Poďte otestovať počiatočné nasadenie FreeIPA v Brmlabe.
Úlohou testovania je 1. zistiť, či to funguje tak, ako si myslím, že som to nastavil 2. zistiť, či to, ako je to nastavené, je tak, ako to chceme mať nastavené 3. zistiť, či to nemá nejaké nečakané dôsledky
Aktuálne nastavenie:
Aktuálne server ipa.brm (virtuál na datach, Fedora) spravuje tri stroje: ipaclient.brm (virtuál na datach, Debian), sargon.brm (v socroome, Debian) a buntuipa.dyn.brm (virtuál na brmvide, Ubuntu).
Vo FreeIPA sú nejakí užívatelia, aktuálne: admin, brmlab, stevko, jenda, pričom jenda a stevko sú v skupine members.
Stroje sargon.brm a buntuipa.dyn.brm sú v skupine socroom.
Užívateľ brmlab má prístup (len) na počítače v skupine socroom (a má tam právo urobiť sudo s ľubovoľným príkazom).
Užívatelia zo skupiny members majú právo prihlásiť sa na každý stroj, ale nemajú sudo (to sa bude iste rôzne meniť).
Tí, čo ste mali svoje ssh kľúče na sargon.brm ich už máte nastavené u užívateľa brmlab (ale skontrolujte si to, viz ďalšie body).
Ako testovať:
Skúsime sa prihlásiť ako brmlab na https://ipa.brm (browser bude nadávať, certifikát buď na data:/root/brmipa.pem alebo na http://stevko.info/brmipa.pem). Heslo uhádneme. Prezrieme si to, ale nechceme to rozbiť (možno niekedy neskôr, keď budeme vedieť, že to nejak funguje). (Mali by sme aj zistiť, či nevadí, keď je prihlásených viac ľudí naraz do webového rozhrania ako jeden užívateľ)
V časti Account Settings nás zaujíma položka SSH public keys. Kľúč pridáme kliknutím na add (zobrazí sa New: key not set) a potom na Show/Set key. Pridávame vo formáte, v akom by sme čakali (tak, ako je v authorized_keys).
Otestujeme, že keď tam kľúč je, vieme sa prihlásiť ako brmlab na stroje buntuipa.dyn.brm a sargon.brm a keď tam nie je, tak nevieme. Pozn.: neplatí úplne: na buntuipa.dyn.brm by nám fungoval aj kľúč v /home/brmlab/.ssh/authorized_keys, na sargon.brm by nemal.
Vyskúšame, či funguje sudo (a snažíme v tejto fáze sa nič nerozbiť).
Ak sme v Brmlabe, skúsime sa prihlásiť lokálne na sargon.brm a zistíme, či to funguje.
Ak máme virt-manager, môžeme sa pripojiť na brmvid (qemu +ssh://brmlab@brmvid/system) a prihlásiť sa „priamo“ do buntuipa.dyn.brm)
Na https://brmlab.cz/kb/freeipa je popis, ako sú klientské stroje nastavené. Prečítame si a skúsime nájsť potenciálne problémy (a ich riešenie).
Nejaké vyhodnotenie asi na ďalšom meetupe.
Stevko
V Pondelok, 22. júl 2013 o 10:11 +0200, Ondrej Beranek napísal(a):
To je dobré! chtěl bych zkusit.
2013/7/22 Pavol Rusnak stick@gk2.sk On 21/07/13 00:44, stevko@stevko.info wrote: > tak to by som bol za to FreeIPA.
Urcite FreeIPA. Skripty by boli aj tak iba docasny workaround. -- Best Regards / S pozdravom, Pavol Rusnak <stick@gk2.sk> _______________________________________________ Brmlab mailing list Brmlab@brmlab.cz http://brmlab.cz/cgi-bin/mailman/listinfo/brmlab
Brmlab mailing list Brmlab@brmlab.cz http://brmlab.cz/cgi-bin/mailman/listinfo/brmlab