在$ company,我们目前有一个基于OpenLDAP的设置,它包含一些本地化的Whomemutated层次结构,以及一些存储在MySQL中的其他数据。 OpenLDAP服务器包含内部用户,客户联系人(可以访问部分内部工具,所以有一些用户/密码信息),与我们合作的自由职业者以及地址簿等数据。 MySQL DB包含一些来自同一用户的重复数据,以及一些补充信息,如关于客户公司的数据,依赖于公司和扩展到客户的项目等。 我的理想计划是把所有事情都整合成一个真理的源头。 FreeIPA对我们有趣的部分是: 提供LDAP入口点,我们使用的所有内部服务都可以绑定到LDAP服务器 提供REST入口点,对于我们的内部开发来说是理想的。 因为它基本上与pipe理授权所需的一切有关,所以易于集成 以某种方式标准(通过完全本土的反对)层次结构 作为文档状态,FreeIPA只关注于一个IdM,而不是一个通用的LDAP存储,但这意味着如果你想扩展你的关系信息(例如:对于这个项目,我们有这些内部用户,那些客户端),您必须在另一个工具(用户名/用户ID,FreeIPA中的用于授权的组,匹配项目或互补数据存储中的公司)中有一些重复。 这意味着两个商店的数据之间可能存在不连贯的状态,需要进行某种同步等。 因此,我想知道是否将FreeIPA扩展到存储公司或项目信息将是一个坏主意,如果是这样,为什么呢?
首先,我的经验在于networking(思科)和Windows。 这就是说,我已经开始devise一个多站点FreeIPA安装的项目。 我有单站点FreeIPA没有问题。 我遇到问题的地方是多地点。 假设我有三个网站: site1.example.com site2.example.com site3.example.com 我想成为我的首要领域example.com。 我需要一个IPA服务器来运行example.com吗? 在创build第一个IPA服务器ipa.site1.example.com并使用example.com域名时,没有为example.com创builddns区域。 我只有site1.example.com的DNS区域。 领域和DNS区域的文档似乎是不存在的(或者我只是看错方向)。 如果有人有这方面的经验,或者可以指点我的方向,我将不胜感激。
我有一个约3-6个CentOS服务器的networking,约有5-10个用户(目前和不久的将来)。 我正在寻找一个集中pipe理用户的解决scheme。 我的要求是: Linuxauthentication(login到服务器) 与Samba集成 – 仅将Linux文件公开给Windows; 我不想使用此解决schemelogin到Windows机器 API到其他需要authentication的服务,如Redmine或Alfresco 简单的pipe理 尝试了OpenLDAP,但对于我的小型networking来说似乎太复杂了。 然后,我已经安装了RedHat的IdM(= FreeIPA),这很容易安装,并且非常好pipe理。 这也是基于LDAP,所以我认为它会和其他玩家一起玩。 令人惊讶的是,似乎IdM / FreeIPA并没有很好地与Samba集成。 此外,似乎我错了,IdM / FreeIPA不公开其LDAP服务器的其他服务 – 他们必须被Kerberized,这使业务复杂… 所以,合理的解决scheme似乎回到了LDAP。 我对么? 但即使使用LDAP,我也不确定什么是正确的方法… OpenLDAP / 389服务器 具有LDAP后端的Samba3或具有内置LDAP的Samba4 https://gna.org/projects/smbldap-tools/ 我甚至不知道我在问正确的问题:)
简单地说:我想确保我的authenticationpath在整个path上被encryption。 (例如,从笔记本电脑→SSH主机;从SSH主机→authentication服务器;从SSH主机→其他主机encryption) 我在跑步 CentOS 7上的FreeIPA作为中央authentication服务器。 运行freeipa-client Ubuntu软件包3.3.4-0ubuntu3.1的Ubuntu 14.04客户端 这被configuration为一旦连接到login服务器,就使用Kerberos票据来authentication我们环境中的服务器。 即从login服务器到环境中的其他服务器的SSH。 login服务器是我最不确定的组件。 它configuration如下: [domain/mydom.example.com] cache_credentials = True krb5_store_password_if_offline = True krb5_realm = MYDOM.EXAMPLE.COM ipa_domain = mydom.example.com id_provider = ipa auth_provider = ipa access_provider = ipa ipa_hostname = loginhost.mydom.example.com chpass_provider = ipa ipa_server = _srv_, ipaserver.mydom.example.com ldap_tls_cacert = /etc/ipa/ca.crt [sssd] services = nss, pam, ssh, sudo config_file_version […]
我在哪里可以find有关CentOS软件包pipe理的信息? 我最近安装了Spacewalk,注意到FreeIPA被列为准备升级。 这些版本的命名是不同的,FreeIPA邮件列表说这是一个CentOS问题。 我无法find谁在哪里问什么版本的差异。 版本是: 安装软件包ipa-server-4.2.0-15.el7.centos.3.x86_64 更新候选人ipa-server-4.2.0-15.el7_2.6.x86_64
我在安装FreeIPA遇到了一个问题。 问题是每次运行安装程序时, FreeIPA应用程序都不会从主机文件读取,而是尝试使用DNS查询来parsing域名(我的机器的主机名)。 我正在使用CentOS Linux release 7.3.1611 (Core) 以下是我的/etc/hosts文件中的条目: [root@ipa ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.28.5 ipa.example.com ipa /etc/resolve.conf条目 [root@ipa ~]# cat /etc/resolv.conf # Generated by NetworkManager search example.com 如果我在上面添加了一个DNS条目,则从该DNSparsing域example.com ,并且如果查询外部DNS,则会观察到以下错误。 Please provide a realm name [EXAMPLE.COM]: Checking DNS domain example.com., please wait … ipa.ipapython.install.cli.install_tool(Server): ERROR DNS […]
简短的问题描述 这个问题是关于NFSv4中的id映射出错的。 NFS服务器:Synology DS,DSM 5.2。 客户端:常规FC22机器,它自动挂载为上面导出的文件夹之一。 这两台机器都注册了一个freeIPA域的客户端,因此使用freeIPA服务器作为DNS和LDAP服务器。 当LDAP用户login客户端时,它会find已安装的文件夹。 所以挂载工作。 但是,文件的所有权被映射为nobody:nobody 。 我知道这个“没有人问题”并不是什么新东西,但是迄今为止我find的解决scheme都没有解决这个问题。 LDAP用户login和文件触摸 $ ssh ldapuser1@client1 ldapuser1@client1's password: -bash-4.3$ id uid=1172000004(ldapuser1) gid=1172000004(ldapuser1) groups=1172000004(ldapuser1) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 ldapuser1可以正确login并具有uid 1172000004。 -bash-4.3$ pwd /home/ldapuser1 -bash-4.3$ ls -lan total 8 drwxrwxrwx. 2 1172000004 1172000004 4096 18 aug 17:34 . drwxr-xr-x. 3 0 0 0 18 aug 18:33 .. LDAP用户在其主目录中正确着陆,先创build并分配给他。 但是任何新文件都会得到错误的所有权: -bash-4.3$ […]
我正在考虑将FreeIPA与Active Directory环境集成在一起,但我没有完全控制,而且很可能无法通过FreeIPA安装获得信任关系设置。 我对FreeIPA的需求很简单,只需要使用它进行LDAP密码validation。 我想保留在Active Directory中设置的相同用户名和密码,并让FreeIPA与AD的Kerberos进行身份validation。 有没有人有任何指导如何设置?
我在几台机器上遇到freeipa问题。 debugging到目前为止非常令人沮丧。 这是问题的细节; 它如何体现: 用户可以很好地login到任何主机,但在一些主机上,他们不能运行sudo命令。 我知道的: 有一个IPA的sudo策略是“允许这个用户在任何主机上运行任何命令”,还有一个“允许这个用户在任何主机上使用任何服务”的HBAC策略,所以我认为我可以排除IPA策略是一个问题。 这似乎只影响机器,当他们联系一台特定的ipa服务器(通过dns srvlogging)时,根据tcpdump,我通过刷新sss_cache和做sudo -k来确定。 其中一台机器实际上是ipa服务器本身,所以我排除了networking/防火墙的原因。 我非常确定它仅限于那个ipa服务器,以及使用特定ipa服务器的客户端。 只关注ipa服务器本身,并将其与我的其他ipa服务器之一sudo.conf,sudoers,sssd.conf是相同的(减去debugging添加到破碎的)。 两个都有自己的局域网ip在/ etc / hosts中,都使用ntpd(我认为这排除了kerberos计时问题)。 除了打开debuggingsssd.conf和sudo.conf文件是干净的安装。 破损的ipa服务器是第一个安装的,所以它是主ca等 有问题的机器上的Sudo(为了简单起见,我专注于破碎的ipa服务器本身)对在/ etc / sudoers文件/ etc / passwd等中本地定义的用户有效。 细节: 所有的机器都使用centos 7,而ipa 4.2.0 日志:(域名和用户清理) =-=-=- from end of sssd logs on server1 =-=-=- (Tue Jun 28 23:21:33 2016) [sssd[be[domain.com]]] [set_server_common_status] (0x0100): Marking server 'server1.domain.com' as 'working' (Tue Jun […]
我正在寻找添加字段到FreeIPA 4.4中的用户定义。 现在我已经修改了用户架构,并在Web UI中添加了各个版本的字段。 现在我想能够通过JSON API并通过CLI工具来更改添加的新字段(国家代码c和国家/地区名称co )。 这将需要改变已经存在的API调用,例如user_add , user_show等 我已经find了这样的插件的例子,但对于FreeIPA 3,似乎从那时起python API改变了,因为这些都不工作,当我适应那些良好的字段名称。 我得到以下错误: $ ipa ipa: ERROR: ImportError: No module named plugins Traceback (most recent call last): File "/usr/lib/python2.7/site-packages/ipalib/cli.py", line 1348, in run api.finalize() File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 707, in finalize self.__do_if_not_done('load_plugins') File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 422, in __do_if_not_done getattr(self, name)() File "/usr/lib/python2.7/site-packages/ipalib/plugable.py", line 586, in […]