IPA¶

FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.

Pavelut¶

IPA-tunnukset toimivat seuraavissa palveluissa:

• https://ipa1.fixme.fi/
• https://redmine.fixme.fi/
• https://vmp.fixme.fi/
• https://git.fixme.fi/
• SSH terran.fixme.fi
• SSH protoss.fixme.fi?
• TODO: SSH hypo.fixme.fi?
• SMTP smtp.fixme.fi:587 SASL

Hallinta¶

Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.

Webbikäli¶

https://ipa1.fixme.fi/

Komentorivi¶

Lisää webbikälistä oma SSH-avain, ja sitten ssh ipa1.fixme.fi, ja ipa help commands.

Kerberos ja ldap¶

Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.

Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.

Kerberoksen toiminta ja käyttö¶

• klist -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
  • krbtgt on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
• ssh -v fixme.fi (varmista että Authentication succeeded (gssapi-with-mic).)
  • pääset myös hypolle
  • flägillä -K otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
• mutt ja pine fixme.fi:llä autentikoivat kerberoksella
• salasanan vaihto: passwd kuten muutenkin
• salasanan resetoiminen: sudo kadmin.local ja komento cpw

Ldap¶

• ldapwhoami: näyttää tietojasi
• ldapsearch: etsi ldap-tietokannasta
  • esim ldapsearch title=Puheenjohtaja
• ldapvi: tietokannan muokkaaminen
  • esim ldapvi uid=$USER

FreeIPA vaatii kai yleensä -Y GSSAPI, OpenLDAP:in oletuksena valkkaama SASL/EXTERNAL ei toimi..