IPA » Historia » Versio 2
Versio 1 (terom, 10.09.2016 23:04) → Versio 2/4 (terom, 10.09.2016 23:05)
h1. IPA
FreeIPA [[https://ipa1.fixme.fi/]] on fixme fixmen käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
h2. Hallinta
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
h3. Webbikäli
https://ipa1.fixme.fi/ [[https://ipa1.fixme.fi/]]
h3. Komentorivi
Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.
h2. Kerberos ja ldap
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
h3. Kerberoksen toiminta ja käyttö
* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
** pääset myös hypolle
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
* salasanan vaihto: @passwd@ kuten muutenkin
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@
h3. Ldap
* @ldapwhoami@: näyttää tietojasi
* @ldapsearch@: etsi ldap-tietokannasta
** esim @ldapsearch title=Puheenjohtaja@
* @ldapvi@: tietokannan muokkaaminen
** esim @ldapvi uid=$USER@
FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..
FreeIPA [[https://ipa1.fixme.fi/]] on fixme fixmen käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
h2. Hallinta
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
h3. Webbikäli
https://ipa1.fixme.fi/ [[https://ipa1.fixme.fi/]]
h3. Komentorivi
Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.
h2. Kerberos ja ldap
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
h3. Kerberoksen toiminta ja käyttö
* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
** pääset myös hypolle
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
* salasanan vaihto: @passwd@ kuten muutenkin
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@
h3. Ldap
* @ldapwhoami@: näyttää tietojasi
* @ldapsearch@: etsi ldap-tietokannasta
** esim @ldapsearch title=Puheenjohtaja@
* @ldapvi@: tietokannan muokkaaminen
** esim @ldapvi uid=$USER@
FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..