Кто-нибудь этой штукой пользуется? Какие у неё есть недостатки? Про достоинства-то на родном сайте много написано, но практическое использование обычно позволяет найти скрытые особенности
( Read more... )
Я так и не понял зачем оно на практике, но по заказу на дебиане завел клиента freipa, для подключения к обычному виндовому контроллеру. работает. юзеров авторизует.
Вот для аутентификации и авторизации оно и есть. Чтоб можно было хранить все данные про юзеров, пароли, группы, права доступа хранить в одном месте, и там этим всем управлять. + Автоматическая репликация на другие сервера. Примерно как в виндовой AD, но более гибко.
Мы себе ставили на центос и использовали как центр авторизации пользователей через Керберос. Клиенты для керберос есть под все. Любой софт , что умеет керберос, может использовать авторизацию через нее.
Я сейчас работаю эникеем в конторе, которая года 4 использует. Сервера центос, клиенты тоже в основном, и убунты есть, но туда сложнее ставить (вроде). Используется для ssh идентификации по ключам и судо. Ну и ipa лдап для идентификации по паролям и авторизации (группы) в конфлюенс, гитлаб, дженкинс. В pfSense ipa ldap используем для авторизации юзеров в openvpn. Глючит редко и в целом стабильная система, мне нравится (например недавно sudo отвалилось на сервере в aws, потому что там статик хостнейм не был настроен и после ребута у сервера хостнейм стал как обычно aws ip-10-10-10-10, но заглючило не сразу, а через пару дней, там кеши в клиенте и все такое).
Вот у нас тут сервера тоже в основном с центос, но на сайте явно написано только про rhel и федору. Хотя они все в некоторой степени rh, но различия-то есть, потому и спрашиваю.
Ну если hostname поменялся, это нормальный повод для отваливания. Про новое имя же в базе ничего нет, вот оно и не работает.
на сайте написано только то, с чем они конкретно сами работают, на чем тестируют и поддерживают. на всем остальном не поддерживают, не тестируют и ничего не гарантируют. но вроде как работает.
centos отлично работает. Прикол в том что hostname там конфиге есть у клиента freeipa и было непонятно в чем причина потому что в логах freeipa нифига не было.
Comments 12
Reply
Reply
Клиенты для керберос есть под все.
Любой софт , что умеет керберос, может использовать авторизацию через нее.
Reply
Reply
Reply
А также sendmail и cyrus?
Reply
Reply
Ну если hostname поменялся, это нормальный повод для отваливания. Про новое имя же в базе ничего нет, вот оно и не работает.
Reply
Reply
Прикол в том что hostname там конфиге есть у клиента freeipa и было непонятно в чем причина потому что в логах freeipa нифига не было.
Reply
Leave a comment