Na minulom meetupe sa uvazovalo, ako riesit ssh kluce v brmlabe.
Stick na to pise nejake skripty, ja som sa zatial rozhodol pozriet
na FreeIPA.
TL,DR: FreeIPA funguje, ale oproti rieseniu so skriptami by to bol
asi zbytocny overkill. Ak sa niekto chce hrat so mnou s FreeIPA,
tak sa ozvite.
FreeIPA je nieco ako Active Directory pre Linux. Je to od RedHatu.
A vie to spravovat aj SSH kluce (tusim od verzie 3, proste ta,
co mam, to uz vie). Aby som zhruba parafrazoval Sticka:
FreeIPA je vec, ktora to vsetko [uzivatelia, hesla, kluce] riesi
a prinasa mraky inych problemov.
Test zatial prebieha na dvoch virtualnych masinach: ipa.brm
a ipaclient.brm.
Obe bezia na data, takze ak ste zaznamenali, ze nieco data vytazuje,
tak to mohlo byt ono.
Skusenosti:
FreeIPA ma webove rozhranie, takze vytvaranie uzivatelov a nejake
ich spravovanie sa da robit rozumne jednoducho.
Nastavit Fedoru ako klienta bolo jednoduche. Balicek a spustit skript.
Na serveri som vyrobil uzivatela, priradil mu ssh kluc a hned sa
dalo prihlasit na klienta tymto klucom.
Nastavit klienta Debiana (vacsina strojov, co mame je nejaky Debian)
bolo menej trivialne. Nakoniec to vyslo, ale na dostatocne plnohodnotne
vyuzivanie (sprava ssh klucov - kvoli ktorej to vlastne skusam) treba
aj balicky z unstable. Po nastaveni funguje aj prihlasovanie ssh
klucom nastavenym na serveri.
Uzivatelom sa da povolit, aby si mohli sami menit ssh kluce a nie je
problem mat viac ssh klucov na uzivatela.
Zatial som nevyskusal rozne nastavovania sudo, ktore by FreeIPA mala
vediet a neskusil som dalsie distribucie.
Odprezentujem (ukazka rozhrania, co funguje, co nie uplne funguje a tak)
na meetupe, ak bude zaujem (a ak sa na meetup dostanem).
Ak sa niekto bude chciet tiez hrat s FreeIPA a pomahat skusat, co to
dokaze (a vymyslat, co by sme od toho mohli chciet) a tak, tak uvitam pomoc.
Zatial si myslim, ze FreeIPA je pre nas overkill a na distribuciu ssh
klucov na bude stacit nejaky u nas vyrobeny skript.
SSH kluce pre FreeIPA funguju vdaka tomu, ze openssh ma od verzie 6.2
v konfiguraku moznost AuthorizedKeysCommand, co je prikaz, ktory ako
parameter dostane username a na vystup ma vratit authorized_keys.
Skoro by som navrhol, aby domace riesenie tiez pouzilo toto
(openssh 6.2 je v Debian Testing).
Keby sme chceli nejaku vacsiu spravu uzivatelov, domace adresare na sieti,
skupiny uzivatelov, skupiny pocitacov (s nastaveniami kto kde co moze),
centralne spravovat nastavenia sudo mozno dokonca radius pre pripojenie
do siete, tak to by som bol za to FreeIPA.
Stevko