freeIPA使用过程中遇到的坑

越来越多大数据公司开始注意平台安全,hadoop生态圈也发展出了一些安全相关的组件,CDH的sentry,HDP的ranger等,但是其中的用户管理和认证部分还是依赖一些外部软件,通常有这么几种:

  • 微软的ACTIVE DIRECTORY
  • MIT KERBEROS+OPEN LDAP
  • freeIPA/IdM

微软的AD,要授权的,所以最少人用,后面两个用的多一些,freeIPA集成了KDC,LDAP,SSSD,DNS,NTP,HTTP…一整套方案,足不出户搞定安全认证,配置起来要比单独配置KDC+LDAP简单许多,功能还强大,感谢伟大的红帽子团队——是不是感觉特别高大上,然后一股脑的就上了这套东西,之后的坑,踩到你腿烂,即便你买了红帽的订阅。因为他们自己对这套东西了解的人也是少之又少,一个问题要辗转多个team,最后还未必找到症结。。。
继续阅读“freeIPA使用过程中遇到的坑”