|
|
# FreeIPA / Redhat IDM
|
|
|
|
|
|
[[!toc levels=2]]
|
|
|
|
|
|
---
|
|
|
|
|
|
## But
|
|
|
|
|
|
Installer et configurer freeIPA
|
|
|
|
|
|
---
|
|
|
## Installation
|
|
|
|
|
|
Utiliser le rôle itopie.freeipa-server
|
|
|
|
|
|
---
|
|
|
## Règles HBAC (Host-Based Access Control)
|
|
|
|
|
|
### Administrateurs de domaine (Groupe admin avec full sudo + SSH)
|
|
|
|
|
|
- HBAC:
|
|
|
- Nom: allow_admin
|
|
|
- Desc: Allow SSH & Sudo to admins group members
|
|
|
- Utilisateurs:
|
|
|
- Groupes d'utilisateurs: admins
|
|
|
- Hôtes:
|
|
|
- Groupes d'hôtes: alldesktops, allservers
|
|
|
- Services: sshd
|
|
|
- Groupes de services: Sudo
|
|
|
- Règle SUDO:
|
|
|
- Nom: allow_admins_sudo
|
|
|
- Desc: Allow Sudo rights for admins group members
|
|
|
- Utilisateurs:
|
|
|
- Groupes d'utilisateurs: admins
|
|
|
- Hôtes:
|
|
|
- Groupes d'hôtes: alldesktops, allservers
|
|
|
- Execute les comandes: Toute commande
|
|
|
|
|
|
### Utilisateur pour les backups
|
|
|
|
|
|
- HBAC:
|
|
|
- Nom: allow_backup.$ORG
|
|
|
- Desc: Allow user backup.$ORG to connect via SSH and use sudo
|
|
|
- Options:
|
|
|
- Utilisateurs: backup.$ORG
|
|
|
- Groupes d'utilisateurs:
|
|
|
- Hôtes:
|
|
|
- Groupes d'hôtes: allservers
|
|
|
- Services: sshd
|
|
|
- Groupes de services: Sudo
|
|
|
- Règle SUDO:
|
|
|
- Nom: allow_backup.$ORG_rsync
|
|
|
- Desc: Allow user backup.codha to use sudo rsync without password
|
|
|
- Options: !authenticate
|
|
|
- Utilisateurs: backup.$ORG
|
|
|
- Groupes d'utilisateurs:
|
|
|
- Hôtes:
|
|
|
- Groupes d'hôtes: allservers
|
|
|
- Execute les comandes: Commandes et groupes définis
|
|
|
- Commandes « sudo allow »: /usr/bin/rsync
|
|
|
|
|
|
|
|
|
## Login on desktops (GUI)
|
|
|
|
|
|
- Groupe de service HBAC:
|
|
|
- Nom: display manager login
|
|
|
- Services HBAC:
|
|
|
- gdm
|
|
|
- gdm-password
|
|
|
- kdm
|
|
|
- login
|
|
|
- systemd-user
|
|
|
|
|
|
- Règle HBAC:
|
|
|
- Nom: allow_$ORG_desktops
|
|
|
- Desc: Allow users graphical login on desktops
|
|
|
- Utilisateurs:
|
|
|
- Groupes d'utilisateurs: equipe
|
|
|
- Hôtes:
|
|
|
- Groupes d'hôtes: alldesktops
|
|
|
- Services:
|
|
|
- Groupes de services: display manager login
|
|
|
|
|
|
---
|
|
|
[En haut](/installation/freeipa) |