Comments | ru_root: Про FreeIPA

dil in ru_root

Про FreeIPA

Aug 03, 2016 14:28

Кто-нибудь этой штукой пользуется? Какие у неё есть недостатки? Про достоинства-то на родном сайте много написано, но практическое использование обычно позволяет найти скрытые особенности ( Read more... )

debian, windows, linux, freebsd, authentication

Comments 12

princee740 August 3 2016, 13:42:11 UTC

Я так и не понял зачем оно на практике, но по заказу на дебиане завел клиента freipa, для подключения к обычному виндовому контроллеру. работает. юзеров авторизует.

dil August 3 2016, 15:44:21 UTC

Вот для аутентификации и авторизации оно и есть. Чтоб можно было хранить все данные про юзеров, пароли, группы, права доступа хранить в одном месте, и там этим всем управлять. + Автоматическая репликация на другие сервера. Примерно как в виндовой AD, но более гибко.

vlad_rulez August 3 2016, 14:29:38 UTC

Мы себе ставили на центос и использовали как центр авторизации пользователей через Керберос.
Клиенты для керберос есть под все.
Любой софт , что умеет керберос, может использовать авторизацию через нее.

princee740 August 3 2016, 14:48:44 UTC

А база пользователей на ldap\freeipa была или в АД?

vlad_rulez August 3 2016, 15:59:07 UTC

freeipa

dil August 3 2016, 15:45:57 UTC

А, например, Апач умеет авторизовать юзеров через Керберос?
А также sendmail и cyrus?

Thread 6

kranov August 3 2016, 15:26:51 UTC

Я сейчас работаю эникеем в конторе, которая года 4 использует. Сервера центос, клиенты тоже в основном, и убунты есть, но туда сложнее ставить (вроде). Используется для ssh идентификации по ключам и судо. Ну и ipa лдап для идентификации по паролям и авторизации (группы) в конфлюенс, гитлаб, дженкинс. В pfSense ipa ldap используем для авторизации юзеров в openvpn. Глючит редко и в целом стабильная система, мне нравится (например недавно sudo отвалилось на сервере в aws, потому что там статик хостнейм не был настроен и после ребута у сервера хостнейм стал как обычно aws ip-10-10-10-10, но заглючило не сразу, а через пару дней, там кеши в клиенте и все такое).

dil August 3 2016, 15:49:26 UTC

Вот у нас тут сервера тоже в основном с центос, но на сайте явно написано только про rhel и федору. Хотя они все в некоторой степени rh, но различия-то есть, потому и спрашиваю.

Ну если hostname поменялся, это нормальный повод для отваливания. Про новое имя же в базе ничего нет, вот оно и не работает.

ctapnep August 3 2016, 17:56:38 UTC

на сайте написано только то, с чем они конкретно сами работают, на чем тестируют и поддерживают. на всем остальном не поддерживают, не тестируют и ничего не гарантируют. но вроде как работает.

kranov August 4 2016, 01:00:53 UTC

centos отлично работает.
Прикол в том что hostname там конфиге есть у клиента freeipa и было непонятно в чем причина потому что в логах freeipa нифига не было.