问题标签 [freeipa]

我开发了一个具有以下架构的 Web 应用程序：

• 前端：Angular 6
• 后端：带有 Springboot 的 Java REST API

我想为其添加身份验证和授权。为此，我正在寻找一些开源应用程序（例如 KeyCloak、Gluu 等）。我想知道在哪个工具中支持以下场景。

• UI 上将有一组预定义的活动（例如添加、编辑、删除等）
• 将有预定义的访问级别（例如读、写、无访问）
• 我应该能够创建角色，然后将活动和访问级别分配给这些角色，并将这些角色分配给用户。

你能帮我找出一个支持我上述场景的工具吗？

我为 KeyCloak 尝试了一些东西，但我找不到添加活动、访问级别和映射角色的方法。我认为那里的一切都只受角色支配。

我刚刚意识到我需要基于活动的授权而不是基于角色的授权。请帮我找到一些工具。

男孩，你好，我有点为此挠头。

我有一个具有 770 权限的目录：

我无法cd进入它：

嗯，好吧，我想我不在mygroup1组里，对吧？错误的：

...与 getent 确认

...也许与 GID 有一些混淆mygroup1？没有：

如果我 chown 组到root:mygroup2，我可以很好地进入：

没有覆盖普通 UNIX 权限的特殊 ACL：

这个目录没有特殊的 NFS 挂载或任何东西 - 它与其他目录共享一个挂载，这些目录都没有这个问题，但它们也不属于mygroup1.

所以，这个问题似乎是这个群体特有的。

这个问题是今天早上发现的——昨天的成员mygroup1可以进入mydir就好了。

我们使用 FreeIPA 管理用户和群组，昨天我在mygroup1群组中添加了一些新用户。但是我也将用户添加到mygroup2组中，这没有问题。

有人有什么建议吗？

我们正在寻找一种简单的开源软件，该软件易于容器化，我们可以在我们的云开发环境中将其用作机器上的单点登录。

需要为其处理身份验证的服务器是

gitlab nexus jenkins sonarqube

到目前为止，我已经看过 freeIPa

https://github.com/freeipa/freeipa-container

在进行此设置时遇到了一些麻烦，并希望获得其他一些建议。

老实说，我什至不确定 freeIPA 是否可以与所有这些软件标题一起使用，我现在要检查一下。

任何提示或建议都非常受欢迎。

这是我们正在努力实现的基本图表

我对使用 LDAP 的 Spring Security 相当陌生，我正在尝试对 LDAP 服务器（FreeIPA）上密码过期的用户进行身份验证。

我似乎无法触发任何密码过期异常等。密码策略响应控件始终返回 null....

这是我的代码，也许我做错了什么。如何处理密码策略错误？他们目前根本不开火。

我在下面有一个自定义的 LdapAuthenticator，它使用 ldaptemplate 对用户进行身份验证。

无论我做什么，我都无法返回任何密码策略错误。据我了解，您需要在尝试进行身份验证时使用 PasswordPolicyControl 设置请求控件，但我从未收到来自服务器的任何响应控件。我已经尝试实现类似下面的东西，但没有任何运气。

我究竟做错了什么？我为此苦苦挣扎，任何帮助将不胜感激。

我已经在实验室完成了对 freeipa 实例的测试。我想将我在实验室中定义的所有 SudoCommands 导出到我打算压入生产的服务器。

我进行了 LDAP 搜索，以查看是否可以找到包含我在实验室中配置的所有命令和描述的 OU（价值 5 页），但什么也没找到。我执行了 pa-server-backup 并筛选了该文件系统。我发现 sudo 的唯一参考是一些用于主机组和外部命令的 berkley 数据库，它们都没有任何条目。

有谁知道 freeipa 应用程序中各个 sudo 命令的存储位置以及如何访问它们？我制作的 CommandGroups 和 HostGroups 很容易手动重新生成。

我想在 freeipa 的 ldap 389 目录服务器中集成 yubikey 令牌详细信息

我正在尝试按照这些说明使用 yubikey 信息扩展 ldap 模式。Ldap 的扩展不能开箱即用，我正在尝试纠正它们。
我将 attributeTypes 和 objectClasses 定义更改为 dn: cn=schema # attributeTypes: ( 1.3.6.1.4.1.40789.2012.11.1.2.1 NAME 'yubiKeyId' DESC 'Yubico YubiKey ID' EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.21 X-ORIGIN 'Example' ) objectClasses: ( 1.3.6.1.4.1.40789.2012.11.1.2.2 NAME 'yubiKeyUser' DESC 'Yubico YubiKey User' SUP top AUXILIARY MAY ( yubiKeyId ) X-ORIGIN 'Example' )

通过这些修改，ipa 能够重新启动，但是当我尝试使用命令导入令牌 ID 时

ipa user-mod --addattr="objectClass=yubiKeyUser" --addattr="yubiKeyID=ccccc1234567" user1

我收到以下错误 ipa: 错误: yubiKeyId: value #0 invalid per syntax : invalid syntax。

我正在使用：CentOS：Linux 版本 7.5.1804 FreeIPA：版本：4.5.4，API_VERSION：2.228

谢谢您的帮助

我有一个正在运行的 freeipa ldap 服务器，用于用户管理。我需要使用 userPrincipleName 属性搜索用户。我可以使用 uid 过滤器进行搜索，如下所示：

ldapsearch -H "ldap://ldap.domain.net" -D "uid=badr,cn=users,cn=accounts,dc=domain,dc=net" -w "password" -b "uid=badr,cn=users,cn=accounts,dc=domain,dc=net" "uid=badr"

但是，当我将过滤器更改为 时userPrincipleName，它什么也不返回。

ldapsearch -H "ldap://ldap.domain.net" -D "uid=badr,cn=users,cn=accounts,dc=domain,dc=net" -w "password" -b "uid=badr,cn=users,cn=accounts,dc=domain,dc=net" "userPrincipleName=badr@domain.net"

我怀疑必须在 ldap 服务器上执行某些操作才能使其正常工作。

错误可能在哪里？

提前致谢

我正在尝试将 ubuntu docker 容器与 FreeIPA 集成，并在安装 FreeIPA-client --install 时遇到错误

我尝试通过键入 sssd 并收到以下消息来手动启动 sssd

我感谢您的帮助

我的公司已决定使用FreeIPA，以便Single Sign On为我们的员工提供可用的功能。我对Kerberos/LDAP和类似的东西一点都不熟悉，因为我以前从未使用过这些技术。

我们有 70 个用户 - 他们有 Windows 操作系统机器，SSO 应该用于几个Python( Django) Web 应用程序、WordPress 网站，并且可能用于RoundcubeWeb 电子邮件和OpenVPN访问。他们根本无法访问 Web 服务器，因此 SSH 帐户对于这个故事并不重要。

我们的python网络应用程序有一个包含用户数据的数据库表，该数据与其他一些表相关，对我们来说，将每个用户添加到这些表中非常重要（通过我们的网络应用程序界面），否则我们的应用程序将无法正常工作。考虑到这一点，我想知道是否有办法以某种方式将用户从FreeIPA's数据库引用到我们的网络应用程序和 wordpress 的数据库，示例如下：

并非每个用户都可以访问每个 Web 应用程序，也不是每个用户在这些应用程序中都拥有相同的权限。

我们已经在每个 Web 应用程序中分别定义了用户权限，并且一切正常，因此主要目标只是让SSO我们的用户可用。我不想打扰FreeIPA系统中的用户组和权限，我能避免吗？当用户获得Kerberos票证时，我希望这些网络应用程序能够识别他/她的帐户，该帐户引用FreeIPA数据库中相应的用户帐户，因此在这些应用程序中具有某些特权。

在这种情况下，很明显我必须将每个新用户添加两次 - 在FreeIPA数据库和 Web 应用程序的数据库中，但这不是问题，我只想以某种方式连接/引用这些用户帐户。

编辑 Michael Ströder 的回答：

如我所见，我必须使用“--uid”命令手动将每个现有用户添加到 FreeIPA，因为 FreeIPA 会自动将这些属性提供给每个用户。我同意，我不会将用户名用于 UID，而只会使用整数。所以，我想像这样 - 我必须将每个用户的 uid 号链接到应用程序的 DB 用户的表 ID 列。比方说，如果 John 有 UID #7，他在 WordPress wp_users 表中也应该有 ID #7，这对我来说看起来不错。我想我可以在我的自定义 python 应用程序中轻松管理它，但我不确定如何在 WordPress 中管理它，是否有一些插件可用于此类事情？我找到了 AuthLDAP，但我不确定这是否是正确的方法？提前致谢

我正在使用这些如何使用 Docker (centos7) [ https://hub.docker.com/r/freeipa/freeipa-server/ ] 安装 FreeIPA，并且在这些命令之后我没有看到任何错误：

`

但是当启动容器没有工作时：

我不知道如何解决这个问题，请帮助我。