FreeIPA

FreeIPA (акроним от англ. Free Identity, Policy and Audit) — открытое программное обеспечение, специализированная служба каталогов, предназначенная для создания в ОС Linux среды, позволяющей централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита. Функциональные возможности приближены к Active Directory, используемому в Windows^[5][6].

FreeIPA
Тип	Управление учётными данными
Разработчик	Red Hat
Написана на	Python[1] JavaScript[2] C[3]
Операционная система	Linux
Последняя версия	4.12.1 (10 июня 2024)[4]
Репозиторий	pagure.io/freeipa
Состояние	активное
Лицензия	GNU GPL
Сайт	freeipa.org
Медиафайлы на Викискладе

Развитие проекта осуществляется сообществом разработчиков при спонсорской поддержке Red Hat^[5].

Серверная часть разработана только для дистрибутивов Linux, основанных на коде Red Hat (Centos, Fedora и прочих), а клиентская часть реализована также и для других дистрибутивов Linux (в том числе Debian, Ubuntu, openSUSE, так и для ряда других unix-систем (в том числе AIX, HP-UX, Solaris)^[5].

Первый выпуск опубликован в мае 2008 года и вошёл в дистрибутив Fedora 9^[5]. В октябре 2009 года началась работа над версией 2.0 как отдельной ветки, в конце марта 2011 года выпущена в составе Fedora 15^[5].

Основные функции по состоянию на 2012 год^[5]:

• централизованное управление учётными записями пользователей, групп, компьютеров и сервисов;
• управление доступом к приложениям, установка политик паролей и настроек Kerberos, управление правилами sudo;
• аутентификация Kerberos для пользователей и узлов;
• управление и хранение ролей в LDAP (англ. HBAC — Host Based Access Control);
• служба управления сертификатами (англ. Dogtag Certificate Server, DCS).

Начиная с версии 3.0.0 во FreeIPA реализована интеграция с Active Directory посредством доверительных отношений, для чего используется Samba^[6].

Архитектура и возможности FreeIPA

Предусмотрены следующие функциональные элементы^[5]:

• серверы (один или несколько);
• клиентские компьютеры;
• компьютер администратора (клиентский компьютер с консольными программами для дистанционного управления FreeIPA) — он не является необходимым компонентом, поскольку во FreeIPA реализовано управление с помощью веб-интерфейса, запускаемого на сервере.

Реализован модульным как в серверной, так и в клиентской его части^[5].

Компоненты^[6]:

• сервер LDAP: 389 Directory Server;
• служба аутентификации и единого входа: MIT Kerberos;
• служба управления сертификатами: DogTag;
• служба синхронизации времени: NTP;
• служба для управления DNS: BIND;
• служба DHCP;
• средство интеграции с Active Directory: Samba (начиная c 3.0.0);
• веб-интерфейс управления (написан на Java^[5]).

С целью снижения нагрузки на сервер у клиентов для хранения настроек используется локальный кеш (LDB и XML)^[5].

Управление политиками реализовано правилами HBAC (англ. host based access control — управление доступом на уровне узла), которые описывают, какие службы доступны пользователям на конкретном зарегистрированном во FreeIPA хосте (компьютере)^[6].

FreeIPA позволяет гибко делегировать пользователям отдельные роли, не раскрывая им пароль администратора. К примеру, роль Enroll hosts даёт возможность пользователю регистрировать хосты в каталоге FreeIPA^[6].

Есть возможность построения многоуровневой системы управления доступом, в которой, например, руководителю подразделения можно дать полномочия добавлять в группу этого подразделения новых пользователей^[6].