Комментарии 18
И это работает? Просто у меня на клиентах аутентификация отваливается, если основной сервер погасить. Более того, я в конфигах клиента не нашел вообще никакого упоминания реплики. Если вручную его туда поместить — все начинает работать.
0
Ну так при установки клиента указывается 2 опции сервер.
Или /etc/sssd/sssd.conf Там опция ipa_server = _srv_, server1, serevr2
Что говорит о том что вначале смотрим DNS потом идём по списку серверов.
Тестировалось неоднократно.
Или /etc/sssd/sssd.conf Там опция ipa_server = _srv_, server1, serevr2
Что говорит о том что вначале смотрим DNS потом идём по списку серверов.
Тестировалось неоднократно.
+2
А, то есть нужно вручную указывать все сервера? Я делал ipa-client-install без параметров, он только первый сервер подхватывал из днс, хотя там оба прописаны.
+1
У нас клиент ставится ансиблом примерно вот такой командой
И ни разу проблем с авторизацией не было.
Если очень нужно могу посмотреть позже.
/usr/sbin/ipa-client-install
--mkhomedir
--domain={{ domain }}
--server={{ ipa_server }}
--server={{ ipa_slave }}
--realm={{ realm }}
--principal={{ ipa_adm }}
--password={{ ipa_adm_pass }}
--hostname={{ansible_fqdn}}
--enable-dns-updates -U
--force-join
И ни разу проблем с авторизацией не было.
Если очень нужно могу посмотреть позже.
+1
Спасибо за то что делитесь опытом.
Бывают мелочи, на которых спотыкаешься.
Как насчет?
«FreeIPA — это вполне полноценная замена AD для Linux-систем от RHEL.»
У себя пробую FreeIPA + Ubuntu 16.04. Пока особых проблем не огреб :-)
Бывают мелочи, на которых спотыкаешься.
Как насчет?
«FreeIPA — это вполне полноценная замена AD для Linux-систем от RHEL.»
У себя пробую FreeIPA + Ubuntu 16.04. Пока особых проблем не огреб :-)
+1
Всегда рады помочь.
В нашем случае FreeIPA заменяет АД практически полностью. Некоторый функционал пришлось допиливать самими конечно, но в целом оно так.
Убунты мы не используем не могу сказать про подводные камни.
В нашем случае FreeIPA заменяет АД практически полностью. Некоторый функционал пришлось допиливать самими конечно, но в целом оно так.
Убунты мы не используем не могу сказать про подводные камни.
0
Спасибо за статью! Не хотите написать продолжение? Очень интересно почитать на основании реального опыта использования, насколько «замена AD» — реальность.
В частности, интересуют такие стандартные примеры использования AD:
Если нет времени/желания писать статью, не могли бы вы ответить хотя бы да/нет/не пробовали по каждому пункту?
Документацию по ссылке просмотрел, но она какая-то маркетинговая, что ли: обещают «Single Sign On из всех приложений», но по ссылке вместо подробностей — просто констатация того, что у них реализован Kerberos.
В частности, интересуют такие стандартные примеры использования AD:
- аутентификация пользователя без ввода пароля в связке браузер+веб сервер
- аутентификация от имени пользователя без ввода пароля в базе данных по цепочке браузер->веб сервер->СУБД
- аутентификация от имени пользователя без ввода пароля по цепочке браузер->веб сервер->файл-сервер
- использование сертификатов/смарт-карт/TPM наравне с паролем
- аутентификация пользователя без ввода пароля в системах телефонии (PBX)
- аутентификация пользователя без ввода пароля на серверах IM (например, OpenFire)
Если нет времени/желания писать статью, не могли бы вы ответить хотя бы да/нет/не пробовали по каждому пункту?
Документацию по ссылке просмотрел, но она какая-то маркетинговая, что ли: обещают «Single Sign On из всех приложений», но по ссылке вместо подробностей — просто констатация того, что у них реализован Kerberos.
+1
Продолжение в планах.
У нас нет клиентских пк с линуксом поэтому для пользовательского кербероса мы не особо используем это.
Наши основные направления это:
— Централизация всей инфраструктуры. У нас всё береётся из FreeIPA в том числе инвентори для Ансибла. Группы для заббикса и всякие авторизации средствами лдапа
— Актуализация и динамическое обновление днсов. WIN машины туда добавляются скриптом.
Керберосом особо не пользуемся в продакшне. На тестовом стенде нормально работал керберос + ОТП.
У нас нет клиентских пк с линуксом поэтому для пользовательского кербероса мы не особо используем это.
Наши основные направления это:
— Централизация всей инфраструктуры. У нас всё береётся из FreeIPA в том числе инвентори для Ансибла. Группы для заббикса и всякие авторизации средствами лдапа
— Актуализация и динамическое обновление днсов. WIN машины туда добавляются скриптом.
Керберосом особо не пользуемся в продакшне. На тестовом стенде нормально работал керберос + ОТП.
+2
Хоть и год прошел, но может кто-то ответит.
Тестим связку FreeIPA + Win AD. Хотим всех пользователей/группы хранить в АД, а в IPA настраивать только HBAC. На данный момент эта пара серверов (виндовый контроллер и сама freeipa) работают, но возникла пара вопросов:
Как подобную репликацию провернуть в случае с настроенным трастом между доменом IPA и виндовым? Нужно ли каждую реплику трастить с виндовым доменом? Или отказоустойчивость при виндовом трасте организуется другим образом?
И вторая проблема — кэш sssd. Получается, что их два — один на сервере freeipa и один на клиентах. В случае обновления данных в виндовом АД, на клиентах они обновляются очень долго, либо могут вообще не обновиться (замечено на убунтах). Команды инвалидации кэша не помогают, приходится удалять кэш и на сервере freeipa, и на самих клиентах. Как это можно решить?
Тестим связку FreeIPA + Win AD. Хотим всех пользователей/группы хранить в АД, а в IPA настраивать только HBAC. На данный момент эта пара серверов (виндовый контроллер и сама freeipa) работают, но возникла пара вопросов:
Как подобную репликацию провернуть в случае с настроенным трастом между доменом IPA и виндовым? Нужно ли каждую реплику трастить с виндовым доменом? Или отказоустойчивость при виндовом трасте организуется другим образом?
И вторая проблема — кэш sssd. Получается, что их два — один на сервере freeipa и один на клиентах. В случае обновления данных в виндовом АД, на клиентах они обновляются очень долго, либо могут вообще не обновиться (замечено на убунтах). Команды инвалидации кэша не помогают, приходится удалять кэш и на сервере freeipa, и на самих клиентах. Как это можно решить?
0
Я трастил каждую реплику. В ипе есть экстернал группы которые могут приходить из виндового домена которому доверяют.
С кешом такая пролема наблюдается только в случае работы с дебиан подобными системами. Как лечить сказать не могу у нас везде центось. Но где-то в рассылках было обсуждение, тут только гугл поможет.
С кешом такая пролема наблюдается только в случае работы с дебиан подобными системами. Как лечить сказать не могу у нас везде центось. Но где-то в рассылках было обсуждение, тут только гугл поможет.
+1
Спасибо за ответ. Попробуем трастить каждую реплику. Настройка реплик, как я понимаю, в остальном не отличается?
Про sssd — пытался гуглить, но утонул в почтовых рассылках. Очень неудобная коммуникация у проекта). Игра с опциями кэширования пока тоже не дала удовлетворительного результата.
Есть еще один момент про Убунты — в релизах вплоть до 16.04 идет очень старая версия пакета. Нам нужна была фича с short names (чтобы вводить логин без доменного суффикса), но пришлось руками собирать пакеты и обновлять sssd
Про sssd — пытался гуглить, но утонул в почтовых рассылках. Очень неудобная коммуникация у проекта). Игра с опциями кэширования пока тоже не дала удовлетворительного результата.
Есть еще один момент про Убунты — в релизах вплоть до 16.04 идет очень старая версия пакета. Нам нужна была фича с short names (чтобы вводить логин без доменного суффикса), но пришлось руками собирать пакеты и обновлять sssd
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка репликации во FreeIPA 4.4 с domain level 1