Project

General

Profile

IPA » History » Version 2

Version 1 (terom, 10.09.2016 23:04) → Version 2/4 (terom, 10.09.2016 23:05)

h1. IPA

FreeIPA [[https://ipa1.fixme.fi/]] on fixme fixmen käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.

h2. Hallinta

Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.

h3. Webbikäli

https://ipa1.fixme.fi/ [[https://ipa1.fixme.fi/]]

h3. Komentorivi

Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.

h2. Kerberos ja ldap

Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.

Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.

h3. Kerberoksen toiminta ja käyttö

* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
** pääset myös hypolle
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
* salasanan vaihto: @passwd@ kuten muutenkin
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@

h3. Ldap

* @ldapwhoami@: näyttää tietojasi
* @ldapsearch@: etsi ldap-tietokannasta
** esim @ldapsearch title=Puheenjohtaja@
* @ldapvi@: tietokannan muokkaaminen
** esim @ldapvi uid=$USER@

FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..