Projekti

Yleinen

Profile

IPA » Historia » Versio 3

terom, 10.09.2016 23:07

1 1 terom
h1. IPA
2 1 terom
3 2 terom
FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
4 1 terom
5 3 terom
h2. Pavelut
6 3 terom
7 3 terom
IPA-tunnukset toimivat seuraavissa palveluissa:
8 3 terom
9 3 terom
* SMTP @smtp.fixme.fi:587@ SASL
10 3 terom
* https://redmine.fixme.fi/
11 3 terom
* https://vmp.fixme.fi/
12 3 terom
* https://git.fixme.fi/
13 3 terom
* SSH terran.fixme.fi
14 3 terom
* SSH protoss.fixme.fi?
15 3 terom
* TODO: SSH hypo.fixme.fi?
16 3 terom
17 1 terom
h2. Hallinta
18 1 terom
19 1 terom
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
20 1 terom
21 1 terom
h3. Webbikäli
22 1 terom
23 2 terom
https://ipa1.fixme.fi/
24 1 terom
25 1 terom
h3. Komentorivi
26 1 terom
27 1 terom
Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.
28 1 terom
29 1 terom
h2. Kerberos ja ldap
30 1 terom
31 1 terom
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
32 1 terom
33 1 terom
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
34 1 terom
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
35 1 terom
36 1 terom
h3. Kerberoksen toiminta ja käyttö
37 1 terom
38 1 terom
* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
39 1 terom
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
40 1 terom
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
41 1 terom
** pääset myös hypolle
42 1 terom
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
43 1 terom
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
44 1 terom
* salasanan vaihto: @passwd@ kuten muutenkin
45 1 terom
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@
46 1 terom
47 1 terom
h3. Ldap
48 1 terom
49 1 terom
* @ldapwhoami@: näyttää tietojasi
50 1 terom
* @ldapsearch@: etsi ldap-tietokannasta
51 1 terom
** esim @ldapsearch title=Puheenjohtaja@
52 1 terom
* @ldapvi@: tietokannan muokkaaminen
53 1 terom
** esim @ldapvi uid=$USER@
54 1 terom
55 1 terom
FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..