяющей централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита . Функционал FreeIPA подобен Active Directory , используемому в Windows .

Развитие проекта осуществляется сообществом разработчиков при спонсорской поддержке Red Hat .

Серверная часть FreeIPA разработана только для дистрибутивов Linux, основанных на коде Red Hat (Centos, Fedora и прочих), а клиентская часть реализована также и для других дистрибутивов Linux, операционных систем и платформ, в частности, для Debian , Ubuntu , openSUSE , AIX , HP-UX , Solaris .

История разработки

В мае 2008 года код FreeIPA увидел свет в составе ОС Fedora 9 .

В октябре 2009 года началась работа над FreeIPA 2.0 (был а начата соответствующая ветка разработки), и в конце марта 2011 года, в ходе « Fedora 15 Test Day » был выпущен релиз FreeIPA 2.0 .

На 2012 год во FreeIPA были реализованы :

• централизованное управление учетными записями пользователей, групп, компьютеров и сервисов;
• управление доступом к приложениям, установка политик паролей и настроек Kerberos, управление правилами SUDO;
• аутентификация Kerberos для пользователей и узлов;
• управление и хранение ролей в LDAP ( англ. HBAC — Host Based Access Control );
• служба управления сертификатами ( англ. Dogtag Certificate Server , DCS ).

Начиная с версии 3.0.0, во FreeIPA реализована интеграция с Active Directory посредством доверительных отношений, для чего используется Samba .

Архитектура и возможности FreeIPA

FreeIPA представляет собой специализированный контроллер домена , используемые им механизмы похожи на таковые в Active Directory , разработанной Microsoft . Он не является сервером каталогов общего назначения ( Red Hat Directory Server , Fedora Directory Server и подобных) .

Во FreeIPA предусмотрены следующие функциональные элементы :

1. серверы (один или несколько);
2. клиентские компьютеры;
3. компьютер администратора (клиентский компьютер с консольными программами для дистанционного управления FreeIPA ) — он не является необходимым компонентом, поскольку во FreeIPA реализовано управление с помощью веб-интерфейса, запускаемого на сервере.

FreeIPA сделан модульным как в серверной, так и в клиентской его части .

Компоненты FreeIPA :

• сервер LDAP : 389 Directory Server ;
• служба аутентификации и единого входа: MIT Kerberos ;
• служба управления сертификатами: DogTag ;
• служба синхронизации времени: NTP ;
• служба для управления DNS : BIND
• служба DHCP ;
• средство интеграции с Active Directory : Samba (начиная с FreeIPA 3.0.0 );
• веб-интерфейс управления (написан на Java ).

С целью снижения нагрузки на сервер у клиентов для хранения настроек используется локальный кеш (LDB и XML) .

Управление политиками во FreeIPA реализовано правилами HBAC ( англ. host based access control — управление доступом на уровне узла), которые описывают, какие службы доступны пользователям на конкретном зарегистрированном во FreeIPA хосте (компьютере) .

FreeIPA позволяет гибко делегировать пользователям отдельные роли, не раскрывая им пароль администратора. К примеру, роль Enroll hosts даёт возможность пользователю регистрировать хосты в каталоге FreeIPA .

Во FreeIPA есть возможность построения многоуровневой системы управления доступом, в которой, например, руководителю подразделения можно дать полномочия добавлять в группу этого подразделения новых пользователей .

Использование

FreeIPA служит основой для других решений, например, Red Hat (спонсор разработки FreeIPA ) использует FreeIPA как основу для Red Hat Identity Manager , а в Astra linux на нём реализован глобальный каталог в ALD Pro .

Примечания

Литература

• Кантер, Л. // Системный администратор : журн. — 2018. — Вып. 10 (191).
• Wirth, K. IPA – Identity, Policy, Audit / K. Wirth, K. Unthank. — Red Hat, 2008. — 12 p. — (Red Hat Summit 2008, Boston, Jun 18–29).
• // Хакер : журн. — 2012. — 30 марта.

Ссылки

• — официальный сайт FreeIPA
• Калошин, В. . — 2016. — 28 января.