kb:freeipa
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | |||
kb:freeipa [2014/03/20 22:09] – stevko | kb:freeipa [2014/10/01 09:56] (current) – "profesionálnejší" úvod stevko | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== FreeIPA ====== | ||
+ | |||
+ | FreeIPA je riešenie od RedHatu pre centralizovanú správu užívateľov. Dokáže nastaviť, ktorí užívatelia môžu pristupovať ku ktorým počítačom. Zároveň umožňuje centrálne spravovať oprávnenia sudo a tiež ssh kľúče. | ||
+ | |||
+ | Náš server má adresu ipa.brm (Mac: 52: | ||
+ | |||
+ | ===== Ako nastaviť klienta, Debian ===== | ||
+ | Chceme brmlabí počítač nastaviť ako klienta pre FreeIPA. Nech je to počítač, ktorého hostname je client.brm. | ||
+ | Nainštalujeme balíček sssd/ | ||
+ | |||
+ | Na ipa.brm sa prihlásime a získame ticket pre admina ('' | ||
+ | Povieme serveru, že bude mať nového klienta: | ||
+ | ipa host-add client.brm | ||
+ | Dokumentácia hovorí použiť '' | ||
+ | |||
+ | Povieme serveru, že ho má // | ||
+ | ipa host-add-managedby --hosts=ipa.brm client.brm | ||
+ | |||
+ | Vezmeme si zo serveru //keytab// pre klienta: | ||
+ | ipa-getkeytab -s ipa.brm -p host/ | ||
+ | |||
+ | Zo servera si vezmeme vzniknutý súbor client.keytab a súbor ''/ | ||
+ | |||
+ | Na klientskej stanici umiestnime '' | ||
+ | |||
+ | Vytvoríme súbor ''/ | ||
+ | |||
+ | [sssd] | ||
+ | config_file_version = 2 | ||
+ | services = nss, pam, ssh, sudo | ||
+ | debug_level = 0x00FF | ||
+ | | ||
+ | domains = brm | ||
+ | [nss] | ||
+ | | ||
+ | [pam] | ||
+ | | ||
+ | [domain/ | ||
+ | cache_credentials = True | ||
+ | krb5_store_password_if_offline = True | ||
+ | ipa_domain = brm | ||
+ | dns_discovery_domain = brm | ||
+ | id_provider = ipa | ||
+ | auth_provider = ipa | ||
+ | access_provider = ipa | ||
+ | ipa_hostname = client.brm | ||
+ | chpass_provider = ipa | ||
+ | ipa_server = ipa.brm | ||
+ | ldap_tls_cacert = / | ||
+ | |||
+ | Balíček '' | ||
+ | |||
+ | root@client:/ | ||
+ | common-account: | ||
+ | common-auth: | ||
+ | common-password: | ||
+ | common-session: | ||
+ | |||
+ | Na koniec ''/ | ||
+ | session optional pam_mkhomedir.so skel=/ | ||
+ | |||
+ | Dokumentácia hovorí, že je vhodnejšie použiť '' | ||
+ | |||
+ | Nastavíme v ''/ | ||
+ | |||
+ | passwd: | ||
+ | group: | ||
+ | shadow: | ||
+ | | ||
+ | hosts: | ||
+ | networks: | ||
+ | | ||
+ | protocols: | ||
+ | services: | ||
+ | ethers: | ||
+ | rpc: db files | ||
+ | | ||
+ | netgroup: | ||
+ | sudoers: | ||
+ | |||
+ | Upravíme súbor ''/ | ||
+ | [logging] | ||
+ | default = FILE:/ | ||
+ | kdc = FILE:/ | ||
+ | admin_server = FILE:/ | ||
+ | [libdefaults] | ||
+ | default_realm = BRM | ||
+ | dns_lookup_realm = false | ||
+ | dns_lookup_kdc = true | ||
+ | rdns = false | ||
+ | ticket_lifetime = 24h | ||
+ | forwardable = yes | ||
+ | [realms] | ||
+ | BRM = { | ||
+ | kdc = ipa.brm:88 | ||
+ | master_kdc = ipa.brm:88 | ||
+ | admin_server = ipa.brm:749 | ||
+ | default_domain = brm | ||
+ | pkinit_anchors = FILE:/ | ||
+ | } | ||
+ | | ||
+ | [domain_realm] | ||
+ | .brm = BRM | ||
+ | brm = BRM | ||
+ | |||
+ | Nastavíme '' | ||
+ | binddn uid=sudo, | ||
+ | bindpw HESLO | ||
+ | | ||
+ | ssl start_tls | ||
+ | tls_cacertfile / | ||
+ | tls_checkpeer yes | ||
+ | | ||
+ | bind_timelimit 5 | ||
+ | timelimit 15 | ||
+ | | ||
+ | uri ldap:// | ||
+ | sudoers_base ou=SUDOers, | ||
+ | |||
+ | Sudo potrebuje nastavené // | ||
+ | nisdomainname brm | ||
+ | |||
+ | Nastavíme v '' | ||
+ | PubkeyAuthentication yes | ||
+ | UsePAM yes | ||
+ | AuthorizedKeysCommand / | ||
+ | AuthorizedKeysCommandUser nobody | ||
+ | GSSAPIAuthentication yes | ||
+ | |||
+ | To by malo byť všetko. Ak chceme, môžeme ešte nastaviť v '' | ||
+ | |||
+ | FreeIPA vie aj rozdistribuovávať '' | ||
+ | |||
+ | Ešte resetujeme na klientovi '' | ||
+ | |||
+ | Prihlásime sa do https:// | ||