FreeIPA vs Active Directory
Hoy sostuve una interesante pero breve discusión en Twitter con @bureado y @zeitan acerca de los meritos de freeIPA como servicio de administración de identidades para plataformas GNU/Linux. En el transcurso de la discusión se hizo sentir la limitación de 140 caracteres de Twitter, así que voy a elaborar algunos puntos por aquí.
Para entrar en el tema hay que saber que freeIPA es un sistema que permite administrar Identidades, Políticas y Auditoría para plataformas Linux y compatibles. En el backend integra un servidor de directorio (389 Directory Server), un KDC, una autoridad certificadora (Dogtag Certificate System), una interfaz web y una colección de comandos de administración que permiten administrar de forma centralizada conceptos tales como usuarios, grupos, políticas de acceso, políticas de contraseña, políticas de sudo, y otros.
Active Directory es un producto Microsoft que cumple las mismas funciones en ambientes Windows, con ciertas diferencias claro está, ya que ciertos conceptos y características son exclusivos de cada plataforma. Otra diferencia es que mientras Active Directory es un producto maduro, freeIPA es un proyecto en Software Libre bastante reciente, por ahora desarrollado casi exclusivamente por empleados de Red Hat.
En el transcurso de la discusión dije que freeIPA es la mejor herramienta en su especie para plataformas Linux, mientras que para administrar plataformas Windows hay que seguir usando Active Directory. Esta es una afirmación bastante controversial en el ambiente informático de Venezuela ya que en el país ninguna organización importante usa freeIPA v2 en producción aún, todos usan OpenLDAP o el 389 Directory Server combinados con varias herramientas administrativas, unos pocos usan freeIPA v1, y la mayoría de ellos administran o intentan administrar estaciones de trabajo Windows con las herramientas antes descritas. Lo se, porque soy el culpable de varios de estos deployment.
Creo que si lo único que queremos es administrar plataformas GNU/Linux pues la opción de usar freeIPA v2 es la única a tomar en consideración seriamente si se está empezando el deployment hoy en día, las alternativas como OpenLDAP, FDS, FreeIPA v1 todas tuvieron su momento pero han sido ampliamente superadas y aunque es posible obtener resultados equivalentes combinando múltiples herramientas libres es prácticamente imposible llegar al mismo nivel de integración, estabilidad y facilidad de uso con un presupuesto razonable y tiempo limitado.
Si hablamos de administrar estaciones de trabajo Windows la situación no es para nada alentadora para el uso de herramientas libres. Claro, es posible integrar Samba 3 con OpenLDAP o FreeIPA para simular un dominio de Windows NT… pero estamos hablando de la prehistoria en lo que a plataformas Windows se refiere. Ojo Samba 3 es una excelente opción para montar un servidor CIFS, pero simplemente no es apropiado para administrar estaciones de trabajo Windows modernas.
Existe la opción de usar Samba 4, pero esta herramienta se encuentra en un ciclo perenne de alpha y beta, y aunque se puede decir que funciona aún requiere de un administrador niñero que lo cuide día y noche. De paso, y esta es mi opinión como sysadmin Linux, se siente tan monolítico y opaco como el mismo Active Directory.
¿Qué hacer entonces para administrar ambientes heterogéneos? Estos ambientes son la mayoría ya que cada día resulta más difícil encontrar una organización que no use múltiples plataformas, desde Windows hasta Android. Como siempre la respuesta es “depende”, y depende de muchos factores como la cantidad de estaciones de trabajo de cada plataforma, la experiencia de los administradores, el presupuesto, la legislación local.
Mi opción para una organización que posee un importante número de estaciones de trabajo Windows y Linux es hoy en día la de instalar freeIPA v2 para administrar Linux, mantener Active Directory para administrar Windows y establecer una relación de confianza entre las dos plataformas, de tal forma usamos la herramienta más apropiada para cada caso. No por casualidad es en esa dirección que va el desarrollo de freeIPA, el manejo integrado de relaciones de confianza es la característica principal de la próxima versión 3.
@bureado hizo una pregunta interesante, ¿por qué no usar Active Directory para administrar plataformas Linux? Se me ocurren algunas respuestas:
- Active Directory es un software privativo y como tal posee toda una serie de problemas.
- En Venezuela la legislación apunta hacia una migración completa hacia herramientas libres, así que unir las estaciones de trabajo Linux a Active Directory significaría perpetuar el uso de este último
- Microsoft ha sido históricamente una empresa orientada a ofrecer un ecosistema completo de aplicaciones y a dificultar el ingreso de otros vendedores, por lo tanto otras plataformas son (y casi seguramente serán) siempre ciudadanos de segunda clase en un entorno controlado por Active Directory.
- Es posible autenticar clientes Linux en un dominio de Active Directory, usando pam_ldap, winbind, SSSD (el componente de lado cliente de freeIPA) u otras herramientas más fáciles de usar como Likewise, permitiendo así a los usuarios Linux iniciar sesión en el dominio, incluso con SSO. Pero hasta ahí. No hay ni probablemente nunca habrá en AD soporte a otros conceptos Unix como netgroups, sudo, automount, llaves ssh ya que simplemente el manejo de políticas de plataformas Linux no está entre los objetivos de AD.
En fin, mantengo mi posición: ya tenemos a disposición en el mundo Linux una plataforma de manejo de identidades y políticas de primer nivel como freeIPA, así que hay que aprovecharla. Para administrar equipos Windows se puede seguir usando AD, y con un poco de esfuerzo (que se reducirá con la salida de freeIPA v3) se puede lograr la coexistencia de las dos plataformas.