Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Free IPA (Identity - Policy - Audit) - OSDCM: User Management

371

Published on

inovex interner Vortrag/Brownbag …

inovex interner Vortrag/Brownbag

1. Was ist Free IPA ?
2. Übersicht
3. CLI und Web-GUI
4. Windows AD Anbindung
5. Framework
6. Umgebung
7. Architektur
8. Server
9. Client
10.Multi Master Replication
11.Praxis
12.Free IPA Server Installation
13.Free IPA Client Installation
14.Free IPA CLI Management

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
371
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Free IPA (Identity – Policy - Audit) OSDCM: User Management Jürgen Brunk München, 06.05.2014
  • 2. Free IPA 2 1. Was ist Free IPA ? 2. Übersicht 3. CLI und Web-GUI 4. Windows AD Anbindung 5. Framework 6. Umgebung 7. Architektur 8. Server 9. Client 10.Multi Master Replication 11.Praxis 12.Free IPA Server Installation 13.Free IPA Client Installation 14.Free IPA CLI Management Agenda
  • 3. Was ist Free IPA ?
  • 4. Free IPA 4 Was ist Free IPA ? Übersicht Eine Art „Active Directory“ für Linux Zentrale Verwaltung von Benutzerkonten und Regelwerken ● Benutzer/Hosts/Gruppen, Kennwörter ● SUDO Rechte, SSH Keys ● DNS Verwaltung, Zertifikate/PKI ● und vieles mehr …
  • 5. Free IPA 5 Was ist Free IPA ? CLI und Web-GUI
  • 6. Free IPA 6 Was ist Free IPA ? Windows AD Anbindung lässt sich auch an eine bestehende Windows AD Umgebung anbinden (kein Ersatz dafür!) seit Free IPA v2: Replikation von Benutzern und Passwörtern vom AD zu Free IPA seit Free IPA v3: Anbindung vom AD per „trusted link“ an Free IPA, SSO von einer Windows zu einer Linux Maschine
  • 7. Free IPA 7 Was ist Free IPA ? Framework Open Source Framework: ● MIT Kerberos Server (SSO) ● 389 Directory Server (LDAP) ● SSS* (System Security Services) ● Dogtag PKI ● Bind DNS ● NTP ● Samba ● Apache
  • 8. Free IPA 8 Was ist Free IPA ? Umgebung (aktuell) reines RedHat Projekt (aktuell) offiziell supported: Fedora / Red Hat Enterprise Linux Empfohlen: Fedora 20 / RHEL 7
  • 9. Architektur
  • 10. Free IPA 10 Architektur IPA Server
  • 11. Free IPA 11 Architektur IPA Client
  • 12. Free IPA 12 Architektur Multi Master Replication
  • 13. Fragen soweit ?
  • 14. Praxis
  • 15. Free IPA Server Installation
  • 16. Free IPA 16 Free IPA Server Installation 1/3 # cat /etc/redhat-release Fedora release 20 (Heisenbug) # Firewall disablen (macht den Testbetrieb einfacher) # systemctl disable firewalld # systemctl stop firewalld # cat /etc/hosts 192.168.10.2 freeipa.local.domain freeipa # cat /etc/hostname freeipa.local.domain # yum install bind-dyndb-ldap freeipa-server
  • 17. Free IPA 17 Free IPA Server Installation 2/3 # ipa-server-install --setup-dns --mkhomedir Server host name [freeipa.local.domain]: Please confirm the domain name [local.domain]: Please provide a realm name [LOCAL.DOMAIN]: Directory Manager password: ***** IPA admin password: ***** Do you want to configure DNS forwarders? [yes]: Enter IP address for a DNS forwarder: 8.8.8.8 Enter IP address for a DNS forwarder: 8.8.4.4 Do you want to configure the reverse zone? [yes]: Please specify the reverse zone name [10.168.192.in- addr.arpa.]: Continue to configure the system with these values? [no]: yes
  • 18. Free IPA 18 Free IPA Server Installation 3/3 # kinit admin Password for admin@LOCAL.DOMAIN: ***** # klist Ticket cache: KEYRING:persistent:0:0 Default principal: admin@LOCAL.DOMAIN Valid starting Expires Service principal 05.05.2014 11:26:52 06.05.2014 11:26:49 krbtgt/LOCAL.DOMAIN@LOCAL.DOMAIN # optional: Deinstallation ;-) # ipa-server-install --uninstall --unattended
  • 19. Free IPA Client Installation
  • 20. Free IPA 20 Free IPA Client Installation 1/1 # yum install freeipa-client # ipa-client-install --mkhomedir ggf. SSSd Configuration nachbessern wenn „sudo“ nicht funktioniert: /etc/nsswitch.conf: +sudoers: files sss /etc/sssd/sssd.conf: [sssd] -services = nss, pam, ssh +services = nss, pam, ssh, sudo # systemctl restart sssd
  • 21. Free IPA CLI Management
  • 22. Free IPA 22 Free IPA CLI Management 1/2 # Kerberos Ticket erzeugen # kinit admin # ipa help user # neuen User „jdoe“ mit Zufalls-Password anlegen # ipa user-add jdoe --first John --last Doe --random # nach User suchen # ipa user-find john # User Infos anzeigen # ipa user-show jdoe
  • 23. Free IPA 23 Free IPA CLI Management 2/2 # neue Gruppe anlegen # ipa group-add foo # User einer neuen Gruppe zuweisen # ipa group-add-member foo --user jdoe # Password neu setzen # ipa passwd jdoe # SSH Key zuweisen # ipa user-mod jdoe --sshpubkey="ssh-rsa AAAA...“ # User löschen # ipa user-del jdoe
  • 24. Noch Fragen ?
  • 25. Quellennachweise und Links
  • 26. Free IPA 26 Quellennachweise Quellennachweise: www.freeipa.org www.fedoraproject.org www.redhat.com Images: www.freeipa.org www.fedoraproject.org www.redhat.com www.linux-magazine.com
  • 27. Free IPA 27 Links Links: Free-IPA Website: www.freeipa.org Free-IPA Dokumentation: www.freeipa.org/page/Quick_Start_Guide www.freeipa.org/page/HowTos
  • 28. 28 Vielen Dank für Ihre Aufmerksamkeit Kontakt Jürgen Brunk Systems Engineer inovex GmbH Office München Valentin-Linhof Str. 2 D-81829 München Mobil: 0173 3181 003 Mail: juergen.brunk@inovex.de

×