Moin, freut mich, dass ihr alle so recht zahlreiche Schienen seid bei so einem Thema Directive Service, finde ich das cool. Ich würde mich gerne noch mal kurz vorstellen. Mein Name ist Dirk Streubel, wohne in Castrop-Rauxel. Den Ort gibt es wirklich. Bin bei der Gunicus seit Anfang des Jahres als Technical Consultant unterwegs

und betreue dort diverse Projekte mit unter anderem bin ich auch da für den Bereich Freepaar-Samba tätig. Und wie ihr an meinem Outfit erkennt, bin ich auch so ein bisschen für Selfie unterwegs und wollte euch heute mal so ein bisschen Freepaar grob vorstellen, auch die Möglichkeiten die Freepaar bietet

und das einfach mal so als groben Einstieg. Genau, wie gesagt, ich werde hier in dem Vortrag zeigen, aus welchen Komponenten Freepaar besteht,

weil Freepaar ist eigentlich eine Zusammensetzung diverser Dienste, die gebündelt sind, woran sie sind, um halt eben vieles einfacher zu gestalten, was sage ich mal so eine Art Directive Server bzw. User Management, Computer Management betrifft und dementsprechend zeige ich euch das gleich.

Genau, ich werde dann innerhalb des Vortrages dann schwenken von Folien zu einer grafischen Oberfläche, weil nichts ist so grau wie die Theorie, ich wollte euch das mal zeigen, was möglich ist, habe da so ein paar Dinge schon mal eingebaut, dass man da so grob den Überblick bekommt, wie das funktioniert.

Alles das, was man in der GUI macht, kann man auch ohne Probleme mit Kommandozeilen machen, ist jedem selbst überlassen, ob er lieber die GUI benutzt oder eine Kommandozeile und vielleicht auch so einen Kurs andeuten und ansprechen und da wir ja zurzeit mit Freepaar

auf dem Stand sind von 4.8 Version, da noch nicht alles so läuft, wie es laufen sollte und könnte für Benutzer und Anwender, gebe ich da so einen kurzen Ausblick, was irgendwann nochmal kommen wird, laut Rücksprache mit diversen Entwicklern, was geplant ist, aber was vielleicht noch ein paar Jahre dauert

oder wir hoffentlich bald umsetzen können bzw. umgesetzt wird. Genau, Freepaar, das Freepaar ist eigentlich eine Abkürzung, steht für Identity Policy and Audit, wobei mittlerweile auf der Webseite, wenn ihr einmal schaut, das Audit nicht mehr so explizit erwähnt wird,

weil sie mittlerweile bzw. die Leute, die das entwickeln, den Schwast in Verbindung bzw. dieser Schwast bezieht sich eben auf die Verbindung zwischen Windows-AD und Freepaar-Domäne,

der mit gewissen Einschränkungen, komme ich gleich zu, auch relativ gut funktioniert. Wie ich gerade schon erwähnt habe, die Komponenten bzw. die Services, die dahinter laufen, sind einmal der Directive Server, das Kerberos, wenn ihr das, so wie ich jetzt hier,

auf dem Fedora laufen lasst, nutzt ihr einfach einen MIT-Kerberos, was automatisch mit installiert wird. Ihr macht ein Doctech-Certification-System automatisch mit drauf. Das ist eine schöne Sache, wenn ihr Zertifikate generieren wollt, ausstellen wollt, verteilen wollt,

ist das automatisch mit dabei. NTP und DNS, wobei DNS mit Vorsicht zu genießen ist, weil DNS an sich kein Zwang ist bei der Installation. Das ist ein zusätzliches Feature, was man installiert. Wobei ich natürlich, wenn ich einen Freepaar-Server installiere,

bzw. den ersten Freepaar-Server installiere, immer dazu raten würde, einen DNS-Server mit zu installieren. Aber wie gesagt, das ist kein Muss. Freepaar-Server läuft auch ohne integrierten DNS. Das sind zusätzliche Pakete, da wird eben Bein konfiguriert und installiert. Es hat eben, wie gesagt, kein Muss, deswegen mit Vorsicht zu genießen.

Das sieht dann im Aufbau so aus, ich habe mir das mal von Red Hat gemobbt, wie ihr seht, habt ihr dann eben den IDM-Server, das heißt bei Red Hat Identity Management ist aber nichts anderes als Freepaar, also bitte nicht wundern bezüglich der Bezeichnung.

Wie ihr seht, besteht das System aus mehreren Komponenten, hat eben das Zertifikat, den Kerberos, den DNS-Server, den NTP-Server, der in Verbindung steht mit dem Directory-Server. Und von außen, wie gesagt, bzw. gerade angesprochen, die Möglichkeit per Web auf den Server zuzugreifen oder per Command Line.

Wenn, so wie ich jetzt gleich auch zeigen werde, ein Client in die Domäne integriert wird,

erfolgt die Autofizierung bzw. das Anmelden am Server per SSSD. Wird, bzw. wird gemacht aus sicherheitstechnischen Gründen, weil man sagt, das ist halt eben sicher und das funktioniert auch einmal frei, läuft auch super gut, im Prinzip ist es so, dass ihr, bei der Installation bzw. bei diesem Anmelden in der Domäne ein Befehl eingebt,

er nach gewissen Dingen fragt noch und dann dementsprechend er sich autofiziert und dann ist er halt eben im Server zu sehen als Host bzw. in der Domäne und dementsprechend könnt ihr dann die Dinge, die ihr dann für den jeweiligen Host machen wollt,

es gibt da Einschränkungen, ihr könnt zum Beispiel alles machen oder nur Teilbereiche, wie ihr gleich sehen werdet, kann man da auch einrichten. Genau, es gibt ja noch so ein paar Optionen bei der Installation des Clients, wichtig für mich zumindest ist eine Make Home Directory und ein Enable Setup DNS, d.h. der DNS wird ständig neu konfiguriert dann auf dem IPA Server, wenn man es sein sollte

und wenn sich die Benutzer dann anmelden zum ersten Mal auf dem Client, dass man dann eben auch sofort sein Homeverzeichnis bekommt. Das sind allerdings Optionen, die bei der Client Installation halt eben nicht zwingend sind, sondern die macht ihr oder macht ihr nicht.

Genau, die Funktion, die ich hier jetzt ausgewählt habe, die Free IPA bietet, das ist nur eine große Auswahl dessen, was Free IPA kann, also das Tool ist mächtig, gar keine Frage, bietet viele Einstellungsmöglichkeiten, die genutzt werden können, sehr granular runtergebrochen auch werden können

und das ist dann davon abhängig, wie die Domäne aufgebaut ist bzw. was ihr als Admins wie machen wollt. Also das ist da jedem frei überlassen. Wie gesagt, ich habe hier als Beispiel ein paar Host-Bases-Exit-Tools auch definiert,

die zeige ich euch gleich. Ihr könnt auch sehr fein Sudo-Rollen definieren, welcher Benutzer was mit Sudo-Rechten auf den jeweiligen Host ausführen darf. Das funktioniert super gut. Es gibt noch sogenannte SE-Linux-Usermaps, die bitte nicht verwechseln mit den SE-Linux-Dingen auf den jeweiligen Host.

Die werden davon nicht beholt. Das ist ein anderes Verfahren. Das hat mit dem SE-Linux auf dem Host nichts zu tun. Dann die sogenannten Role-Base-Access-Controls. Da könnt ihr sogenannte Gruppen erstellen und rollen und dann in jeweiligen Rollen Unterbenutzer erstellen.

Das zeige ich auch gleich und auch da sehr fein granular steuern, wer was in welcher Gruppe machen darf. Erinnert mich so ein bisschen, muss ich ehrlich gestehen, an Samba beziehungsweise der Windows-ID-Struktur. Auch da kann man ja sehr fein in den Gruppen sagen,

wer was darf und wie auch immer er das machen darf. Wie bereits angesprochen, der Entfass zwischen der Windows-Domäne und Free IPA ist möglich. Es funktioniert auch. Es hat eine gewisse Einschränkung, und zwar derzeit noch, dass der Twast nur läuft.

Und zwar nach folgendem Prinzip. Ihr erstellt einen Twast zwischen einer Windows-Domäne und einem Free IPA-Domäne. Ihr könnt euch aber derzeit nur auf der Free IPA-Domäne mit den Windows-Accounts anmelden. Umgekehrt geht es nicht zurzeit. Das heißt, es ist derzeit technisch nicht möglich,

sich mit dem Free IPA-Account auf eine Windows-Domäne anzumelden. Und zwar das folgende Hintergrund. Ich habe da mal mit dem Alexander Bukowoy gesprochen. Das ist einer der Entwickler seitens Free IPA bei Red Hat. Der mir eben gesagt hat, wir wissen das, wir möchten das gerne, dass wir auf Free IPA-Use of aus einer Windows-Domäne anmelden können.

Das funktioniert derzeit nicht, weil wir Schwierigkeiten haben, diesen globalen Katalog, den Windows zur Verfügung stellt, mit einigen Möglichkeiten zu implementieren. Das wäre laut Aussage ein großes Brett, das Sie bohren müssten. Das ist in Planung, aber wann das genau kommt, weiß keiner.

Dementsprechend kann man es nicht nutzen. Das heißt, wenn irgendetwas baut zwischen einer Windows-Domäne und Free IPA, ist derzeit nur möglich, sich mit einem Windows-Account auf einer Free IPA-Domäne anzumelden. Das funktioniert einmal frei.

Genau, das ist richtig. Wenn du diesen Twast anlässt, musst du in IPA definieren, wer zugreifen darf auf die Domäne. Das machst du automatisch.

Das kannst du auch sehr fein regeln und auslegen. Im Beispiel, was die bei einer Testinstallation bzw. bei einer generellen Installation von diesem Twast sagen, die benutzen die Windows Admins. Da funktioniert das mit den SSIDs, die du eben zuweist.

Das funktioniert einmal frei. Das geht aber auch ausgrund des Nichtimportes des globalen Katalogs. Es ist derzeit nicht möglich, anders herumzustrahlen. Eine Sache, die ich noch nicht erwähnt habe, die mir gerade so auffällt, ist, ihr könnt, das habe ich hier auch gebaut,

das zeige ich euch auch gleich, ein Replika aufbauen zwischen zwei Free IPA-Servern. Das ist relativ leicht. Das heißt, wenn irgendwann mal einer ausfällt, springt der andere rein und die Synchronisation der einzelnen Sachen, die ihr da eintragt, läuft auch relativ zeitnah. Dementsprechend ist das auch eine feine Sache.

Genau, das war so ein kurzes Intro, dass ihr einfach so wisst, was Free IPA alles kann beziehungsweise ein Auszügen, was Free IPA alles zur Verfügung stellt. Ich würde jetzt einfach euch mal die Goals zeigen und die Möglichkeiten,

das was ich gerade so erwähnt habe, mit den Rollen, auch die Sudo-Rechte, die ich jemandem gegeben habe. Dann schauen wir mal drauf. Genau, und die Kommando-Zahlen, das werde ich auch mal kurz vorstellen, was da eben möglich ist.

Wenn ihr IPA installiert, ich persönlich habe es bis jetzt nur auf Retet-Maschinen, beziehungsweise Fedora-Maschinen installiert. Es ist aber auch kein Problem, mittlerweile das auch auf Ubuntu-Servern zu installieren. Bei Susi geht es mittlerweile auch. Weil auch eine Zeitlang so ein gebranntes Kind

ist aber mittlerweile möglich, bekommt ihr so eine grafische Oberfläche, die halt eben sehr angehaucht ist mit diesem neuen Style, den halt eben Retet beziehungsweise Fedora propagiert. Und dementsprechend sieht das so aus.

Dann melde ich mich einmal an. Wenn ihr euch anmeldet, im System selber,

dann bekommt ihr so eine Oberfläche, die euch die diversen Einstellungsmöglichkeiten, wie ich es gerade besprochen habe, zur Verfügung stellt. Ich selber habe mich mal einfach eingetragen als aktiver Benutzer. Schauen wir einfach mal, wie das dann so aussieht. Genau, also ich habe mich jetzt eingetragen

mit meinem Beruf, zusätzlich noch Trainer, das mache ich auch noch so nebenbei. Ihr bekommt vom System halt eben eine UUID und eine Gruppen-ID zugewiesen. Bitte nicht wundern bezüglich dieser recht hohen Zahl. Bei der Installation, wenn ihr das installiert, wird diese UUID generiert,

bzw. der ID-Range, der generiert wird, ist recht hoch. Es stehen 20 Möglichkeiten an der ID-Range zur Verfügung. Das System selber wählt davon eine aus und es werden eine Range von 200.000 Benutzern zugefügt, wobei man aber auch da sagen muss,

da seid ihr bei der Installation frei, es gibt den Parameter bei der Installation des jeweiligen Servers, die ID-Range zu definieren und wie groß der Bereich sein sollte, wie man ihn definiert, standardmäßig wie gesagt sind es 200.000 Leute. Ihr bekommt halt eben bei der Installation auch noch eine Anmeldestelle dazugefügt, ein Home-Verzeichnis,

ihr könnt auch noch hier unten, wie ihr seht, habe ich jetzt meine E-Mail-Adresse hinzugefügt, die Passwortregeln, die schon definiert sind, die man aber auch ändern kann und noch so ein paar andere Kleinigkeiten könnt ihr halt eben in der Sache schon hinzufügen. Wie ihr seht, ist das vom Aufbau,

vielleicht lehne ich mich jetzt so weit aus dem Fenster, auch wenn Sie es sagen, es ist keine Alternative bzw. keine AD, aber es erinnert mich schon so teilweise an eine AD-Struktur, nur hat eben anders aufgemacht, weil ihr halt eben auch dem Benutzer gewisse Benutzergruppen zufügen

könnt, Rollen zufügen könnt, diese Hardpack-Rules, die hier nicht definiert ist, die ich für einen anderen Benutzer definiert habe und Sulu-Regeln, könnt ihr halt eben auch dort definieren. Genau, also so sieht das aus für den jeweiligen Benutzer und dementsprechend hat er dort die Einträge. Genau. Schauen wir mal weiter.

Genau. Da habt ihr bei der Installation bzw. bei dem IPA-Client anmelden, habt ihr halt eben sofort die Hosts in der Übersicht, wo ihr einfach seht, jo, alles klar, die auch sofort in SSH-Stütze bekommen und dementsprechend

auch konfiguriert werden können bzw. weiter bearbeitet werden können und was wollte ich denn sagen, genau. Genau, und den ihr halt eben auch gewisse Benutzer zufügen für den Keytaps halt eben, wenn ihr halt ein Kerberos-Ticket haben möchtet bzw. es zertifizieren möchtet, ist auch möglich, genau.

Bei der Installation werden diverse Dienste, die da im Hintergrund automatisch mitinstalliert werden, bekommen ein Kerberos-Ticket. Aus sicherheitstechnischen Gründen macht man das. Ihr seid aber frei nachher gewisse Dienste, das geht auch, noch weiter mit

Kerberos-Ticket zu, Entschuldigung, weiter zu versehen, ist gar kein Problem. Das könnt ihr beliebig machen, so wie ihr Lust und Laune habt. Es ist halt eben ein schönes zusätzliches Feature, was gemacht wird und dementsprechend auch eben genutzt werden kann. So, dann kommen wir zu Gruppen. Gruppen werden auch automatisch

erstellt, mit Admins, L-Tors, ich habe jetzt noch mal IP-Users hinzugelegt und fast Admins, die werden standardmäßig angelegt und auch da seid ihr halt eben frei Benutzer und Gruppen noch zu definieren, wie ihr was wollt. So,

dann gehe ich mal rüber, ID-Views, genau, das ist für die Trust ID-Views, die sollte man bitte nicht löschen, aber das ist auch nicht mehr so ganz interessant. So, gehen wir mal zum nächsten Punkt, das hatte ich gerade angesprochen, das waren die sogenannten HWAC-Routes, die Host-Base-Access- Control-Routes,

wo ihr halt eben für jede Maschine, die im Verbund sind, definieren könnt, was damit gemacht werden darf oder nicht. Standardmäßig, wenn IPA installiert wird bzw. der IPA-Server wird die Allow und die Allow-System-Users installiert,

da seid ihr frei, die zu lassen oder zu löschen. Ich habe sie hier deaktiviert und habe noch hinzugefügt, den IPA-Client, also auch den IPA-Server. Ich werde euch einfach jetzt mal den IPA-Client vorstellen, was da gemacht

werden kann. Wie ihr seht, ich hoffe, das sieht man, könnt ihr sagen, wer auf die Kiste zugreifen darf. Hier ist es der Benutzer Max, den ich eben vorher angelegt hatte, der auch in den Benutzern zu sehen war. Ich habe Max die Berechtigung gegeben, auf den IPA-Client

zuzugreifen mit den Diensten, Login, su-l, sudo, sudo-i und sshd. Das heißt, ein anderer Benutzer, wenn ich ihn denn angelegt hätte, würde nicht auf die Maschine kommen. Das verbietet das System. Das System sagt dann so, ich kenne dich

nicht, ich schmeiße dich raus, beziehungsweise ermögliche dir kein Login. Was möchtest du? Auch da ist es möglich, spezielle Dienste und Gruppen zu definieren. Ich zeige euch mal kurz. Ihr habt da eben eine etwas größere Auswahl, welche Dienste ihr zum Beispiel in den jeweiligen

Rechnern zuweisen könnt. Ich habe einfach mal, wie gesagt, die sudo Regeln hinzugefügt, beispielsweise den Dienst, den SSH-Dienst, sodass er sich von außen anmelden kann und den sudo-Dienst, das er halt eben als Route, beziehungsweise in dem Kontext dann gewisse Dinge ausführen kann.

Ich werde euch aber auch gleich zeigen, wie das dann funktioniert in der Konsole. Wenn man zum Beispiel den SSH- Dienst, das ihr dann auf einmal seht, oh, ich kann mich gar nicht mal anmelden, ich füge ihn hier wieder hinzu und klack, kann er sich wieder anmelden, relativ schnell, ohne dass ihr was auf dem Host konfigurieren müsst, was natürlich eine feine Sache ist.

So, auch hier bei den sudo-Regeln könnt ihr granular runter regeln, wer was auf welche Maschinen darf. Finde ich persönlich eine sehr angenehme Sache,

weil ihr halt eben den einzelnen Benutzern durch Erstellung gewisser sudo-Regeln und Befehle erlauben dürft auf den jeweiligen Clients, was natürlich euch dann immer lassen ist, Dinge zu administrieren, beziehungsweise frei zu geben, so wie ihr das möchtet. Auch da,

ich habe jetzt einfach hier Max einfach alles erlaubt, das würdet ihr halt eben hier unten durch Definition, was er genau darf, halt eben sagen, oder nicht, beziehungsweise die Gruppen, was sie auf den jeweiligen Rechnern dürfen.

Funktioniert gut, also sehr gut sogar, also ihr braucht einfach auf den jeweiligen Clients dann nichts mehr machen. Ihr fügt hier einfach hinzu, was der Benutzer darf, genauso wie bei den Habakols, ihr definiert das hier drüber und seid auf Clients, seid safe, wenn er kleint, natürlich ist die

Unvoraussetzung, Mitglied in der IPA-Domäne ist, weil ansonsten funktioniert es natürlich nicht. Passwortregeln, genau. Standardmäßig, wie ihr seht, die Passwortregeln bedauert 90 Tage, das heißt, wenn ihr

einen Benutzer anlegt, er erzeugt ein Passwort, wenn der Benutzer sich dann anmeldet, zum ersten Mal, Entschuldigung, egal wie er sich anmeldet, ob er per Grafik auf den Rechner zugreift oder per Konsole auf den Rechner zuweist, wird er sofort

aufgefordert, das Passwort zu ändern. Auch da gibt es gewisse Kriterien, wie das Passwort anzulegen ist, mit einer Größe, die variiert ist an Anzahl der jeweiligen Zeichen. Es ist gar kein Problem, das einzustellen. Aber auch hier, wie ihr seht, könnt ihr das auch frei variieren, ob ihr und wie lange

das jeweilige Passwort gültig ist. Genau. Auch hier, Kerboros Ticketrichtlinie, wird auch definiert, wie lange ihr zur Verfügung steht, das Ticket, was ihr euch erzeugt habt, auch da kann man konfigurieren, wenn man gerne möchte.

Wie gesagt, ich hätte ja erwähnt, dass Zertifikate erzeugt werden. Wie ihr seht, werden hier die diversen Zertifikate erzeugt. Es ist auch gar kein Problem, da gibt es auch eine schöne Anleitung im Netz.

Wenn ihr zum Beispiel einen Web-Server habt, der IPA-klein ist, ist es gar kein Problem, zusätzlich noch dann dementsprechend ein Zertifikat auszuräumen, zu generieren und dann dieses Zertifikat dem Web-Server zukommen zu lassen. Voraussetzung, wie gesagt, wie bei allen anderen Dingen auch, dass der jeweilige Rechner bzw. Service halt eben

als Client dort definiert ist bzw. angegeben ist. Muss ich ehrlich geschehen, hab ich noch nicht gesehen? Weiß ich nicht, hab ich auch noch nicht ausprobiert. Da kann ich dir leider so ad hoc jetzt nicht sagen, ob das funktioniert

oder nicht funktioniert. Weil wir hatten, bzw. ich hab mal privat halt eben Web-Server integriert in Apache. Wie gesagt, da gibt es eine schöne Anleitung zu und das funktioniert relativ flüssig, auch sauber. Aber Intermediate CA habe ich jetzt ehrlich gesagt noch nicht probiert. Das kann ich dir jetzt nicht sagen. Tut mir leid.

Eine feine Sache. Nur kurz mal so erwähnt. Es besteht die Möglichkeit, ein One-Time-Passwort zu generieren. Und zwar für die Möglichkeit, wenn ihr eine Zwei-Faktor-Autofizierung machen möchtet, um sich da anzumelden.

Das geht. Das würde jetzt hier, ich möchte an einer Stelle kurz nochmal erwähnen, dass es möglich ist. Ihr zeugt heute eben einen Token mit dem FreeEaper und ist dann möglich weiter gesponnen, eben Zwei-Faktor-Autofizierung zu machen. Das würde jetzt aber hier, wenn wir das noch weiter besprechen würden,

den Rahmen einfach dieser Einführungsveranstaltung sprengen. Aber wie gesagt, auch dazu verweise ich einfach auf das Netz. Da gibt es eine super coole Anleitung, wie eben diese Zwei-Faktor-Autofizierung funktioniert mit diesem generierten Token. Ist, so wie ich es selber gesehen habe, ich jetzt selber auch noch nicht gemacht, weil wir es auf der Arbeit nicht nutzen, privat

nutze ich es eh nicht. Relativ einfach. Genau, ein Radiuserver könnte noch anmelden und eben die Mapping muss. Gehen wir mal weiter. Genau, DNS. Genau. Wie bereits besprochen, bzw. erwähnt, am Anfang des

Vortrages seid ihr frei, dieses DNS-Paket zu installieren. Wie gesagt, bei Fedora ist es eben ein zusätzliches Paket, das ihr installiert. Das nennt sich FreeIPA-DNS-Server, so mannlich heißt das. Genau. Und da könnt ihr eben auch DNS-Zonen definieren, auch

IPv6-Adressen, also nicht nur IPv4-Adressen werden definiert. Und ihr könnt auch in dem Bereich auch Vorwärtszonen definieren, wie ich es hier gerade auch schon mal getan habe. Ich habe nämlich hier mal einfach mal für den Twast die Zonen definiert, bzw.

den Vorwärter definiert, bzw. das, was er dafür braucht. Auch da ist eine schöne Sache, ist aber kein Muss. So, dann bietet zusätzlich eben noch FreeIPA die Möglichkeit des sogenannten Automounts, das heißt, ihr könnt die Verzeichnisse hier anlegen,

die dann sofort automatisch generiert werden, nicht generiert, geladen werden, bzw. zur Verfügung gestellt werden. Auch das ist vielleicht für den einen oder anderen von euch eine interessante Sache, was ich ja jetzt dementsprechend nicht beurteilen kann. So, gehen wir mal weiter. Genau.

Schauen wir uns erstmal das an. Genau. Ich habe hier eine Replikation aufgebaut zwischen zwei IPA-Servern.

Einmal IPA-Server 1 und IPA-Server 2, die miteinander verbunden sind, einmal über die Domäne und die Zertifizierung. Wenn ihr eine Replikation aufbaut, serverseitig,

auch da seid ihr frei in der Konstellation, wie ihr das macht. Das heißt, ihr müsst nicht zwangsläufig bei der Installation sagen, IPA-Server 2, den ich jetzt neu hinzufüge, muss auch ein DNS-Server sein. Ihr könnt das so konfigurieren, wie ihr wollt. Ihr könnt halt eben auch sagen, ja, mein IPA-Server 2 soll kein DNS-Server sein, der soll auch keine

Zertifizierung können, der soll einfach nur ein Backup sein für meine L-Abschema. Funktioniert auch. Wie ihr aber hier seht, habe ich jetzt eben beides gemacht. Ich habe die Domäne als auch die CA gemacht. Was man hier allerdings nicht sieht, ist der jeweilige

DNS-Bereich. Dem würde man dann aber sehen, wenn man eben dem jeweiligen Verzeichnis des jeweiligen Servers ist. Dann würde man das explizit sehen. Auch da gibt es eine kleine Einschränkung bezüglich der Replikation der jeweiligen Server. Es ist also derzeit technisch nicht möglich,

wie es unter Samba und unter Windows möglich ist, ein Read-Only zu machen. Das geht derzeit nicht. Es finde ich auch schade. Es ist aber auch so, dass man in dem Bereich auch wieder daran arbeitet. Das Problem ist halt eben nicht nur, und mit dem L-Ab würde es rein theoretisch gehen mit dem 389-Server,

aber der Reste, der hinterläuft, ist es halt eben ein bisschen problematisch, das zu konfigurieren, wird auch gemacht, dauert aber wohl auch noch ein paar Tage, bis es läuft. Die Server rollen Domainlevel. Seit Version

4.8 gibt es nur noch den sogenannten Domainlevel 1, der gewisse Dinge definiert. Es gab vorher mal ein Domainlevel 0, müsste noch bei CentOS-Maschinen laufen, die noch nicht mit 4.8 ausgestattet werden, beziehungsweise etwas ältere Maschinen. Da sind halt gewisse Dinge nicht möglich und dementsprechend

gehen da eine Dinge nicht. Standard mittlerweile mit Version 4.8 ist jetzt die Version, bzw. ist der Domainlevel 1. Genau, wie gerade angesprochen, bei der Konfiguration des jeweiligen

Servers wird halt eben eine sogenannte ID-Range vorgegeben, die halt eben zufällig generiert aus 20 verschiedene Möglichkeiten, wo ihr aber auch hier frei seid, die Range für euer Bereich zu definieren, wie auch immer. Das, wie gesagt, die Möglichkeit besteht bei der Installation, dass ihr in den Bereich eingibt,

auch wie groß diese Range sein soll und auch hier könntet ihr sie nur fast noch mit Komplikation ändern, weil ihr halt eben schon gewisse Leute gewisse ID's bekommen haben in gewissen Rangebereichen, aber auch das ginge zur Not auch. So, kann ich euch...

Ja. Wir hatten ja gerade gesprochen über diese, wohl, Best Access Controls. Also auch hier gibt's vordefinierte Rollen, die halt eben, wenn man einfach mal schaut,

zum Beispiel den Help Desk, wenn ich auf die Rolle schaue, der Help Desk zum Beispiel, hat gewisse Privilegien und dann wird das runtergebrochen. Auch hier könnt ihr halt eben sagen, welche, wer was machen darf, auch sehr fein abgestuft machen darf,

was vielleicht, wenn ihr zum Beispiel einen Help Desk habt im Unternehmen oder andere Mitarbeiter, die gewisse Dinge machen dürfen, halt eben sagen dürft, was sie halt eben, wenn sie in der jeweiligen Gruppe dürfen und nicht, auch da, wie gesagt, seid ihr auch eben, wenn man nach oben geht, einen Moment, auch da seid ihr halt eben frei

gewisse Dinge wieder hinzuzufügen, zu editieren oder wie auch immer so, wie ihr das gerne möchtet. Sonst noch was, die Konfiguration, die Ranges, ich schau nochmal eben schnell, Netzwerkdienste hatten wir, Autofizierung hatten wir, genaue Regeln,

genau. So, edited. Super. Also, was man jetzt hier nicht sieht, ist der 389-Server. Also, es läuft darunter ein 389-Server, wie gesagt, den ihr jetzt in der grafischen Oberfläche nicht seht, beziehungsweise die Struktur, die dahinter läuft, nicht

seht, da würde ich euch Folgendes empfehlen, wenn ihr das denn lieber per LDAP-Browser ändern möchtet, ist auch gar kein Problem. Ich zeige euch das eben schnell, wie ich das mache. Konsole, genau,

ja, hier ist es auch drauf. Technik, die begeistert. So, Entschuldigung, falsch.

Ich benutze dann halt eben, wenn ich mir die LDAP-Struktur, die angelegt wird seitens für IPA bei der Installation, den DaVectory, das DaVectory Studio von der Apache, vielleicht kennen das ein paar Leute von euch, das ist halt eben noch ein schönes Tool, um halt eben gewisse LDAP-Strukturen sich anzeigen zu lassen,

zu bearbeiten, die Pfade zu schauen, wie was wo auffängt, halt eben eine Alternative vielleicht zum LDAP-Search. Und, ja, ich finde es persönlich ist eine schöne Sache. Also, wie gesagt eben, ihr nehmt ihn auf, bei der,

das habe ich gerade vergessen zu erwähnen, bei der Installation des IPA-Servers generiert ihr zwei Benutzer. Ihr generiert einen Admin-Benutzer mit einem Passwort und zusätzlich noch zu dem Benutzer, um halt eben auf diese grafische Oberfläche zu kommen bzw. in IPA-Befäder auszuführen.

Als Admin generiert ihr noch den sogenannten Directory-Manager für diese Sache, die ihr dann auch nutzen könnt, um halt eben darauf zuzugreifen. Und wie ihr dann dann seht, so schauen wir mal, ich habe jetzt halt eben hier diese DC-Dienungstest DC-Gunikus-DE angelegt und all darunter sind

halt eben die ganzen Dinge, die standardmäßig mit angelegt werden. Auch hier könnt ihr diese Sachen sofort editieren und sie werden dann eins zu eins übernommen und dementsprechend würdet ihr das dann auch in der grafischen Oberfläche bei IPA oder halt eben auch auch so, Entschuldigung, auch in der Kommando-Zeile sehen. Wir können

einmal schauen, wenn wir hier den Accounts angucken, da haben wir die Users und da seht ihr, sind diese Users auch hinterlegt mit den jeweiligen Attributen. Schauen wir uns die mal an. Die halt eben das System generiert. Auch da könnt ihr dann halt eben sofort die Dinge dann verändern, die dann sofort eins zu eins

dann auch im IPA-Server übernommen werden und bei mir auch dann repliziert werden auf dem anderen IPA-Server. Wie gesagt, diese ganzen Dinge sieht man halt eben nicht so fein in der IPA-Oberfläche, deswegen

hab ich es so gemacht, halt eben noch zusätzlich umzuschauen, wie was wo ist. Halt eben noch den Apache Directorial Studio hab ich da installiert und könnt ihr halt eben auch die Dinge noch einstellen, ändern, wie auch immer und suchen und sieht dann halt eben auch der Find, wie was abgelegt ist. Was natürlich nicht heißt, dass LDAP Search

oder andere LDAP Befehle da nicht funktionieren würden in der Commando-Oberfläche. Genau. So. Das war jetzt einfach mal so ein grober Überblick dessen, was einfach grafisch machbar

ist, wo ihr auch gewisse Regeln einfach hinzufügen könnt, solche Rules, Gruppen und wie auch immer. Das war eben ein kleiner Überblick. Ich würde jetzt einfach mal folgendes machen. Ich hab ja jetzt hier ein bisschen

minimiert. Neuer Reiter. Ne, neues Fenster machen wir eben schnell.

Geht das größer? Schauen wir mal. Ja, mach ich schon, aber

gut. Jetzt größer.

Wie gerade besprochen, also könnt ihr den jeweiligen Clients und dann den jeweiligen Benutzern, die ihr darauf zulasst, halt eben gewisse Rechte hinzufügen.

Wie ihr jetzt gerade seht, ist das der IPA-Client. Ich hab mich gerade als Maxima aufgewählt und mach mal einfach ein Sudo-i. Funktioniert einmal frei. Wenn ich jetzt dieses Recht

im IPA-Server entziehe, das mach ich jetzt einfach mal im schnellen. Wie mach ich's denn am besten? Ach, ich mach's mal so. Und ich mach

noch folgendes, auch noch dazu. Das ist es ja auch noch weg. So.

Also doppelt sozusagen. Ne, okay. Das behält er noch. Kein Wunder. So. Sollte er an sich, wenn es denn funktioniert,

nicht hin dürfen. Wie ihr seht, durch ändern einfach der Regel, wird er ausgesperrt. Ohne dass ihr auf der anderen Seite was konfigurieren müsst, was relativ schnell geht.

Ich könnte ihn jetzt auch wieder zurückführen und dann könnte er sich wieder anmelden, auch wieder Sudo ausführen und so weiter. Das heißt, wenn ihr zum Beispiel feststellt, in eurer Administration, oh, Mist, ich hab da irgendwie was vergessen, eben schnell hinzufügen oder entziehen. Und wie ihr seht, es ist relativ zeitnah. Dementsprechend kann man das da auch konfigurieren.

So. Aber. So. Dann machen wir jetzt mal ein neues Fenster noch mal im Stellauf. Neues Fenster. Steuerung plus. Mach's ein bisschen größer. Ich wollte euch ja noch Kommandozahlen Tools zeigen. Auf der IPA Server Seite. Machen wir das eben.

168. 22. Ihr müsst, bevor ihr überhaupt in dem Bereich was machen

könnt, ein Kerberos Ticket holen, was euch autofiziert, dass ihr das dürft. Und dann stehen all die Sachen, die ihr halt eben grafisch gemacht habt, beziehungsweise machen könnt, stehen euch da halt eben auch in der Konsole zur Verfügung. Gibt da eine große

Auswahl an Befehlen, die möglich sind, die Hostgruppen hinzuzufügen, User hinzuzufügen, Gruppen, In-Gruppen hinzuzufügen und all sowas. Ich würde euch einfach mal folgen. Das ist der Trust. Das ist nicht das, was ich wollte.

IPA Replika. Als Beispiel. Manage Minus L Minus V. So was zum Beispiel.

Ach ja, Entschuldigung. Mein Fehler. So ist es.

Könnt ihr euch zum Beispiel anzeigen, wie zum Beispiel welche Replika Server definiert sind. Als Master zum Beispiel, wie bei mir, halt eben den IPA Server 1 mit dem Namen oder IPA Server 2 mit dem Namen. Ihr könnt euch halt auch in der Konsole anzeigen lassen. Ich mache es mal jetzt hier als Beispiel.

Ach so, mein Fehler. da muss es sein.

Genau. Könnt ihr euch auch noch anzeigen lassen, wie der Replikationsstatus ist, wann das das letzte Mal gemacht worden ist, was ihr vielleicht in der grafischen Oberfläche nicht so schnell findet. Wie ihr seht, Update-Status error 0, alles klar, ist das letzte Mal gemacht worden, heute um 8.38 Uhr.

auch da könnt ihr zum Beispiel über die Kommandozahlen Tools, die halt eben euch zur Verfügung stellen, auch eben schnell ein neues Replika anstoßen. Wenn ihr meint, irgendwas hat nicht funktioniert, stoße ich eben das schnell an. Das geht auch relativ einfach mit dem Befehl.

Und dann macht ihr das und wenn ihr dann einfach schaut auf beiden Seiten, ob diese Replika funktioniert, wird ihr euch dann sagen ja oder nein. Und dementsprechend könnt ihr dann auch weiter agieren, was ihr dann weiter machen wollt. Also wie gesagt, es stehen euch da eine Menge an

Befehlen zur Verfügung. Ich mache mal jetzt einen kleinen Überblick, was halt eben möglich ist. Mittlerweile mit Versionen, weil ich das gerade sehe, 4.8 ist halt eben die Möglichkeit auch relativ einfach einen Samba-Share zu konfigurieren,

was dann, wenn ihr das dann einführt, er abfragt, am IPA-Server ist der Benutzer bei mir im IPA-Server registriert, ja, dann gebe ich das Verzeichnis, wenn ihr es denn definiert habt, frei. Ist natürlich auch eine schöne Sache. Ist auch für den Twast sehr interessant.

Ja, wie gesagt, OneWayLoft läuft zur Zeit und dementsprechend nicht so voll funktionsfähig ist. Wie gesagt, alles das, was ihr hier grafisch machen könnt, könnt ihr in der Konsole machen,

vielleicht sogar noch ein bisschen besser und granularer, weil ihr da viel mehr Möglichkeiten habt. Ich zeige euch mal eben ein anderes Beispiel,

so, mal gucken, das kommt mal ein bisschen, ne, falsch, Entschuldigung. Genau. Dann könnt ihr zum Beispiel kriegt ihr auch so einen Überblick, wenn ihr, fangen wir mal an, drei Benutzer mit dem jeweiligen

LAP-Eintrag bekommt ihr halt eben schön zu sehen. Das wäre halt eben die Alternative zum Dual-Vectory-Server, wenn ihr halt eben es so sehen möchtet. Ihr seht halt eben den Namen, den vollständigen Namen, den Administrator, den Principle, den ihr halt eben braucht, um euch ein Carbohost-Ticket zu erzeugen,

Passwort, wann das ausläuft, nicht, obwohl das ein bisschen kryptisch definiert, denn die UID, die Gruppen-ID, ihr könnt auch Konten natürlich, auch gar kein Problem, aktivieren und deaktivieren, welcher Benutzer er ist und so was. Auch das, gar keine Frage, geht ohne Probleme über

Kommando-Zahlentools. Wenn ihr das mal ausprobieren wollt, auch der Twast läuft sehr sauber über die Kommando-Zahlentools, ist auch relativ einfach. Und, ja, ich persönlich präferiere lieber die Kommando-Zahlentools, aber ist ja jedem

selbst überlassen, wie ihr das gerne macht. Ich würde jetzt auch nur da so grober Überblick haben, was das eben möglich ist. Ihr könnt euch auch da zum Beispiel diesen Moment, wo ist meine Grafisch-Urfläche? Da, Ipassava, Topologie,

auch das könnt ihr euch anzeigen lassen in der Konsole, da wird ihr euch fragen, was ihr gerne angezeigt bekommen möchtet, ob die CR oder Domain, da fragt ihr eventuell, je nachdem, welchen Befehl ihr aufruft, die linke und die rechte Note ab und sagt dann, ja, die sind so und so verbunden. Auch das funktioniert,

was wir hier grafisch sehen in der Konsole und läuft super gut in der Konsole. Ach, eine Sache noch sehe ich jetzt gerade noch. Ihr könnt zusätzlich zu

der Sache, wenn ihr eben unterschiedliche Server habt, allen eben noch die Lokalitäten in Zufügung mit dem jeweiligen Gewicht, was zusammen die 100% ergibt, ist ein nettes Gimmick, ob man es braucht, ist eine andere Frage. ich mach jetzt was gucken,

Host, Ipa, Kleint, Ach, falsch, die Regeln, Ipa, Kleint und Jo, alles klar. Gut,

wie gesagt, das Schöne, was ich was ich was ich sehr angenehm finde bei Ipa, ist, ihr habt die Möglichkeit,

diverse Dinge an Host zu machen, ohne direkt an den Host selber was zu konfigurieren zu müssen. Wie ihr gerade gesehen habt, wenn ihr zum Beispiel dem sagt einfach, der Benutzer XY darf sich per SSH auf die Kiste X nicht einwählen,

funktioniert das einmal frei, wenn ihr sagt, oh, shit vergessen, könnt ihr es halt eben so konfigurieren, dass das darf, ihr könnt halt wie gesagt auch noch andere Dienste ihm entziehen und geben, ohne halt eben auf der anderen Seite ihn in diverse Gruppen aufzunehmen, ihm gewerse Rechte zu geben, wie auch immer, was natürlich halt eben die Administration

großer Umgebung relativ einfach macht. Dann würde ich noch meine persönliche Wünsche, die ich so habe, als Admin, bzw. der das auch benutzt regelmäßig zu Hause, als auch auf der

Arbeit benutzt, das ist halt eben sehr viel und rollt auch sehr häufig aus, ist halt eben diese Sache mit einer Replika-Version read-only, das wäre halt eben so ein Träumchen von mir, dass ich halt eben zum Beispiel auf die Möglichkeit habe, eine Sache so einzustellen, zum Beispiel in dem Set, der nur ständig Daten abfragt, sie aber nicht zurückfunkt, was natürlich sicherheitstechnisch

ein riesen Vorteil wäre, was halt eben derzeit noch nicht machbar ist oder bzw. in Planung ist, wo man mir halt eben, wie ich es schon gerade erwähnt habe, gesagt hat, ja, das wird noch einen Moment dauern. Dann, wie gesagt, der Tfast, der vollständige Tfast zwischen der AD-Domäne und Free IPA,

wie gesagt, ihr könnt derzeit, wenn ihr euch, wenn ihr den Trast aufbaut, könnt ihr halt eben nur eine Seite anmelden von AD zu Free IPA, wie gesagt, das ist halt eben das Problem mit dem globalen Katalog, wird wohl etwas länger dauern. Ich habe auch mal

probiert, privat eine Samba-AD mit dem IPA zu koppeln, bin da nun zu Problemen gelaufen, warum auch immer. Da scheint bei Samba noch nicht alles so zu TACO zu laufen, was das betrifft und dementsprechend, Entschuldigung, würde ich mir wünschen, dass das auch möglich ist,

aber schauen wir mal, wie sich da so die Sache weiterentwickelt. Also, zum Beispiel in 2.19, aber 2.16 Server, wenn ihr das im Betrieb habt bei euch, und auf der anderen Seite vielleicht noch eine kleine Linux-Umgebung oder umgekehrt, ist gar kein Problem, 2.16, 2.19 laufen super gut, der Trast, und dann könnt ihr

halt eben über diverse Clients oder Server halt eben, dann definierte Benutzer zulassen und die können sich dann einwählen auf der IPA-Seite. Ja, ich weiß nicht, das ist auch mal geäußert worden, der Wunsch, die Integration von Windows- Clients ist die Frage, ob man das möchte.

Laut Definition, IPA und der Entwickler von IPA reden wir an sich von einer nicht gemischten Umgebung, sondern von einer reinen Unix-Umgebung. Es ist möglich Windows-Clients zu installieren mit einem erheblichen Aufwand, das was man ausführen muss, das sind ein paar Befehle, ob es dann

immer so funktioniert, ist auch noch so die Frage. Ich selber würde es nicht machen oder mir wünschen, aber es ist halt eben der Wunsch von diversen Leuten mal geäußert worden, es zu vereinfachen, um halt eben dann auch diese Sachen halt eben mit diesem

Granulan runter regeln, die Regeln, was halt eben bei Windows derzeit noch nicht möglich ist, wer wie was darf und wie auch immer, zu ermöglichen, aber das glaube ich wird wohl nie kommen, weil halt eben definiert wird. Wir bauen Free IPA als reine Linux, Unix-

Umgebung, wo wir halt eben Dinge machen können, wie ich euch gerade gezeigt habe und das wird nie ein Konkurrenzprodukt zur Samba oder zur Windows-AD halt eben.

Genau, Rita Oni hat erwähnt, das habe ich erwähnt, das habe ich erwähnt. Ansonsten hatte ich da oben, wie ihr gerade seht, ist Free IPA eine Alternative zu AD. Es ist keine Alternative zu AD, weil wir reden glaube ich von, oder ich habe es absichtlich so definiert, wir reden da glaube ich von unterschiedlichen

Dingen, weil halt eben eine AD, sei es halt eben, macht ihr es über Samba oder macht ihr es halt eben eine reine AD. Läuft ja auf Windows-Seite und die, die, wenn ihr in der AD könnt ihr ja auch relativ einfach kleines installieren, von Linux-Seite her, das funktioniert ja auch.

Aber das ist da einfach nicht gewünscht, diese Vermischung der verschiedenen Systeme, zumindest, was das betrifft, eine Vermischung halt eben über den Twast, gar keine Frage. Aber ansonsten, wie gesagt, die präferierte Sache, die läuft, ist halt eben rein Linux halt eben, um da halt eben das Fein und Granular

runter zu regeln mit gewissen Regeln, wie ihr gerade gesehen habt, wie, was darf, wenn ich den Client aufnehme und das zu definieren. Ihr könnt auch andere Server dann zusätzlich noch reinnehmen und auch diese Server definieren, wer da wie drauf zugreifen darf, bei uns läuft das gerade auch, wenn ich das mal so erwähne, mit diversen anderen

Dingen, wir versuchen auch gerade, wir sind ja auch so mit Umbau begriffen und haben da auch neue Server integriert, das läuft auch supergut damit. Wie gesagt, also es ist nichts für Mischumgebung, sondern für reine Umgebung und wenn ihr eine Mischumgebung erzeugen wollt, würde ich in dem Moment immer den Twast bevorzugen, um einfach zu sagen, ja,

auch wenn es derzeit nur ein One-Way-Twast ist für mich, halt eben ist die einfache, einfachere Sache. Ja, dann wäre ich am Ende meines Vortrages und wenn es noch Fragen gibt, gerne. Bitte.

Einen Moment. Datenbank-Server, Web-Server da hat und dann einen Free-EPA aufzieht,

wie kriegt man die bestehenden Maschinen da hinein? Melden die sich automatisch an, wenn man die richtigen Pakete installiert oder muss man erst im Free-EPA diese Hosts definieren? Nein, also wenn du, wir reden natürlich jetzt, was die Grundvoraussetzungen sind, natürlich müssen Linux-Kisten sein oder Unix-Kisten, sagen wir mal

die Unix-Kisten. Je nachdem, was da für ein Betriebssystem drunter läuft, ist es relativ einfach mit einem IPA. Du installierst dir ein sogenanntes IPA-Client-Paket und wenn du dieses IPA-Client- Paket installierst, ist es möglich mit dem Befehl, ich sag mal jetzt ein Befehl, so wie es ist. Da nennt sich IPA

Minus-Klient- Minus-Install und dann gibst du ihm Parameter mit, an welchem IPA-Server er sich anmelden soll. Und danach erfolgt eine sogenannte Routine, die dann halt eben die ganzen Dinge abfragt. Er fragt dich nach einem Admin-Passwort, was du angeben musst bei der Installation und der Rest läuft dann von alleine.

Das ist einfach alles. Warte mal. Vielleicht kriegen wir das... auch, ja, ich komme ich da jetzt noch hin, ja. Ein Moment.

192 192.16 192.16.100

Genau. Warte mal, ich mach's mal vorne. Install. Das wäre halt eben der Befehl, nachdem du die passenden Pakete runtergeladen hast mit den jeweiligen Argumenten, den halt eben aufzunehmen in die IPA-Domäne.

Das ist an sich alles, was du ausführen musst. Der Rest läuft von alleine. Du sagst ihm halt eben noch, wie ich gerade gesagt hatte, wenn du ihm sagst, du gibst ihn noch im Server mit, kannst du ihn mitgeben, den Real Name, die Domäne und so weiter und dann fragt er dich halt eben nach dem Passwort des Admins und dann sagt er, jo, alles klar und dann

installiert er automatisch das, was er installieren muss und dann, wenn er das erfolgreich getan hat, willst du ihn als Host in der IPA-Domäne sehen. Mehr ist das nicht. Gut, danke. Wenn ich jetzt den Trust zwischen

FreeIPA und AD hergestellt habe, synchronisiert dieser IPA dann die User rüber oder also wenn ich jetzt beispielsweise Gruppen Zugehörigkeiten konfigurieren möchte, muss er ja entweder ständig das AD abfragen oder hat er einen initialen SYNC?

Bei der Installation von dem Trust erstellst du auf dem IPA sogenannte externe Gruppen, die du dann diesen Trust zuweist. Und dementsprechend funktioniert das. Ansonsten, wenn du mehrere Benutzer noch hinzufügen willst, wirst du wahrscheinlich nicht drum herumkommen, diese Benutzer immer im IPA anzulegen.

Also immer doppelt pflegen die User? Ja, das geht leider nicht anders. Weil, wie gesagt, das ist halt eben die Sache mit dem Goblan-Katalog mit der Synchronisation, das, was halt eben noch nicht läuft. Die Benutzer, die halt eben auf deiner IPA-Seite zugreifen müssen, möchten, so ist zumindest mein Stand, musst du

in der IPA-Domäne per Hand dann leider hinzufügen. Das sind ein paar, je nachdem wie groß die Domäne ist, weiß ich selber. Gar keine Frage. Aber funktioniert an sich ganz gut. Kann man sich ja skripten dann, ne? Ja, dass wir skripten können, ja. Weil die Befehle, die da laufen, das sind vier Stück, drei oder vier Stück. Du fügst halt eben

Gruppen hinzu und diese Gruppen halt eben gewisse User und das kannst du per Skript machen, ja. Ja, dann würde ich sagen, dann bedanke ich mich für die Aufmerksamkeit. Ich wünsche euch noch einen schönen Tag hier und wenn ihr noch Fragen habt, am LPI-Stand oder bei Lagunicus werdet ihr mich finden.