Project

General

Profile

IPA » History » Version 4

terom, 10.09.2016 23:07

1 1 terom
h1. IPA
2 1 terom
3 2 terom
FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä.
4 1 terom
5 3 terom
h2. Pavelut
6 3 terom
7 3 terom
IPA-tunnukset toimivat seuraavissa palveluissa:
8 3 terom
9 4 terom
* https://ipa1.fixme.fi/
10 3 terom
* https://redmine.fixme.fi/
11 3 terom
* https://vmp.fixme.fi/
12 3 terom
* https://git.fixme.fi/
13 3 terom
* SSH terran.fixme.fi
14 3 terom
* SSH protoss.fixme.fi?
15 1 terom
* TODO: SSH hypo.fixme.fi?
16 4 terom
* SMTP @smtp.fixme.fi:587@ SASL
17 3 terom
18 1 terom
h2. Hallinta
19 1 terom
20 1 terom
Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä.
21 1 terom
22 1 terom
h3. Webbikäli
23 1 terom
24 2 terom
https://ipa1.fixme.fi/
25 1 terom
26 1 terom
h3. Komentorivi
27 1 terom
28 1 terom
Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@.
29 1 terom
30 1 terom
h2. Kerberos ja ldap
31 1 terom
32 1 terom
Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla.
33 1 terom
34 1 terom
Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan.
35 1 terom
Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.
36 1 terom
37 1 terom
h3. Kerberoksen toiminta ja käyttö
38 1 terom
39 1 terom
* @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
40 1 terom
** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi
41 1 terom
* @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@)
42 1 terom
** pääset myös hypolle
43 1 terom
** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
44 1 terom
* mutt ja pine fixme.fi:llä autentikoivat kerberoksella
45 1 terom
* salasanan vaihto: @passwd@ kuten muutenkin
46 1 terom
* salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@
47 1 terom
48 1 terom
h3. Ldap
49 1 terom
50 1 terom
* @ldapwhoami@: näyttää tietojasi
51 1 terom
* @ldapsearch@: etsi ldap-tietokannasta
52 1 terom
** esim @ldapsearch title=Puheenjohtaja@
53 1 terom
* @ldapvi@: tietokannan muokkaaminen
54 1 terom
** esim @ldapvi uid=$USER@
55 1 terom
56 1 terom
FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi..