标签: freeipa
用于 Linux 机器的 IPA 与仅 LDAP - 寻找比较
很少有(约 30 个)Linux (RHEL) 机器,我正在寻找集中且易于管理的解决方案,主要用于控制用户帐户。我熟悉 LDAP,并部署了 Red Hat (==FreeIPA) 的 IPA ver2 试点。
我知道理论上 IPA 提供了类似“MS Windows 域”的解决方案,但乍一看,它[还] 不是那么容易和成熟的产品。除了 SSO,是否有任何仅在 IPA 域中可用而在我使用 LDAP 时不可用的安全功能?
我对 IPA 域的 DNS 和 NTP 部分不感兴趣。
推荐指数
解决办法
查看次数
使用 FreeIPA 进行集中 sudo - 如何指定所有命令?
我很难把头放在 FreeIPA 的模型上。FreeIPA手册指出:
FreeIPA 为 sudo 命令组添加了一个额外的控制措施,它允许定义一组命令,然后将其作为一个应用到 sudo 配置中。
但他们的例子基本上谈创建sudo命令组,并添加特定的sudo的命令,就像vim和less一个“文件” sudo命令组。
例如从命令行:
ipa sudocmdgroup-add --desc 'File editing commands' files
ipa sudocmd-add --desc 'For editing files' '/usr/bin/vim'
ipa sudocmdgroup-add-member --sudocmds '/usr/bin/vim' files
但是您如何ALL像在 /etc/sudoers 中那样指定?这可以通配符(例如*)吗?
推荐指数
解决办法
查看次数
IPA 动态 DNS 仅更新 AAAA 记录。我的 A 记录在哪里?
我正在设置一个 FreeIPA 域。在我的实验室里有三个虚拟机:在域控制器ipadc1和两个客户端puppet和wordpress(创造性的,是的,我知道)。所有三个 VM 都运行新安装的 CentOS 6.4 (FreeIPA 3.0.0)。
我已经安装了 IPA 服务器,创建了一个我们将example.us在此处调用的域,并启用了 DNS 服务和自动 DNS 更新。
我已成功将两个 VM 加入域。但是动态 DNS 更新只是将 AAAA 记录放入 DNS。从来没有插入 A 记录。
我的动态更新 DNS 区域设置和 BIND 更新策略似乎也正确。
两个客户端虚拟机实际上都有IPv4 地址;puppet具有静态 IPv4 地址并wordpress从 DHCP 获取其 IPv4 地址。这似乎没什么区别。
# ip a s dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 52:54:00:3c:d5:f5 brd ff:ff:ff:ff:ff:ff
inet 172.25.50.227/24 brd 172.25.50.255 scope global …推荐指数
解决办法
查看次数
使用 FreeIPA 而不是 Active Directory 的 VMware vCenter/ESXi?
vCenter 可以针对 FreeIPA 而不是 Active Directory 进行身份验证吗?如果是这样,你会如何设置?
我们有一个纯 Linux 环境 (CentOS),需要 vCenter 和我们的 VM 拥有相同的用户。vCenter 部署为 Linux 设备。不想在我们的环境中使用 Windows 机器。
推荐指数
解决办法
查看次数
使用 Kerberos 和 Linux KDC 的 Windows 7 NFS 客户端
我正在尝试将 Windows 7 Enterprise 客户端配置为使用 Kerberos 和 Linux KDC 在 Linux NFS 服务器上挂载 NFSv4 共享。
设置是:
- IPA 服务器(操作系统:Scientific Linux 6.4,包:ipa-server)
- NFS 服务器(操作系统:Scientific Linux 6.4,包:nfs-utils)
- Windows 7 客户端(操作系统:64 位企业版,功能:NFS 客户端)
脚步:
在 IPA 服务器上,使用密码为 Windows 客户端创建一个主体:
Run Code Online (Sandbox Code Playgroud)ipa host-add --ip-address=10.10.0.100 win7ent-client.contoso.com ipa-getkeytab -s ipa.contoso.com -p host/win7ent-client.contoso.com -k win7ent-client.keytab -P ^ | This will create a principal and register the client with IPA server Set a random password - e.g. - jU96e3Urp6为客户端添加 NFS 服务:
ipa service-add nfs/win7ent-client.contoso.com
在 Windows 客户端上:
Run Code Online (Sandbox Code Playgroud)ksetup /setdomain …
推荐指数
解决办法
查看次数
freeipa ssl ldap 和循环 dns
我试图以一种可以回答的方式提出这个问题,但问题的一部分是了解我当前情况的影响,以及是否存在问题或技术债务会进一步困扰我。
我已经在主副本设置中设置了一些 IPA 服务器。
server1:dns A 记录(和 fqdn 主机名):srv1.mydomain.com
server2:dns A 记录(和 fqdn 主机名):srv2.mydomain.com
server3:dns A 记录(和 fqdn 主机名):srv3.mydomain.com
服务器的 cname 分别为 auth-a、auth-b、auth-c,并按照正常的 IPA 安装使用自签名证书。
对于 ssh 连接和 sssd 等,这可以正常工作数月。当尝试挂接只允许指定一个 ldap 服务器的应用程序时,问题就出现了。有用于故障转移的 SRV dns 记录设置,但为了让这些应用程序正常工作,我还放入了 dns 循环记录。
问题是这个循环只适用于普通的 ldap 查找,而不适用于 ldap ssl。但是,如果我禁用对 ssl 证书的检查,我可以使 ssl 工作。
所以……问题!
a) 实际上,禁用对内部服务的证书检查有多糟糕?将始终从 LAN 查询此 ldap 服务器。我相信我对可能的 MITM 攻击持开放态度,但我不确定我需要对此有多担心。我的意思是,现在我的另一个选择是不使用 ssl,这太可怕了。要执行 MITM 攻击,他们已经需要在我的网络上并控制 DNS,不是吗?任何可以将这种担忧量化为实际情况的建议都会有所帮助。
b)据我所知,要实际解决此问题,我需要在服务器的自签名证书上将 RR dns 条目作为主题 alt 名称。这意味着重新键入服务器,对吗?在 IPA 的情况下,这意味着将每个客户端重新加入IPA 以获得新证书。我认为这是一个非首发。
c) 考虑到 (a) 和 (b) 的当前情况和结果,您会推荐什么作为允许仅允许指定一个 ldap 服务器的应用程序的最佳行动方案(并且不要在任何情况下使用 SRV dns …
推荐指数
解决办法
查看次数
使用 FreeIPA 进行集中 sudo - 将 SSSD 用于 sudoers
我已经为集中式 sudo 设置了 FreeIPA,除了能够将 SSSD 用于 sudoers 之外,一切都运行良好。
如果我的客户端 /etc/nsswitch.conf 中有以下内容:
sudoers: files ldap
当 FreeIPA 服务器可用时,sudo 命令可按需要工作。但是,我想使用 SSSD,以便在 FreeIPA 服务器不可用的情况下,sudo 仍然可以工作。
当我在我的客户端 /etc/nsswitch.conf 中有以下内容时:
sudoers: files sss
我的 /etc/sssd/sssd.conf 如下:
[domain/example.com]
cache_credentials = True
ipa_domain = example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = host3.example.com
chpass_provider = ipa
ipa_server = _srv_, ipa.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2
domains = example.com
ldap_sudo_search_base = ou=SUDOers,dc=example,dc=com
.
.
.
[snip] …推荐指数
解决办法
查看次数
FreeIPA:防止本地 root 访问用户帐户
所以在问了这个问题之后,我一直在测试 FreeIPA 作为基于这个问题的中央认证源:管理对多个 linux 系统的访问
我遇到的一个问题是,如果用户被授予本地 root 权限,他们又可以以 FreeIPA 目录中的任何用户身份登录。即使该用户无权通过 HBAC 规则访问该特定机器。
示例场景:
- FreeIPA 客户端机器PC1。
- FreeIPA 中的两个用户:Bob 和 Alice。
- 爱丽丝不通过HBAC规则允许访问PC1。Bob 在 PC1 上有本地根。Bob 可以su成为 PC1 上的 Alice。
我能找到的唯一信息是在 /etc/pam.d/su 中注释掉这一行:
auth sufficient pam_rootok.so
如果他尝试以下操作,它现在会向本地 root 询问 Alice 的密码:su alice
但是,如果 Bob 具有 root 访问权限,他可以轻松启用上述 PAM/su 行。FreeIPA 不应该阻止 Alice 的帐户通过直接登录尝试或本地 root su访问 PC1吗?如何防止本地根用户以任何 FreeIPA 用户身份登录?
推荐指数
解决办法
查看次数
无法更改 FreeIPA 管理员的密码 - “当前密码的最短寿命尚未过期”
我们有一个基于 FreeIPA 的系统,管理员的密码已过期,需要更改,但通过 SSH 的标准密码更改程序失败:
sashka@cellar ~ ssh admin@ipa.xxxxxxxxxx.com
admin@ipa.xxxxxxxxxx.com's password:
Password expired. Change your password now.
Last failed login: Mon Jun 30 15:38:21 MSK 2014 from 116.10.191.195 on ssh:notty
There were 6071 failed login attempts since the last successful login.
Last login: Wed Apr 16 19:28:54 2014
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user admin.
Current Password:
New password:
Retype new password:
Password change failed. Server message: Current …推荐指数
解决办法
查看次数
将 Synology NAS 配置为 freeIPA 客户端
我正在尝试在我的公司中部署 freeIPA。网络很简单:
- < 10 台 FC20(和 FC21 测试版)台式机
- < 5 台 FC20 服务器(包括带有 freeIPA 的服务器)
- 1 台 Synology NAS DS1813+ (DSM 5.0)
我首先在 VM(包括 Synology NAS)上模拟所有内容。Synology 还应导出 NFS 共享并尽可能与 freeIPA 集成。另外,我希望它为 freeIPA 用户托管 NFS 主目录(主目录当前是客户端的本地目录)。
地位:
- freeIPA 服务器启动 (4.1.1)
- Fedora 客户端已注册,我可以使用 LDAP 用户登录
- Synology:问题
关于 Synology 客户端状态和我的具体问题:
ipa-client-installDSM没有,所以我尝试遵循通用和零散的(据我所知没有最新的手册)说明,例如:- 它可以看到并使用 freeIPA 服务器作为唯一的 DNS 服务器
- 提到的第一步是“安装 SSSD 1.5.x 或更高版本,如果尚未安装。 ”
- 问题是,SSSD 似乎不适用于 DSM。我能在这里做什么?
- SSSD 的缺席是一个阻碍吗?
- 下面的评论之一指出,这并没有阻止,因为 SSSD 只是一个客户端凭据缓存。但是:我可以忽略 SSSD 配置并忘记它吗,或者它的缺失是否意味着在客户端配置?它真的是完全可选的吗?
- NFS 共享:假设我设法正确注册了 Synology,我不太清楚要遵循哪些步骤才能将其用作 LDAP 用户的家庭共享。任何有经验的人都可以给我一个简短的清单吗?特别是关于要遵循的步骤的顺序?我知道如何在 …
推荐指数
解决办法
查看次数