IPA » History » Version 3
« Previous -
Version 3/4
(diff) -
Next » -
Current version
terom, 10.09.2016 23:07
IPA¶
FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
Pavelut¶
IPA-tunnukset toimivat seuraavissa palveluissa:
- SMTP
smtp.fixme.fi:587
SASL - https://redmine.fixme.fi/
- https://vmp.fixme.fi/
- https://git.fixme.fi/
- SSH terran.fixme.fi
- SSH protoss.fixme.fi?
- TODO: SSH hypo.fixme.fi?
Hallinta¶
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
Webbikäli¶
Komentorivi¶
Lisää webbikälistä oma SSH-avain, ja sitten ssh ipa1.fixme.fi
, ja ipa help commands
.
Kerberos ja ldap¶
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
Kerberoksen toiminta ja käyttö¶
klist
-- näyttää sinulla olevat tiketit (pääsyt palveluihin)krbtgt
on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
ssh -v fixme.fi
(varmista ettäAuthentication succeeded (gssapi-with-mic).
)- pääset myös hypolle
- flägillä
-K
otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
- mutt ja pine fixme.fi:llä autentikoivat kerberoksella
- salasanan vaihto:
passwd
kuten muutenkin - salasanan resetoiminen:
sudo kadmin.local
ja komentocpw
Ldap¶
ldapwhoami
: näyttää tietojasildapsearch
: etsi ldap-tietokannasta- esim
ldapsearch title=Puheenjohtaja
- esim
ldapvi
: tietokannan muokkaaminen- esim
ldapvi uid=$USER
- esim
FreeIPA vaatii kai yleensä -Y GSSAPI
, OpenLDAP:in oletuksena valkkaama SASL/EXTERNAL
ei toimi..