Na minulom meetupe sa uvazovalo, ako riesit ssh kluce v brmlabe. Stick na to pise nejake skripty, ja som sa zatial rozhodol pozriet na FreeIPA.
TL,DR: FreeIPA funguje, ale oproti rieseniu so skriptami by to bol asi zbytocny overkill. Ak sa niekto chce hrat so mnou s FreeIPA, tak sa ozvite.
FreeIPA je nieco ako Active Directory pre Linux. Je to od RedHatu. A vie to spravovat aj SSH kluce (tusim od verzie 3, proste ta, co mam, to uz vie). Aby som zhruba parafrazoval Sticka: FreeIPA je vec, ktora to vsetko [uzivatelia, hesla, kluce] riesi a prinasa mraky inych problemov.
Test zatial prebieha na dvoch virtualnych masinach: ipa.brm a ipaclient.brm. Obe bezia na data, takze ak ste zaznamenali, ze nieco data vytazuje, tak to mohlo byt ono.
Skusenosti: FreeIPA ma webove rozhranie, takze vytvaranie uzivatelov a nejake ich spravovanie sa da robit rozumne jednoducho.
Nastavit Fedoru ako klienta bolo jednoduche. Balicek a spustit skript. Na serveri som vyrobil uzivatela, priradil mu ssh kluc a hned sa dalo prihlasit na klienta tymto klucom.
Nastavit klienta Debiana (vacsina strojov, co mame je nejaky Debian) bolo menej trivialne. Nakoniec to vyslo, ale na dostatocne plnohodnotne vyuzivanie (sprava ssh klucov - kvoli ktorej to vlastne skusam) treba aj balicky z unstable. Po nastaveni funguje aj prihlasovanie ssh klucom nastavenym na serveri.
Uzivatelom sa da povolit, aby si mohli sami menit ssh kluce a nie je problem mat viac ssh klucov na uzivatela.
Zatial som nevyskusal rozne nastavovania sudo, ktore by FreeIPA mala vediet a neskusil som dalsie distribucie.
Odprezentujem (ukazka rozhrania, co funguje, co nie uplne funguje a tak) na meetupe, ak bude zaujem (a ak sa na meetup dostanem).
Ak sa niekto bude chciet tiez hrat s FreeIPA a pomahat skusat, co to dokaze (a vymyslat, co by sme od toho mohli chciet) a tak, tak uvitam pomoc.
Zatial si myslim, ze FreeIPA je pre nas overkill a na distribuciu ssh klucov na bude stacit nejaky u nas vyrobeny skript. SSH kluce pre FreeIPA funguju vdaka tomu, ze openssh ma od verzie 6.2 v konfiguraku moznost AuthorizedKeysCommand, co je prikaz, ktory ako parameter dostane username a na vystup ma vratit authorized_keys. Skoro by som navrhol, aby domace riesenie tiez pouzilo toto (openssh 6.2 je v Debian Testing).
Keby sme chceli nejaku vacsiu spravu uzivatelov, domace adresare na sieti, skupiny uzivatelov, skupiny pocitacov (s nastaveniami kto kde co moze), centralne spravovat nastavenia sudo mozno dokonca radius pre pripojenie do siete, tak to by som bol za to FreeIPA.
Stevko
On 21/07/13 00:44, stevko@stevko.info wrote:
tak to by som bol za to FreeIPA.
Urcite FreeIPA. Skripty by boli aj tak iba docasny workaround.
To je dobré! chtěl bych zkusit.
2013/7/22 Pavol Rusnak stick@gk2.sk
On 21/07/13 00:44, stevko@stevko.info wrote:
tak to by som bol za to FreeIPA.
Urcite FreeIPA. Skripty by boli aj tak iba docasny workaround.
-- Best Regards / S pozdravom,
Pavol Rusnak stick@gk2.sk _______________________________________________ Brmlab mailing list Brmlab@brmlab.cz http://brmlab.cz/cgi-bin/mailman/listinfo/brmlab
Poďte otestovať počiatočné nasadenie FreeIPA v Brmlabe.
Úlohou testovania je 1. zistiť, či to funguje tak, ako si myslím, že som to nastavil 2. zistiť, či to, ako je to nastavené, je tak, ako to chceme mať nastavené 3. zistiť, či to nemá nejaké nečakané dôsledky
Aktuálne nastavenie:
Aktuálne server ipa.brm (virtuál na datach, Fedora) spravuje tri stroje: ipaclient.brm (virtuál na datach, Debian), sargon.brm (v socroome, Debian) a buntuipa.dyn.brm (virtuál na brmvide, Ubuntu).
Vo FreeIPA sú nejakí užívatelia, aktuálne: admin, brmlab, stevko, jenda, pričom jenda a stevko sú v skupine members.
Stroje sargon.brm a buntuipa.dyn.brm sú v skupine socroom.
Užívateľ brmlab má prístup (len) na počítače v skupine socroom (a má tam právo urobiť sudo s ľubovoľným príkazom).
Užívatelia zo skupiny members majú právo prihlásiť sa na každý stroj, ale nemajú sudo (to sa bude iste rôzne meniť).
Tí, čo ste mali svoje ssh kľúče na sargon.brm ich už máte nastavené u užívateľa brmlab (ale skontrolujte si to, viz ďalšie body).
Ako testovať:
Skúsime sa prihlásiť ako brmlab na https://ipa.brm (browser bude nadávať, certifikát buď na data:/root/brmipa.pem alebo na http://stevko.info/brmipa.pem). Heslo uhádneme. Prezrieme si to, ale nechceme to rozbiť (možno niekedy neskôr, keď budeme vedieť, že to nejak funguje). (Mali by sme aj zistiť, či nevadí, keď je prihlásených viac ľudí naraz do webového rozhrania ako jeden užívateľ)
V časti Account Settings nás zaujíma položka SSH public keys. Kľúč pridáme kliknutím na add (zobrazí sa New: key not set) a potom na Show/Set key. Pridávame vo formáte, v akom by sme čakali (tak, ako je v authorized_keys).
Otestujeme, že keď tam kľúč je, vieme sa prihlásiť ako brmlab na stroje buntuipa.dyn.brm a sargon.brm a keď tam nie je, tak nevieme. Pozn.: neplatí úplne: na buntuipa.dyn.brm by nám fungoval aj kľúč v /home/brmlab/.ssh/authorized_keys, na sargon.brm by nemal.
Vyskúšame, či funguje sudo (a snažíme v tejto fáze sa nič nerozbiť).
Ak sme v Brmlabe, skúsime sa prihlásiť lokálne na sargon.brm a zistíme, či to funguje.
Ak máme virt-manager, môžeme sa pripojiť na brmvid (qemu +ssh://brmlab@brmvid/system) a prihlásiť sa „priamo“ do buntuipa.dyn.brm)
Na https://brmlab.cz/kb/freeipa je popis, ako sú klientské stroje nastavené. Prečítame si a skúsime nájsť potenciálne problémy (a ich riešenie).
Nejaké vyhodnotenie asi na ďalšom meetupe.
Stevko
V Pondelok, 22. júl 2013 o 10:11 +0200, Ondrej Beranek napísal(a):
To je dobré! chtěl bych zkusit.
2013/7/22 Pavol Rusnak stick@gk2.sk On 21/07/13 00:44, stevko@stevko.info wrote: > tak to by som bol za to FreeIPA.
Urcite FreeIPA. Skripty by boli aj tak iba docasny workaround. -- Best Regards / S pozdravom, Pavol Rusnak <stick@gk2.sk> _______________________________________________ Brmlab mailing list Brmlab@brmlab.cz http://brmlab.cz/cgi-bin/mailman/listinfo/brmlab
Brmlab mailing list Brmlab@brmlab.cz http://brmlab.cz/cgi-bin/mailman/listinfo/brmlab
-
Ondrej Beranek -
Pavol Rusnak -
Stevko -
stevko@stevko.info