IPA » History » Version 4
terom, 10.09.2016 23:07
1 | 1 | terom | h1. IPA |
---|---|---|---|
2 | 1 | terom | |
3 | 2 | terom | FreeIPA on fixme käyttäjätunnusten hallintajärjestelmä, joka muodostuu LDAP-tietokannasta, Kerberos ??? ja käyttöliittymästä. |
4 | 1 | terom | |
5 | 3 | terom | h2. Pavelut |
6 | 3 | terom | |
7 | 3 | terom | IPA-tunnukset toimivat seuraavissa palveluissa: |
8 | 3 | terom | |
9 | 4 | terom | * https://ipa1.fixme.fi/ |
10 | 3 | terom | * https://redmine.fixme.fi/ |
11 | 3 | terom | * https://vmp.fixme.fi/ |
12 | 3 | terom | * https://git.fixme.fi/ |
13 | 3 | terom | * SSH terran.fixme.fi |
14 | 3 | terom | * SSH protoss.fixme.fi? |
15 | 1 | terom | * TODO: SSH hypo.fixme.fi? |
16 | 4 | terom | * SMTP @smtp.fixme.fi:587@ SASL |
17 | 3 | terom | |
18 | 1 | terom | h2. Hallinta |
19 | 1 | terom | |
20 | 1 | terom | Normaali self-service tapahtuu selainkäyttöliittymän kautta, ylläpito onnistuu parhaiten komentoriviltä. |
21 | 1 | terom | |
22 | 1 | terom | h3. Webbikäli |
23 | 1 | terom | |
24 | 2 | terom | https://ipa1.fixme.fi/ |
25 | 1 | terom | |
26 | 1 | terom | h3. Komentorivi |
27 | 1 | terom | |
28 | 1 | terom | Lisää webbikälistä oma SSH-avain, ja sitten @ssh ipa1.fixme.fi@, ja @ipa help commands@. |
29 | 1 | terom | |
30 | 1 | terom | h2. Kerberos ja ldap |
31 | 1 | terom | |
32 | 1 | terom | Fixme käyttää FreeIPA MIT Kerberos + 389 DS LDAP. LDAP on käyttäjätietokanta ja Kerberos autentikaatioprotokolla. |
33 | 1 | terom | |
34 | 1 | terom | Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan. |
35 | 1 | terom | Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä. |
36 | 1 | terom | |
37 | 1 | terom | h3. Kerberoksen toiminta ja käyttö |
38 | 1 | terom | |
39 | 1 | terom | * @klist@ -- näyttää sinulla olevat tiketit (pääsyt palveluihin) |
40 | 1 | terom | ** @krbtgt@ on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan @kinit@in uusiksi |
41 | 1 | terom | * @ssh -v fixme.fi@ (varmista että @Authentication succeeded (gssapi-with-mic).@) |
42 | 1 | terom | ** pääset myös hypolle |
43 | 1 | terom | ** flägillä @-K@ otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding) |
44 | 1 | terom | * mutt ja pine fixme.fi:llä autentikoivat kerberoksella |
45 | 1 | terom | * salasanan vaihto: @passwd@ kuten muutenkin |
46 | 1 | terom | * salasanan resetoiminen: @sudo kadmin.local@ ja komento @cpw@ |
47 | 1 | terom | |
48 | 1 | terom | h3. Ldap |
49 | 1 | terom | |
50 | 1 | terom | * @ldapwhoami@: näyttää tietojasi |
51 | 1 | terom | * @ldapsearch@: etsi ldap-tietokannasta |
52 | 1 | terom | ** esim @ldapsearch title=Puheenjohtaja@ |
53 | 1 | terom | * @ldapvi@: tietokannan muokkaaminen |
54 | 1 | terom | ** esim @ldapvi uid=$USER@ |
55 | 1 | terom | |
56 | 1 | terom | FreeIPA vaatii kai yleensä @-Y GSSAPI@, OpenLDAP:in oletuksena valkkaama @SASL/EXTERNAL@ ei toimi.. |