freeipa - jhrozek.fedorapeople.org · sssd v yhody sssd podporuje v ce "dom en" odd elen...
TRANSCRIPT
![Page 1: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/1.jpg)
FreeIPA
Red Hat Czech Open House
![Page 2: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/2.jpg)
1 Centralizovana sprava uzivatelu
2 FreeIPA
3 SSSD
4 Identity Management v Brne
![Page 3: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/3.jpg)
Section 1
Centralizovana sprava uzivatelu
![Page 4: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/4.jpg)
Centralizovana sprava uzivatelu
Sprava uzivatelu ve vetsı organizaci
na osobnım stroji lokalnı uzivatele
/etc/passwd, /etc/shadow
vetsı organizace potrebujı ucty spravovat centralne
snadna instalace a spravacentralizovane rozhranıdelegace prav (SUDO, selfservice, . . . )
![Page 5: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/5.jpg)
Centralizovana sprava uzivatelu
Obecne centralizovane resenı
databaze pro ukladanı uzivatelu, stroju
LDAP - replikace, distribuce
prihlasovanı, single sign on
Kerberos
sprava stroju, sluzeb
DNS, Certificate Authority
![Page 6: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/6.jpg)
Centralizovana sprava uzivatelu
LDAP, Kerberos
LDAP
databaze se stromovou strukturouukladanı uzivatelu a skupin, adresar pro e-mailove klientyimplementace: OpenLDAP, Active Directory, 389DS, . . .
Kerberos
protokol pro autentizacisingle sign-on, uzivatel obdrzı ticket z Key Distribution Centera ten pouzıva pro prihlasovanı
![Page 7: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/7.jpg)
Centralizovana sprava uzivatelu
Prıklad uzivatele v LDAPu
uzivatel v /etc/passwd
jakub:x:500:500:Jakub Hrozek:/home/jakub:/bin/bash
uzivatel v LDAPu
dn: cn=jakub,ou=People,dc=redhat,dc=comobjectClass: posixAccountobjectClass: inetOrgPersonuid: jakubuidNumber: 500gidNumber: 500homeDirectory: /home/jakubgecos: Jakub HrozekloginShell: /bin/bashcn: jakub
![Page 8: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/8.jpg)
Centralizovana sprava uzivatelu
Obecne centralizovane resenı
Open Source komponenty existujı a pouzıvajı se
slozita integrace, spatna abstrakce
administrator chce pridat uzivatele, ne vytvorit zaznam vLDAPu
hotova resenı vetsinou proprietarnı
MS Active DirectoryNovell eDirectory
![Page 9: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/9.jpg)
Section 2
FreeIPA
![Page 10: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/10.jpg)
FreeIPA
FreeIPA
Free Identity, Policy, Audit
Identity - sprava uzivatelu, stroju, sluzeb, DNSPolicy - kvalita hesel, SUDO, HBACAudit - TBD
cılem je jednoducha instalace a sprava
existujıcı Open Source komponenty
LDAP - 389DSKerberos - MIT KerberosDNS - BindCA - Red Hat Certificate Server
FreeIPA 2.0 - Fedora 15, RHEL 6.1
![Page 11: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/11.jpg)
FreeIPA
Prıklad pouzitı FreeIPA (v2)
Instalace
# ipa-server-install
Administrace - pridanı uzivatele
# kinit adminPassword for [email protected]:# ipa user-add -f John -l Doe jdoe
![Page 12: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/12.jpg)
FreeIPA
FreeIPA WebUI
![Page 13: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/13.jpg)
Section 3
SSSD
![Page 14: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/14.jpg)
SSSD
SSSD
klientska cast centralizovaneho resenı
unixovy demon, ktery bezı na kazdem stroji v sıtı
poskytuje informace o uzivateli z centralnı databaze
umoznuje uzivateli se prihlasit
![Page 15: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/15.jpg)
SSSD
SSSD
binarnı balıcky k dispozici ve Fedore, RHEL6, Ubuntu,OpenSuse, Gentoo, Debianu
v soucasnosti podporuje SSSD nekolik typu serveru
LDAPLDAP+KerberosFreeIPAActive Directory (jako kombinaci LDAP+Kerberos)
![Page 16: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/16.jpg)
SSSD
Vyhody SSSD
podporuje vıce ”domen”
oddelene servery poskytujıcı ruzna data
podpora vıce serveru pro jednu domenu
redundance
detekce nedostupnosti a opetovne dostupnosti serveru
cachovanı informacı o uzivatelıch, prıpadne hesel
do cache se ukladajı pouze opravdu pouzita datanenı treba kvuli kazdemu dotazu zatezovat serverfunguje i pri nedostupnem serveruzaznamy v cache mohou postupne expirovatpro prihlasenı se vzdy snazı komunikovat se serverem (oprotipam ccache)
pro nektere druhy serveru specializovane funkce
![Page 17: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/17.jpg)
Section 4
Identity Management v Brne
![Page 18: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/18.jpg)
Identity Management v Brne
FreeIPA v Brne
4 stalı vyvojari + intern
jedno volne mısto
zbytek tymu v USA, Nemecku
moznost spoluprace formou studentskych pracı
![Page 19: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/19.jpg)
Identity Management v Brne
Zapojte se do vyvoje
home page - www.freeipa.orgdokumentace, tarbally, zdrojovovy kod
http://fedorahosted.org/sssdHOWTO, bugtrackerv tarballu manualove stranky, komentovany sssd.conf
komunikace
IRC - FreeNode, kanal #freeipakonferencefreeipa-{devel,users,interest}@redhat.com,[email protected]
hack on FreeIPA
http://freeipa.org/page/Contribute
![Page 20: FreeIPA - jhrozek.fedorapeople.org · SSSD V yhody SSSD podporuje v ce "dom en" odd elen e servery poskytuj c r uzn a data podpora v ce server u pro jednu dom enu redundance detekce](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e80edfd6801fb0bd8669f4e/html5/thumbnails/20.jpg)
Identity Management v Brne
Dekuji za pozornost
Otazky?