Project

General

Profile

IPA » History » Version 1

terom, 10.09.2016 23:04

1 1 terom
h1. IPA
2 1 terom
3 1 terom
[[https://ipa1.fixme.fi/]] on fixmen käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
4 1 terom
5 1 terom
h2. Hallinta
6 1 terom
7 1 terom
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
8 1 terom
9 1 terom
h3. Webbikäli
10 1 terom
11 1 terom
[[https://ipa1.fixme.fi/]]
12 1 terom
13 1 terom
h3. Komentorivi
14 1 terom
15 1 terom
Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.
16 1 terom
17 1 terom
h2. Kerberos ja ldap
18 1 terom
19 1 terom
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
20 1 terom
21 1 terom
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
22 1 terom
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
23 1 terom
24 1 terom
h3. Kerberoksen toiminta ja käyttö
25 1 terom
26 1 terom
* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
27 1 terom
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
28 1 terom
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
29 1 terom
** pääset myös hypolle
30 1 terom
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
31 1 terom
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
32 1 terom
* salasanan vaihto: @passwd@ kuten muutenkin
33 1 terom
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@
34 1 terom
35 1 terom
h3. Ldap
36 1 terom
37 1 terom
* @ldapwhoami@: näyttää tietojasi
38 1 terom
* @ldapsearch@: etsi ldap-tietokannasta
39 1 terom
** esim @ldapsearch title=Puheenjohtaja@
40 1 terom
* @ldapvi@: tietokannan muokkaaminen
41 1 terom
** esim @ldapvi uid=$USER@
42 1 terom
43 1 terom
FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..