Comments 18
Для FreeIPA есть несколько морд для сброса паролей пользователями, но все имеют недостатки- либо требуют модифицировать схему, либо сделаны для древних версий IPA и не поддерживаются. Пришлось написать свое (). Позволяет сбрасывать пароль по SMS на мобильник. SMS отправляются через Amazon SES.
Потерялась ссылка https://github.com/larrabee/freeipa-password-reset
Ни разу проблем с этим не было.
Подробнее посмотрев я понял о чём речь.
Ну тут как бы решение корпоративное, и «Если вы забыли пароль обратитесь к системному администратору».
Для этого есть ряд причин. Как минимум чтобы гарантировать соблюдение всех норм мы должны выдать сотруднику телефон сим карту и потребовать от него заключения определённых договорных условий. Пока у человека личный телефон с личной симкартой он может невозбранно их потерять, продать, подарить, пропить или попросту выбросить.
И воздействовать на человека нет ни каких возможностей.
Ну тут как бы решение корпоративное, и «Если вы забыли пароль обратитесь к системному администратору».
Для этого есть ряд причин. Как минимум чтобы гарантировать соблюдение всех норм мы должны выдать сотруднику телефон сим карту и потребовать от него заключения определённых договорных условий. Пока у человека личный телефон с личной симкартой он может невозбранно их потерять, продать, подарить, пропить или попросту выбросить.
И воздействовать на человека нет ни каких возможностей.
Не очень страшно, т.к. у нас сервис доступен только в интрасети. Пользователь сам указывает свой номер телефона в профиле и сам может его поменять. Зато такое решение значительно упрощает цепочку, вместо: «подойти к админу, попросить сбросить, админ ставит рандомный пароль и отправляет пользователю, пользователь меняет пароль на удобный» надо просто открыть страничку и самому сменить пароль.
не туда
Не подскажете документацию по методам интеграции asterisk, claws-mail, автомонтировании ресурсов и прочего с freeipa? Гугл всемогущий весьма скуден
Так Вы гуглите asterisk openldap и т.д.
В основе FreeIPA обычный openldap с кастомной схемой. Вам нужно просто понять структуру. Я Обычно пользуюсь directory.apache.org/studio для уточнения и просмотра схемы. Но есть и unix-way вариант смотреть на сервера конфиги схем.
Ну а с конкретными вопросами пишите в личку что сможем подскажем
В основе FreeIPA обычный openldap с кастомной схемой. Вам нужно просто понять структуру. Я Обычно пользуюсь directory.apache.org/studio для уточнения и просмотра схемы. Но есть и unix-way вариант смотреть на сервера конфиги схем.
Ну а с конкретными вопросами пишите в личку что сможем подскажем
Спасибо за статьи про FreeIPA. В процессе тестирования перед развёртыванием сейчас. Прогулялся по целому ряду граблей.
Вообще, при конфигурировании и работе с FreeIPA необходимо пользоваться хэндбуком.
После всех приключений я с опаской отношусь к обновлениям. Внезапно, репликация ваших серверов может развалиться, потому что ipa-server обновился.
А вообще — очень мощный комбайн для управления правами доступа.
Вообще, при конфигурировании и работе с FreeIPA необходимо пользоваться хэндбуком.
После всех приключений я с опаской отношусь к обновлениям. Внезапно, репликация ваших серверов может развалиться, потому что ipa-server обновился.
А вообще — очень мощный комбайн для управления правами доступа.
Так надо читать чейнжлоги.
Я с FreeIPA работаю со второй версии, ни разу не ломалась репликация после обновления.
Ну и на www.freeipa.org информация куда более точная.
Я с FreeIPA работаю со второй версии, ни разу не ломалась репликация после обновления.
Ну и на www.freeipa.org информация куда более точная.
Вопрос. А доводилось работать со встроенной системой Backupa&Restore?
Да.
Регулярно бекапимся и планово ресторимся чтобы проверить работо способность бекапов.
Факапов не было с этим.
Если есть вопросы то задавайте попробую ответить.
Регулярно бекапимся и планово ресторимся чтобы проверить работо способность бекапов.
Факапов не было с этим.
Если есть вопросы то задавайте попробую ответить.
Итак, предположим, что у нас два сервера, которые обеспечивают авторизацию на 100 хостах. Один из серверов стоит в серверной на первом этаже, а второй в серверной на третьем этаже. Оба регулярно выполняют команду ipa-backup --data и ipa-backup. В здании случается потоп. В результате на одном сервере от КЗ умирает блок питания и убивает оба винта, которые собраны в RAID1, на втором сервере погибает вообще всё, потому что другое КЗ вызывает пожар и стойка выгорает (не холивара для, а реальный случай из жизни).
Итого мы имеем сеть, с погибшей парой серверов-контроллеров-домена, но бэкап лежит в надёжном месте. Как восстанавливать домен если других серверов не было, но актуальный бэкап сохранился?
Итого мы имеем сеть, с погибшей парой серверов-контроллеров-домена, но бэкап лежит в надёжном месте. Как восстанавливать домен если других серверов не было, но актуальный бэкап сохранился?
Поднимаете сервер с таким же именем и адресом. И говорите рестор из фулл бекапа.
Потом если фулл бекап не актуальный догоняете его состояние до актуального дата бекапами.
Вот тут такие кейсы есть www.freeipa.org/page/Backup_and_Restore актуальность не потеряли.
Потом если фулл бекап не актуальный догоняете его состояние до актуального дата бекапами.
Вот тут такие кейсы есть www.freeipa.org/page/Backup_and_Restore актуальность не потеряли.
Я правильно понял, что если в виду каких-то причин (кривое обновление, или админ ручками поковырял то, что не нужно или еще что-то), то имея полный бекап сделанный встроенными стердствами FreeIPA и свежую установку — мы можем все восстановить так, как это было на момент создания полного бекапа?
Можно ли делать бекапы на уровне гипервизора (на сколько я знаю, в случае с AD так лучше не делать)?
Можно ли делать бекапы на уровне гипервизора (на сколько я знаю, в случае с AD так лучше не делать)?
Sign up to leave a comment.
Набор полезных советов для эффективного использования FreeIPA