FreeIPA – gotowe rozwiązanie do zarządzania użytkownikami

1,153 views
893 views

Published on

Tomasz Torcz - Acxiom - FreeIPA – gotowe rozwiązanie do zarządzania użytkownikami

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,153
On SlideShare
0
From Embeds
0
Number of Embeds
62
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Next: duży problem
  • Można oskryptować, alePojawiają się nowe problemyKtoś odejdzie – trzeba skasować mu kontoHasła zaczynają wygasać. Przy dwoch serwerach da sie, przy dwudziestu już trudno. A w dużej firmie, przy...
  • 2 tysiącach serwerów?
  • Można oskryptować, ale...DNS! (opowieść o /etc/hosts->DNS) 3camp.pl has address 85.128.248.92Rozwiązanie: usługa katalogowa: LDAP
  • - Next slide: komponenty
  • Integracja: zebranie współpracujących usług i wstępne ich skonfigurowanie do współdziałaniaZalecany osobny serwer
  • Next: Co rozumiem przez ludzki interfejs?
  • To że server redhat nie znaczy, że klient też musi być.Chociaz na redhatach wystarczy ipa-client-installInstalacja:Server – odpowiadamy na pytaniaKlient – jedno polecenie
  • 2 factor? No problem!
  • Kerberos, jedno podanie hasła dziennie
  • Propagacja zasad sudo równie ważna, co ich natychmiastowe unieważnianie.
  • Propagacja zasad sudo równie ważna, co ich natychmiastowe unieważnianie.
  • Czy na pewno zabrałeś dostęp zwolnionego użytkownika do wszystkich serwerów?
  • Kerberos, jedno podanie hasła dziennieDo LDAPa można dointegrować jakieś WIFI, dostepy do infra switch (RADIUS) etc.Jest API XMLRPC/JSON i Python SDK, można sobie dointegrowywać – np. wyciągać listę komputerów do orchestratorów
  • Kerberos, jedno podanie hasła dziennie
  • DNS z ludzką twarzą
  • FreeIPA – gotowe rozwiązanie do zarządzania użytkownikami

    1. 1. © 2013 Acxiom Corporation. All Rights Reserved. © 2013 Acxiom Corporation. All Rights Reserved. Zintegrowane zarządzanie użytkownikami FreeIPA 2014-03-24 – Tomasz Torcz
    2. 2. © 2013 Acxiom Corporation. All Rights Reserved. Agenda - Prelegent - Problem - Rozwiązanie - Pytania 2
    3. 3. Prelegent 3
    4. 4. Problem 4
    5. 5. © 2013 Acxiom Corporation. All Rights Reserved. Mały startup – mały problem - admin ogarnięty? 5
    6. 6. © 2013 Acxiom Corporation. All Rights Reserved. Eksponat 1: ogarnięty admin - (foto) 6
    7. 7. © 2013 Acxiom Corporation. All Rights Reserved. Mały startup – mały problem - admin ogarnięty? 7
    8. 8. © 2013 Acxiom Corporation. All Rights Reserved. Mały startup – mały problem - admin ogarnięty? - konta dla deweloperów, appek 8
    9. 9. © 2013 Acxiom Corporation. All Rights Reserved. Mały startup – mały problem - admin ogarnięty? - konta dla deweloperów, appek - rośniemy! Kolejne serwery, kolejne konta 9
    10. 10. © 2013 Acxiom Corporation. All Rights Reserved. Duży startup – ? - admin ogarnięty? - konta dla deweloperów, appek - rośniemy! Kolejne serwery, kolejne konta 10
    11. 11. © 2013 Acxiom Corporation. All Rights Reserved. Social network for sysadmins: $ wc -l .ssh/known_hosts 2140 .ssh/known_hosts 11
    12. 12. © 2013 Acxiom Corporation. All Rights Reserved. Duży startup – ? - admin ogarnięty? - konta dla deweloperów, appek - rośniemy! Kolejne serwery, kolejne konta - ale to już było. 12
    13. 13. FreeIPA 13
    14. 14. © 2013 Acxiom Corporation. All Rights Reserved. FreeIPA - rozwiązanie darmowe by Red Hat - dostępne również płatne wsparcie - wstępnie skonfigurowane komponenty 14
    15. 15. © 2013 Acxiom Corporation. All Rights Reserved. FreeIPA – prawie jak appliance # ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING ipa_memcached Service: RUNNING httpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING 15
    16. 16. © 2013 Acxiom Corporation. All Rights Reserved. FreeIPA - rozwiązanie darmowe by Red Hat - dostępne również płatne wsparcie - wstępnie skonfigurowane komponenty - serwer LDAP + ludzki interfejs 16
    17. 17. © 2013 Acxiom Corporation. All Rights Reserved. LDAP manualnie dn: uid=jsmith,ou=people,dc=dev,dc=local cn: John Smith givenName: John sn: Smith uid: jsmith uidNumber: 10000 gidNumber: 10000 homeDirectory: /home/jsmith mail: jsmith@dev.local objectClass: top objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person loginShell: /bin/bash userPassword: {CRYPT}* 17
    18. 18. © 2013 Acxiom Corporation. All Rights Reserved. LDAP FreeIPA 18
    19. 19. © 2013 Acxiom Corporation. All Rights Reserved. Instalacja/konfiguracja - serwer: pytania i odpowiedzi - klient: ipa-client-install - autodetekcja via DNS 19
    20. 20. © 2013 Acxiom Corporation. All Rights Reserved. Po stronie klienta 3.6. Setting up a Linux Client Through Kickstart 3.7. Configuring a Microsoft Windows System to Join the FreeIPA Realm 3.8. Configuring a Solaris System as a FreeIPA Client 3.9. Configuring an HP-UX System as a FreeIPA Client 3.10. Configuring an AIX System as a FreeIPA Client 20
    21. 21. FreeIPA - bonusy 21
    22. 22. © 2013 Acxiom Corporation. All Rights Reserved. One Time Passwords • Google Authenticator FreeOTP 22
    23. 23. © 2013 Acxiom Corporation. All Rights Reserved. Single Sign On - dystrybucja kluczy ssh? – nie, dziękuję - jedno hasło dziennie - webapps 23
    24. 24. © 2013 Acxiom Corporation. All Rights Reserved. sudo 24
    25. 25. © 2013 Acxiom Corporation. All Rights Reserved. sudo 25
    26. 26. © 2013 Acxiom Corporation. All Rights Reserved. Social network for sysadmins: $ wc -l .ssh/known_hosts 2140 .ssh/known_hosts 26
    27. 27. © 2013 Acxiom Corporation. All Rights Reserved. Rozszerzalność - to wciąż LDAP - API: - XMLRPC - JSON - Python SDK - CLI 27
    28. 28. © 2013 Acxiom Corporation. All Rights Reserved. © 2013 Acxiom Corporation. All Rights Reserved. Zintegrowane zarządzanie użytkownikami FreeIPA 2014-03-24 – tomasz.torcz@acxiom.com
    29. 29. © 2013 Acxiom Corporation. All Rights Reserved. Źródła - http://mindref.blogspot.com/2010/12/openldap- create-user.html - http://xkcd.com/149/ 29
    30. 30. © 2013 Acxiom Corporation. All Rights Reserved. DNS też w wersji dla ludzi! 30

    ×