Добрый день!

На данный момент рассматриваем технологию Radius для реализации механизма подтверждения правильности ввода учетных данных пользователей домена FreeIPA, а именно вариант freeradius для Astra Linux. Предполагается, что для входа на целевой домен FreeIPA с соответствующими доменными узлами пользователю необходимо аутентифицироваться на первом узле защиты (далее - Узел Защиты). Причем, пароли пользователей от Узла Защиты хранятся на Radius (настройка внешней авторизации на Radius-сервере) и сопоставляются с данными целевого домена FreeIPA, на который в дальнейшем идет проброс, с помощью Radius, который по сути переходник. От вендора узнали, что схему эту реализовать можно. И возникли вопросы.

1. Если Radius размещать на отдельном виртуальном сервере, то каких мощностей ему будет достаточно? И какие порты необходимо открывать?
2. Настраивал ли Radius кто-нибудь в связке с доменом FreeIPA? Каков может быть общий вид конфига для синхронизации и проверки логинов и паролей, да так чтобы при изменении пароля на FreeIPA у пользователя данная «дельта» была учтена и на Radius?
3. Если Radius настраивать как точку внешней авторизации у некоторого Узла Защиты, то какие параметры должны быть учтены? Особенно в реализации Radius как проверяющего равенство учетных доменных данных FreeIPA («куда хотим попасть») и введенных учетных данных Узла Защиты («откуда подключаемся»)?