• Like

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Free IPA (Identity - Policy - Audit) - OSDCM: User Management

  • 256 views
Published

inovex interner Vortrag/Brownbag …

inovex interner Vortrag/Brownbag

1. Was ist Free IPA ?
2. Übersicht
3. CLI und Web-GUI
4. Windows AD Anbindung
5. Framework
6. Umgebung
7. Architektur
8. Server
9. Client
10.Multi Master Replication
11.Praxis
12.Free IPA Server Installation
13.Free IPA Client Installation
14.Free IPA CLI Management

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
256
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Free IPA (Identity – Policy - Audit) OSDCM: User Management Jürgen Brunk München, 06.05.2014
  • 2. Free IPA 2 1. Was ist Free IPA ? 2. Übersicht 3. CLI und Web-GUI 4. Windows AD Anbindung 5. Framework 6. Umgebung 7. Architektur 8. Server 9. Client 10.Multi Master Replication 11.Praxis 12.Free IPA Server Installation 13.Free IPA Client Installation 14.Free IPA CLI Management Agenda
  • 3. Was ist Free IPA ?
  • 4. Free IPA 4 Was ist Free IPA ? Übersicht Eine Art „Active Directory“ für Linux Zentrale Verwaltung von Benutzerkonten und Regelwerken ● Benutzer/Hosts/Gruppen, Kennwörter ● SUDO Rechte, SSH Keys ● DNS Verwaltung, Zertifikate/PKI ● und vieles mehr …
  • 5. Free IPA 5 Was ist Free IPA ? CLI und Web-GUI
  • 6. Free IPA 6 Was ist Free IPA ? Windows AD Anbindung lässt sich auch an eine bestehende Windows AD Umgebung anbinden (kein Ersatz dafür!) seit Free IPA v2: Replikation von Benutzern und Passwörtern vom AD zu Free IPA seit Free IPA v3: Anbindung vom AD per „trusted link“ an Free IPA, SSO von einer Windows zu einer Linux Maschine
  • 7. Free IPA 7 Was ist Free IPA ? Framework Open Source Framework: ● MIT Kerberos Server (SSO) ● 389 Directory Server (LDAP) ● SSS* (System Security Services) ● Dogtag PKI ● Bind DNS ● NTP ● Samba ● Apache
  • 8. Free IPA 8 Was ist Free IPA ? Umgebung (aktuell) reines RedHat Projekt (aktuell) offiziell supported: Fedora / Red Hat Enterprise Linux Empfohlen: Fedora 20 / RHEL 7
  • 9. Architektur
  • 10. Free IPA 10 Architektur IPA Server
  • 11. Free IPA 11 Architektur IPA Client
  • 12. Free IPA 12 Architektur Multi Master Replication
  • 13. Fragen soweit ?
  • 14. Praxis
  • 15. Free IPA Server Installation
  • 16. Free IPA 16 Free IPA Server Installation 1/3 # cat /etc/redhat-release Fedora release 20 (Heisenbug) # Firewall disablen (macht den Testbetrieb einfacher) # systemctl disable firewalld # systemctl stop firewalld # cat /etc/hosts 192.168.10.2 freeipa.local.domain freeipa # cat /etc/hostname freeipa.local.domain # yum install bind-dyndb-ldap freeipa-server
  • 17. Free IPA 17 Free IPA Server Installation 2/3 # ipa-server-install --setup-dns --mkhomedir Server host name [freeipa.local.domain]: Please confirm the domain name [local.domain]: Please provide a realm name [LOCAL.DOMAIN]: Directory Manager password: ***** IPA admin password: ***** Do you want to configure DNS forwarders? [yes]: Enter IP address for a DNS forwarder: 8.8.8.8 Enter IP address for a DNS forwarder: 8.8.4.4 Do you want to configure the reverse zone? [yes]: Please specify the reverse zone name [10.168.192.in- addr.arpa.]: Continue to configure the system with these values? [no]: yes
  • 18. Free IPA 18 Free IPA Server Installation 3/3 # kinit admin Password for admin@LOCAL.DOMAIN: ***** # klist Ticket cache: KEYRING:persistent:0:0 Default principal: admin@LOCAL.DOMAIN Valid starting Expires Service principal 05.05.2014 11:26:52 06.05.2014 11:26:49 krbtgt/LOCAL.DOMAIN@LOCAL.DOMAIN # optional: Deinstallation ;-) # ipa-server-install --uninstall --unattended
  • 19. Free IPA Client Installation
  • 20. Free IPA 20 Free IPA Client Installation 1/1 # yum install freeipa-client # ipa-client-install --mkhomedir ggf. SSSd Configuration nachbessern wenn „sudo“ nicht funktioniert: /etc/nsswitch.conf: +sudoers: files sss /etc/sssd/sssd.conf: [sssd] -services = nss, pam, ssh +services = nss, pam, ssh, sudo # systemctl restart sssd
  • 21. Free IPA CLI Management
  • 22. Free IPA 22 Free IPA CLI Management 1/2 # Kerberos Ticket erzeugen # kinit admin # ipa help user # neuen User „jdoe“ mit Zufalls-Password anlegen # ipa user-add jdoe --first John --last Doe --random # nach User suchen # ipa user-find john # User Infos anzeigen # ipa user-show jdoe
  • 23. Free IPA 23 Free IPA CLI Management 2/2 # neue Gruppe anlegen # ipa group-add foo # User einer neuen Gruppe zuweisen # ipa group-add-member foo --user jdoe # Password neu setzen # ipa passwd jdoe # SSH Key zuweisen # ipa user-mod jdoe --sshpubkey="ssh-rsa AAAA...“ # User löschen # ipa user-del jdoe
  • 24. Noch Fragen ?
  • 25. Quellennachweise und Links
  • 26. Free IPA 26 Quellennachweise Quellennachweise: www.freeipa.org www.fedoraproject.org www.redhat.com Images: www.freeipa.org www.fedoraproject.org www.redhat.com www.linux-magazine.com
  • 27. Free IPA 27 Links Links: Free-IPA Website: www.freeipa.org Free-IPA Dokumentation: www.freeipa.org/page/Quick_Start_Guide www.freeipa.org/page/HowTos
  • 28. 28 Vielen Dank für Ihre Aufmerksamkeit Kontakt Jürgen Brunk Systems Engineer inovex GmbH Office München Valentin-Linhof Str. 2 D-81829 München Mobil: 0173 3181 003 Mail: juergen.brunk@inovex.de