Комментарии 21
Лежит
Login: admin
Password: The-admin-password
Надеюсь никто ломать эту демку не станет, иначе прийдётся закрыть…
Есть желающие захостить ещё одну? :)
:Z:rw
— :Z
означает проброс контекстов selinux, :rw
— rw-доступ к соответствующему volume, его можно не писать, оно по умолчанию rw.Я не очень понял, если честно
Начну с хорошего — она работает. У нас небольшая команда, ~40 учетных записей и к FreeIPA подключены десяток серверов (sssd обеспечивает авторизацию для SSH сессий), GitLab (локальный сервер), Rancher, VPN. Опосредованно через GitLab авторизация работает для Mattermost и Docker Registry (приватный Docker Hub). В целом, если не трогать FreeIPA — всё работает отлично, но в один "прекрасный" я сделал апгрейд без бекапа (сам себе злой Буратино) и что-то пошло не так — один сервис так и не смог заставить после этого стартовать и теперь запуск этого комбайна приходится делать вручную… Как извлечь данные о пользователях (с паролями/хешами) чтобы пересетапить FreeIPA я так и не разобрался — вероятно, никак. Удивительно, но даже в таком состоянии FreeIPA работает без проблем. В целом, если бы была более легковесная альтернатива, я бы с удовольствием её рассмотрел, но я про такую не слышал пока.
Прилагаю docker-compose, с помощью поднимаю freeipa. Думаю будет полезно.
version: "3.8"
services:
freeipa:
image: freeipa/freeipa-server:centos-8-stream-4.9.10
container_name: freeipa
restart: unless-stopped
hostname: freeipa
domainname: заменить на fqdn freeipa
ports:
- 123:123/udp
- 389:389
- 443:443
- 464:464
- 464:464/udp
# - 53:53
# - 53:53/udp
- 636:636
- 80:80
- 88:88
- 88:88/udp
dns:
- 8.8.8.8
- 1.1.1.1
tty: true
stdin_open: true
environment:
IPA_SERVER_HOSTNAME: заменить на fqdn freeipa
TZ: "Europe/Moscow"
command:
- --admin-password=заменить на password freeipa
- --allow-zone-overlap
- --auto-forwarders
- --dirsrv-pin=заменить на password freeipa
- --domain=заменить на domain freeipa
- --ds-password=заменить на password freeipa
- --http-pin=заменить на password freeipa
- --no-dnssec-validation
- --no-host-dns
- --realm=заменить на domain freeipa
- --setup-dns
- --unattended
- -U
cap_add:
- SYS_TIME
- NET_ADMIN
volumes:
- /etc/localtime:/etc/localtime:ro
- /sys/fs/cgroup:/sys/fs/cgroup:ro
- freeipavolume:/data
- freeipavolumelogs:/var/logs
sysctls:
- net.ipv6.conf.all.disable_ipv6=0
- net.ipv6.conf.lo.disable_ipv6=0
security_opt:
- "seccomp:unconfined"
volumes:
freeipavolume:
freeipavolumelogs:
Система централизованного управления авторизацией пользователей на FreeIPA в Docker