我试图在我的公司部署freeIPA。 networking非常简单: <10 FC20(和FC21 beta)台式机 <5台FC20服务器(包括带有freeIPA的服务器) 1 Synology NAS DS1813 +(DSM 5.0) 我首先模拟虚拟机上的所有东西(包括Synology NAS)。 Synology也应该导出NFS共享,尽可能与freeIPA集成。 另外,我希望它为freeIPA用户提供NFS主目录(主目录目前在客户端是本地的)。 状态: freeIPA Server up(4.1.1) 注册Fedora客户端,我可以用LDAP用户login Synology:问题 关于Synology的客户状态和我的具体问题: DSM没有ipa-client-install ,所以我试图遵循通用和零散的(最新的手册不可用,据我所知)指令,如: http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/linux-manual.html http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/kerb-nfs.html http://wiki.linux-nfs.org/wiki/index.php/NFS_and_FreeIPA 它可以看到并使用freeIPA服务器作为唯一的DNS服务器 提到的第一步是“ 安装SSSD 1.5.x或更高版本,如果尚未安装。 问题是,SSSD似乎不适用于DSM。 我能在这里做什么? SSSD的缺席是一个表演塞? 下面的一个评论指出,这不是一个显示限制,因为SSSD只是一个客户端的凭证caching。但是:我可以忽略SSSDconfiguration,忘记它,或者它的缺席意味着一些不同的步骤客户端configuration? 这真的是可选的吗? NFS共享:假设我设法正确地注册了Synology,我不清楚为了将LDAP用户作为主共享使用哪些步骤。 有经验的人能给我一个简短的清单吗? 特别是关于要遵循的步骤的顺序 ? 我知道如何在Synology站点创build导出,以及如何从客户端使用它。 但是在这里,我还有另外一些困难,就是把出口作为家庭用品,并将其整合到免费的IPA中。 增加的复杂性,没有明确的指导给我头痛。 注意到用户很less,所以我更愿意创build新的LDAP用户,然后移动/重新拥有文件,而不是迁移用户。 我想尽可能避免的是用Synology站中的configuration文件手动搞定。 只要我通过用户界面做事情,我就可以把事情的可能性降到最低。 万一有什么不足之处,我很乐意更新这个问题。 谢谢!
我已经为中央sudo设置了FreeIPA,除了能够为sudoers使用SSSD之外,所有的工作都很好。 如果我在我的客户端/etc/nsswitch.conf中有以下内容: sudoers: files ldap 当FreeIPA服务器可用时,sudo命令可以按需要工作。 不过,我想使用SSSD,以便在FreeIPA服务器不可用的情况下,sudo仍然可以工作。 当我在我的客户端/etc/nsswitch.conf中有以下内容: sudoers: files sss 而我的/etc/sssd/sssd.conf如下: [domain/example.com] cache_credentials = True ipa_domain = example.com id_provider = ipa auth_provider = ipa access_provider = ipa ipa_hostname = host3.example.com chpass_provider = ipa ipa_server = _srv_, ipa.example.com ldap_tls_cacert = /etc/ipa/ca.crt [sssd] services = nss, pam, ssh, sudo config_file_version = 2 domains = example.com ldap_sudo_search_base […]
我很难在FreeIPA的模型中缠住我的头。 FreeIPA 手册指出: FreeIPA增加了一个额外的控制措施与sudo命令组,允许一组命令被定义,然后作为一个应用到sudoconfiguration。 但是他们的例子基本上是讨论创build一个sudo命令组,然后在“files”sudo命令组中添加特定的 sudo命令,比如vim和less 。 例如从命令行: ipa sudocmdgroup-add –desc 'File editing commands' files ipa sudocmd-add –desc 'For editing files' '/usr/bin/vim' ipa sudocmdgroup-add-member –sudocmds '/usr/bin/vim' files 但是,如何在/ etc / sudoers中指定ALL ? 这可以通配(例如*)吗?
我试图以一种可以回答的方式提出这个问题,但是问题的一部分就是知道我现在的情况,以及是否存在一个问题或技术债务,这些问题会进一步激化我。 我已经在主副本设置中设置了几个IPA服务器。 server1:dns一个logging(和fqdn主机名):srv1.mydomain.com server2:dns一个logging(和fqdn主机名):srv2.mydomain.com server3:dns一个logging(和fqdn主机名):srv3.mydomain.com 服务器分别具有auth-a,auth-b,auth-c的cname,并按照正常的IPA安装使用自签名证书。 这工作很好几个月的SSH连接和sssd等。 当试图在仅允许指定一个ldap服务器的应用程序中挂钩时,问题就到了。 有SRV DNSlogging设置故障转移,但为了让这些应用程序的工作,我还把一个DNS轮循环logging。 赶上这轮循环只适用于正常的ldap查找,而不是ldap ssl。 我可以使SSL工作,但是如果我禁用检查SSL证书。 所以…问题! a)实际上,禁用内部服务证书检查有多糟糕? 总是会从LAN查询这个ldap服务器。 我相信我被打开到可能的MITM攻击,但我不确定我需要如何担心。 我的意思是,现在我的其他select是不使用SSL,这是可怕的酱。 为了执行MITM攻击,他们已经需要在我的networking上并控制DNS了,不是吗? 任何可以将这个问题量化为实际意见的build议都是有帮助的。 b)据我所知,它实际上是解决这个问题,我需要给RR dns条目作为服务器的自签名证书上的主题ALT名称。 这意味着重新键入服务器,对吧? 在IPA的情况下意味着每个客户重新joinIPA以获得新证书。 我觉得这是一个不起眼的东西。 c)考虑到(a)和(b)的现状和结果,你认为最好的做法是允许只允许指定一个ldap服务器的应用程序(并且不使用任何SRV dnslogging方式)故障转移到另一台服务器应该下降,仍然允许ldap通过SSL给我的证书?
我试图configuration一个Windows 7企业客户端,使用Kerberos和Linux KDC在Linux NFS服务器上安装NFSv4共享。 设置是: IPA服务器(操作系统:Scientific Linux 6.4,Pkg:ipa-server) NFS服务器(操作系统:Scientific Linux 6.4,Pkg:nfs-utils) Windows 7客户端(操作系统:企业版64位,function:NFS客户端) 脚步: 在IPA服务器上,为Windows客户端创build一个主体,并input密码: ipa host-add –ip-address=10.10.0.100 win7ent-client.contoso.com ipa-getkeytab -s ipa.contoso.com -p host/win7ent-client.contoso.com -k win7ent-client.keytab -P ^ | This will create a principal and register the client with IPA server Set a random password – eg – jU96e3Urp6 为客户端添加NFS服务: ipa service-add nfs / win7ent-client.contoso.com […]
我正在build立一个FreeIPA域名。 在我的实验室里有三台虚拟机:域控制器ipadc1 ,和两个客户puppet和wordpress (创意,是的,我知道)。 所有三个虚拟机都运行新安装的CentOS 6.4(FreeIPA 3.0.0)。 我已经安装了IPA服务器,创build了一个域,我们将在这里调用example.us ,启用DNS服务和自动DNS更新。 我已经成功将两个虚拟机join了域。 但dynamicDNS更新只能将AAAAlogging放入DNS中。 没有Alogging被插入。 dyanmic更新和BIND更新策略的DNS区域设置似乎也是正确的。 两个客户端虚拟机实际上都有 IPv4地址; puppet有一个静态的IPv4地址, wordpress从DHCP获取它的IPv4地址。 这似乎没有什么差别。 # ip as dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:3c:d5:f5 brd ff:ff:ff:ff:ff:ff inet 172.25.50.227/24 brd 172.25.50.255 scope global eth0 inet6 2001:db8:16:bf:5054:ff:fe3c:d5f5/64 scope global dynamic valid_lft 86180sec preferred_lft 14180sec inet6 […]
几乎没有(〜30)Linux(RHEL)盒子,我正在寻找集中和简单的pipe理解决scheme,主要是为了控制用户帐户。 我熟悉LDAP,并且我从Red Hat部署了一个IPA ver2(== FreeIPA)的试点。 据我所知,理论上IPA提供了“MS Windows域”的解决scheme,但是一目了然,它还不是那么容易和成熟的产品。 除了SSO,是否有任何安全function只能在IPA域中使用,而在使用LDAP时不可用? 我对IPA域的DNS和NTP部分并不感兴趣。