Pull to refresh

Comments 18

И это работает? Просто у меня на клиентах аутентификация отваливается, если основной сервер погасить. Более того, я в конфигах клиента не нашел вообще никакого упоминания реплики. Если вручную его туда поместить — все начинает работать.
Ну так при установки клиента указывается 2 опции сервер.
Или /etc/sssd/sssd.conf Там опция ipa_server = _srv_, server1, serevr2
Что говорит о том что вначале смотрим DNS потом идём по списку серверов.
Тестировалось неоднократно.
А, то есть нужно вручную указывать все сервера? Я делал ipa-client-install без параметров, он только первый сервер подхватывал из днс, хотя там оба прописаны.
У нас клиент ставится ансиблом примерно вот такой командой
/usr/sbin/ipa-client-install
     --mkhomedir
     --domain={{ domain }}
     --server={{ ipa_server }}
     --server={{ ipa_slave }}
     --realm={{ realm }}
     --principal={{ ipa_adm }} 
     --password={{ ipa_adm_pass }}
     --hostname={{ansible_fqdn}}
     --enable-dns-updates  -U
     --force-join

И ни разу проблем с авторизацией не было.
Если очень нужно могу посмотреть позже.
Нет, спасибо. Я вручную правил конфиг — тоже все работает. Посмотрю при установке клиента ваш способ с параметрами.
А у вас точно днсы смотрят на сервера ипы?
И в днсах SRV записи в корневой зоне содержат по 2 сервера?
Да, возможно здесь затык. ДНС у меня отдельный, записи прописывал вручную. Может не верно прописал? Можете показать записи в зоне ipa, kerberos и ldsp?
Благодарю. Буду править свою конфигурацию.
Спасибо за то что делитесь опытом.
Бывают мелочи, на которых спотыкаешься.

Как насчет?
«FreeIPA — это вполне полноценная замена AD для Linux-систем от RHEL.»

У себя пробую FreeIPA + Ubuntu 16.04. Пока особых проблем не огреб :-)
>«FreeIPA — это вполне полноценная замена AD для Linux-систем от RHEL.»
Это опен-соурс проект, спонсируемый Red Hat.
В RHEL есть похожий коммерческий продукт.
По-видимому, автор имел в виду Red Hat, не RHEL.
Всегда рады помочь.
В нашем случае FreeIPA заменяет АД практически полностью. Некоторый функционал пришлось допиливать самими конечно, но в целом оно так.

Убунты мы не используем не могу сказать про подводные камни.
Спасибо за статью! Не хотите написать продолжение? Очень интересно почитать на основании реального опыта использования, насколько «замена AD» — реальность.

В частности, интересуют такие стандартные примеры использования AD:
  • аутентификация пользователя без ввода пароля в связке браузер+веб сервер
  • аутентификация от имени пользователя без ввода пароля в базе данных по цепочке браузер->веб сервер->СУБД
  • аутентификация от имени пользователя без ввода пароля по цепочке браузер->веб сервер->файл-сервер
  • использование сертификатов/смарт-карт/TPM наравне с паролем
  • аутентификация пользователя без ввода пароля в системах телефонии (PBX)
  • аутентификация пользователя без ввода пароля на серверах IM (например, OpenFire)

Если нет времени/желания писать статью, не могли бы вы ответить хотя бы да/нет/не пробовали по каждому пункту?

Документацию по ссылке просмотрел, но она какая-то маркетинговая, что ли: обещают «Single Sign On из всех приложений», но по ссылке вместо подробностей — просто констатация того, что у них реализован Kerberos.
Продолжение в планах.
У нас нет клиентских пк с линуксом поэтому для пользовательского кербероса мы не особо используем это.
Наши основные направления это:
— Централизация всей инфраструктуры. У нас всё береётся из FreeIPA в том числе инвентори для Ансибла. Группы для заббикса и всякие авторизации средствами лдапа
— Актуализация и динамическое обновление днсов. WIN машины туда добавляются скриптом.

Керберосом особо не пользуемся в продакшне. На тестовом стенде нормально работал керберос + ОТП.
Хоть и год прошел, но может кто-то ответит.
Тестим связку FreeIPA + Win AD. Хотим всех пользователей/группы хранить в АД, а в IPA настраивать только HBAC. На данный момент эта пара серверов (виндовый контроллер и сама freeipa) работают, но возникла пара вопросов:
Как подобную репликацию провернуть в случае с настроенным трастом между доменом IPA и виндовым? Нужно ли каждую реплику трастить с виндовым доменом? Или отказоустойчивость при виндовом трасте организуется другим образом?
И вторая проблема — кэш sssd. Получается, что их два — один на сервере freeipa и один на клиентах. В случае обновления данных в виндовом АД, на клиентах они обновляются очень долго, либо могут вообще не обновиться (замечено на убунтах). Команды инвалидации кэша не помогают, приходится удалять кэш и на сервере freeipa, и на самих клиентах. Как это можно решить?
Я трастил каждую реплику. В ипе есть экстернал группы которые могут приходить из виндового домена которому доверяют.
С кешом такая пролема наблюдается только в случае работы с дебиан подобными системами. Как лечить сказать не могу у нас везде центось. Но где-то в рассылках было обсуждение, тут только гугл поможет.
Спасибо за ответ. Попробуем трастить каждую реплику. Настройка реплик, как я понимаю, в остальном не отличается?
Про sssd — пытался гуглить, но утонул в почтовых рассылках. Очень неудобная коммуникация у проекта). Игра с опциями кэширования пока тоже не дала удовлетворительного результата.
Есть еще один момент про Убунты — в релизах вплоть до 16.04 идет очень старая версия пакета. Нам нужна была фича с short names (чтобы вводить логин без доменного суффикса), но пришлось руками собирать пакеты и обновлять sssd
Трастить каждую реплику нужно для отказоустойчивости.
Про кеши, будет время посмотрю на убуне
Only those users with full accounts are able to leave comments. Log in, please.