[Devel] freeIPA

Ivan Melnikov =?iso-8859-1?q?ivan=2Ea=2Emelnikov_=CE=C1_gmail=2Ecom?=
Ср Май 21 20:27:57 MSD 2008 

В сообщении от Tuesday 20 May 2008 21:05:49 Vitaly Lipatov написал(а):
> Можно ли кого-нибудь попросить прокомментировать основные отличия и
> преимущества Тартаруса по сравнению с freeIPA:
> http://www.freeipa.org/page/Main_Page
> ?

Я всё-таки решился скачать и посмотреть, что же у них есть, а также полистать 
документацию. Всё нижесказанное -- не результат кропотливого анализа, а лишь 
первые впечатления от просмотра, и могут быть ошибочными.

Основное отличие FreeIPA от Tartarus, как мне сейчас кажется -- в области 
применения. FreeIPA сейчас -- исключительно средство аутентификации и 
авторизации, ну плюс ещё FDS в качестве хранилища данных.

Tartarus имеет более широкие цели -- стать интегрированной но распределённой 
системой по решению широкого круга задач администрирования.

Вот первый пример: DNS. Необходима в любой сети. На данный момент руководство 
администратора FreeIPA говорит, что DNS нужен, и посылает на статью "Как 
настроить DNS в RedHat  Linux" (вперед править конфиги). У меня также 
создалось впечатление, что заявленная в FreeIPA 2.0 интеграция с DNS не 
пойдет дальше добавления SRV и TXT записей о Kerberos и LDAP -- чтобы 
работала service discovery.

У нас же задача по полноценному администрированию DNS-сервера ставилась с 
самого начала и конфигуратор DNS - одна из наиболее готовых к использованию 
компонент (см. отчёты Ромы).

Об управлении DHCP они вообще молчат. А мы обещаем. Рано или поздно.

Код FreeIPA выглядит сильно привязанным к FDS. Некоторые утилиты используют 
LDAP напрямую, параллельно XML RPC. Хотя такие вещи считаются багами. Но то 
что везде в качестве основы для постоения иерархии исключений используются 
коды ошибок LDAP -- факт.

Ещё хотелось бы отметить нашу идею политик. Здесь присутствует определенная 
путаница в терминологии. Когда разработчики Fedora говорят о политиках, они 
имеют ввиду policy-based access control, под чем я понимаю определенный 
уровень интеграции с SELinux. В нашей терминологии политики -- это что-то 
ближе к GPO у MS, то есть настройки, привязанные к объектам безопасности 
(пользователи, группы, компьютеры, сервисы, etc) или множествам из них. 
Ничего подобного в FreeIPA не слышно.

В общем, у нас есть ряд интересных идей, а у них есть FDS. В остальном 
состояние проектов примерно одинаково :)

--
Best Regars,
Ivan Melnikov <imelnikov на etersoft.ru>

P.S. Обратил внимание, как они управляют принципалами в Kerberos, и что у них 
вместо моего python-module-kadmin5... У них там набор костылей с вызовом 
kadmin.local через os.popen3(...)  местами, а местами напрямую вызывается 
LDAP. Испытал чувство гордости за себя...

Подробная информация о списке рассылки devel