IPA » Historia » Versio 2
terom, 10.09.2016 23:05
| 1 | 1 | terom | h1. IPA |
|---|---|---|---|
| 2 | 1 | terom | |
| 3 | 2 | terom | FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä. |
| 4 | 1 | terom | |
| 5 | 1 | terom | h2. Hallinta |
| 6 | 1 | terom | |
| 7 | 1 | terom | Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä. |
| 8 | 1 | terom | |
| 9 | 1 | terom | h3. Webbikäli |
| 10 | 1 | terom | |
| 11 | 2 | terom | https://ipa1.fixme.fi/ |
| 12 | 1 | terom | |
| 13 | 1 | terom | h3. Komentorivi |
| 14 | 1 | terom | |
| 15 | 1 | terom | Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@. |
| 16 | 1 | terom | |
| 17 | 1 | terom | h2. Kerberos ja ldap |
| 18 | 1 | terom | |
| 19 | 1 | terom | Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla. |
| 20 | 1 | terom | |
| 21 | 1 | terom | Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan. |
| 22 | 1 | terom | Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä. |
| 23 | 1 | terom | |
| 24 | 1 | terom | h3. Kerberoksen toiminta ja käyttö |
| 25 | 1 | terom | |
| 26 | 1 | terom | * @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin) |
| 27 | 1 | terom | ** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi |
| 28 | 1 | terom | * @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@) |
| 29 | 1 | terom | ** pääset myös hypolle |
| 30 | 1 | terom | ** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding) |
| 31 | 1 | terom | * mutt ja pine fixme.fi:llä autentikoivat kerberoksella |
| 32 | 1 | terom | * salasanan vaihto: @passwd@ kuten muutenkin |
| 33 | 1 | terom | * salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@ |
| 34 | 1 | terom | |
| 35 | 1 | terom | h3. Ldap |
| 36 | 1 | terom | |
| 37 | 1 | terom | * @ldapwhoami@: näyttää tietojasi |
| 38 | 1 | terom | * @ldapsearch@: etsi ldap-tietokannasta |
| 39 | 1 | terom | ** esim @ldapsearch title=Puheenjohtaja@ |
| 40 | 1 | terom | * @ldapvi@: tietokannan muokkaaminen |
| 41 | 1 | terom | ** esim @ldapvi uid=$USER@ |
| 42 | 1 | terom | |
| 43 | 1 | terom | FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi.. |