IPA » History » Version 1
terom, 10.09.2016 23:04
1 | 1 | terom | h1. IPA |
---|---|---|---|
2 | 1 | terom | |
3 | 1 | terom | [[https://ipa1.fixme.fi/]] on fixmen käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä. |
4 | 1 | terom | |
5 | 1 | terom | h2. Hallinta |
6 | 1 | terom | |
7 | 1 | terom | Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä. |
8 | 1 | terom | |
9 | 1 | terom | h3. Webbikäli |
10 | 1 | terom | |
11 | 1 | terom | [[https://ipa1.fixme.fi/]] |
12 | 1 | terom | |
13 | 1 | terom | h3. Komentorivi |
14 | 1 | terom | |
15 | 1 | terom | Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@. |
16 | 1 | terom | |
17 | 1 | terom | h2. Kerberos ja ldap |
18 | 1 | terom | |
19 | 1 | terom | Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla. |
20 | 1 | terom | |
21 | 1 | terom | Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan. |
22 | 1 | terom | Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä. |
23 | 1 | terom | |
24 | 1 | terom | h3. Kerberoksen toiminta ja käyttö |
25 | 1 | terom | |
26 | 1 | terom | * @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin) |
27 | 1 | terom | ** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi |
28 | 1 | terom | * @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@) |
29 | 1 | terom | ** pääset myös hypolle |
30 | 1 | terom | ** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding) |
31 | 1 | terom | * mutt ja pine fixme.fi:llä autentikoivat kerberoksella |
32 | 1 | terom | * salasanan vaihto: @passwd@ kuten muutenkin |
33 | 1 | terom | * salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@ |
34 | 1 | terom | |
35 | 1 | terom | h3. Ldap |
36 | 1 | terom | |
37 | 1 | terom | * @ldapwhoami@: näyttää tietojasi |
38 | 1 | terom | * @ldapsearch@: etsi ldap-tietokannasta |
39 | 1 | terom | ** esim @ldapsearch title=Puheenjohtaja@ |
40 | 1 | terom | * @ldapvi@: tietokannan muokkaaminen |
41 | 1 | terom | ** esim @ldapvi uid=$USER@ |
42 | 1 | terom | |
43 | 1 | terom | FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi.. |