FreeIPA (Identity Management)

FreeIPA est une solution open source intégrée de Identity Management pour environnements Linux, comparable à Active Directory pour Windows. Combine LDAP (389 Directory Server), Kerberos KDC (MIT Kerberos), DNS (BIND), Certificate Authority (Dogtag PKI), Web UI, et CLI/API en suite cohérente déployable en quelques commandes.

Distribué par Red Hat sous nom commercial **Red Hat Identity Management (IdM)** dans RHEL — same codebase. Default identity solution RHEL/Fedora/CentOS et beaucoup d'environnements gov/enterprise Linux-heavy.

Fonctionnalités : (1) **Users et Groups** — gestion centralisée ; (2) **Hosts** — enrolled machines (Linux client via ipa-client-install) ; (3) **Services** — Kerberos services (HTTP, NFS, LDAP, etc.) ; (4) **HBAC** (Host-Based Access Control) — qui peut SSH où ; (5) **Sudo rules** centralisées ; (6) **Automount** maps ; (7) **DNS** integration ; (8) **Certificate management** — auto-issue host certificates ; (9) **Replication multi-master** — multiple servers HA active-active ; (10) **AD Trust** — trust relationship vers Active Directory enables cross-forest authentication ; (11) **OTP/2FA** support (YubiKey, FreeOTP) ; (12) **Vault** secrets management.

Deployment : (1) `ipa-server-install` sur first server ; (2) `ipa-replica-install` sur additional servers HA ; (3) clients : `ipa-client-install --domain=ipa.example.com` puis users login avec credentials IPA.

Vs Active Directory : (1) Linux-native (AD Windows-centric, joining Linux to AD via SSSD works but second-class) ; (2) Open source vs proprietary ; (3) AD ecosystem mature (GPO, Exchange, MS apps) ; (4) FreeIPA simpler concepts. Hybride possible : AD pour Windows + FreeIPA pour Linux + trust relationship. Compétences RHCSA, EX294, RHCE.