IPA vs solo LDAP para cajas Linux - buscando una comparación

Hay pocos (~ 30) cuadros de Linux (RHEL) y estoy buscando una solución centralizada y fácil de administrar, principalmente para controlar las cuentas de los usuarios. Estoy familiarizado con LDAP, e implementé un piloto de IPA ver2 de Red Hat (== FreeIPA).

Entiendo que, en teoría, IPA proporciona una solución similar al "dominio MS Windows", pero de un vistazo no es un producto tan fácil y maduro [todavía]. Además de SSO, ¿hay alguna característica de seguridad que esté disponible solo en el dominio IPA y no esté disponible cuando estoy usando LDAP?

No me interesan las partes DNS y NTP del dominio IPA.

En primer lugar, diría que IPA es perfectamente adecuado para un entorno de producción a partir de ahora (y lo ha sido durante bastante tiempo), aunque ya debería estar utilizando la serie 3.x.

IPA no proporciona una solución "MS Windows AD-like", sino que brinda la capacidad de configurar una relación de confianza entre un Active Directory y un dominio IPA, que es un Kerberos REALM, en realidad.

Con respecto a algunas de las características de seguridad que puede usar de forma inmediata con IPA no presente en una instalación LDAP estándar, o Kerberos REALM basado en LDAP, mencionemos algunas:

• almacenar claves SSH para usuarios
• Mapeos de SELinux
• Reglas de HBAC
• reglas de sudo
• establecer políticas de contraseña
• manejo del certificado (X509)

En relación con SSO, tenga en cuenta que la aplicación de destino debe admitir la autenticación Kerberos y la autorización LDAP. O ser capaz de hablar con SSSD.

Por último, no necesita configurar NTP ni DNS si no lo desea, ambos son opcionales. Sin embargo, recomiendo usar ambos, ya que siempre puedes delegar NTP en un estrato más alto y configurar fácilmente los reenviadores para cualquier cosa fuera de tu reino.