Identity Management mit IPA

IPA ist ein Identity Management System für Linux und Unix das stetig an Bedeutung gewinnt. Mittlerweile des öfteren in Behörden, Banken, Versicherungen und KMU im Einsatz. IPA kann man sich als "Active Directory" für Linux vorstellen, IPA verheiratet LDAP und Kerberos zu einem Opensource Produkt das leicht zu installieren und unnterhalten ist. Mit IPA kann dank Kerberos Single-Sign-On realiert werden (Authentifizierung). IPA erlaubt es Regelsätze zu erstellen welche Benutzer der Benutzergruppen auf welche Services und/oder Hosts oder Hostgruppen zugreifen dürfen (Autorisierung).

Viele Unternehmen nutzen Microsoft Active Directory als "Single Source of Identity" als Quelle für alle Autentifizierungen. Eine Active Directory Anbindung von Linux Systemen ist allerdings komplex und macht Linux Abteilungen von den Windows Admin abhängig, zudem müssen linuxspezifische Felder wie Home-Directory, Shell etc. in Active Directory angelegt werden. Viele Windows Admins mögen das nicht und verweigern die Zusammenarbeit. Um dem Dogma des Active Directory als "Single Source of Identity" gerecht zu werden und trotzdem eine auf Linux zugeschnittene Lösung zur Verfügung zu haben kann IPA seine Daten mit Active Directory synchronisieren (wahlweise Einweg oder Zweiweg)

Gerade im Mischbetrieb Linux/Windows gibt es allerdings immer wieder Reibungspunkte. Um diese zu lösen existieren je nach Einsatzbereich und Systemumgebung verschiedene Methoden welche diese Stoplersteine mal mehr, mal weniger elegant lösen.