Project

General

Profile

IPA

FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.

Pavelut

IPA-tunnukset toimivat seuraavissa palveluissa:

Hallinta

Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.

Webbikäli

https://ipa1.fixme.fi/

Komentorivi

Lisää webbikälistä oma SSH-avain, ja sitten ssh ipa1.fixme.fi, ja ipa help commands.

Kerberos ja ldap

Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.

Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.

Kerberoksen toiminta ja käyttö

  • klist -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
    • krbtgt on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
  • ssh -v fixme.fi (varmista että Authentication succeeded (gssapi-with-mic).)
    • pääset myös hypolle
    • flägillä -K otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
  • mutt ja pine fixme.fi:llä autentikoivat kerberoksella
  • salasanan vaihto: passwd kuten muutenkin
  • salasanan resetoiminen: sudo kadmin.local ja komento cpw

Ldap

  • ldapwhoami: näyttää tietojasi
  • ldapsearch: etsi ldap-tietokannasta
    • esim ldapsearch title=Puheenjohtaja
  • ldapvi: tietokannan muokkaaminen
    • esim ldapvi uid=$USER

FreeIPA vaatii kai yleensä -Y GSSAPI, OpenLDAP:in oletuksena valkkaama SASL/EXTERNAL ei toimi..