In modernen IT-Infrastrukturen ist es wichtig, eine zentrale Verwaltung für Benutzer, Gruppen und Hosts zu haben. Eine der leistungsfähigsten Open-Source-Lösungen für diese Anforderungen ist FreeIPA. FreeIPA bietet Identitätsmanagement, Authentifizierung und Autorisierung und basiert auf bekannten Technologien wie LDAP, Kerberos, DNS und mehr. In diesem Blogbeitrag werfen wir einen Blick auf die Verwaltung von Entitäten (Entities) wie Benutzer, Gruppen und Hosts in einem FreeIPA-System.
Was ist FreeIPA?
FreeIPA (Identity, Policy, Audit) ist eine Open-Source-Software, die es Administratoren ermöglicht, Benutzer, Gruppen, Hosts und Zertifikate zentral zu verwalten. Es kombiniert mehrere Dienste wie Kerberos für die Authentifizierung und LDAP für die Benutzerverwaltung. Das Entity Management in FreeIPA spielt eine zentrale Rolle, um Benutzern und Hosts die richtigen Berechtigungen zu erteilen.
FreeIPA Entity Management
FreeIPA bietet eine einfache Möglichkeit, verschiedene Entitäten wie Benutzer, Gruppen, Hosts, Hostgruppen und Dienste zu erstellen und zu verwalten. Diese Entitäten ermöglichen die Zuordnung von Rollen, die Definition von Sicherheitsrichtlinien und die Zuweisung von Zugriffsrechten. Hier sind die wichtigsten Verwaltungskonzepte:
- Benutzerverwaltung (User Management)
- Gruppenverwaltung (Group Management)
- Host- und Hostgruppenverwaltung
- Zertifikatsverwaltung
1. Benutzerverwaltung in FreeIPA
Benutzer sind die primären Entitäten in FreeIPA. Sie können für Systembenutzer oder für Endanwender definiert werden. Die Verwaltung der Benutzer erfolgt über die Befehlszeile oder die FreeIPA-Weboberfläche.
Benutzer erstellen:
Benutzer können mit dem ipa-Befehl hinzugefügt werden:
ipa user-add johndoe --first=John --last=Doe --email=john.doe@example.comDieser Befehl erstellt einen neuen Benutzer „johndoe“ mit einem Vor- und Nachnamen sowie einer zugehörigen E-Mail-Adresse.
Benutzer anzeigen:
Um die Details eines Benutzers anzuzeigen, verwenden Sie den folgenden Befehl:
ipa user-show johndoeBenutzer deaktivieren oder löschen:
Manchmal müssen Benutzer deaktiviert oder gelöscht werden. Hierzu wird der Befehl user-disable oder user-del verwendet:
ipa user-disable johndoe
ipa user-del johndoe2. Gruppenverwaltung in FreeIPA
Gruppen helfen, Benutzer in einer FreeIPA-Domäne zu organisieren und Berechtigungen zu verwalten. Sie können reguläre Gruppen (für Benutzer) oder Systemgruppen (für administrative Zwecke) erstellen.
Gruppe erstellen:
Mit folgendem Befehl wird eine neue Gruppe erstellt:
ipa group-add developers --desc="Development Team"Benutzer zu einer Gruppe hinzufügen:
Ein Benutzer kann zu einer Gruppe hinzugefügt werden:
ipa group-add-member developers --users=johndoeGruppe anzeigen:
Um die Mitglieder einer Gruppe anzuzeigen:
ipa group-show developersGruppe löschen:
Gruppen können mit folgendem Befehl gelöscht werden:
ipa group-del developers3. Host- und Hostgruppenverwaltung
FreeIPA ermöglicht auch die Verwaltung von Hosts. Ein Host ist ein Rechner, der sich innerhalb der FreeIPA-Domäne befindet und über FreeIPA authentifiziert wird.
Host hinzufügen:
Hosts können mit dem folgenden Befehl hinzugefügt werden:
bashKopierenBearbeiten
ipa host-add myserver.example.comHostgruppe erstellen:
Hostgruppen ermöglichen es, Hosts zu organisieren und ihnen bestimmte Rollen und Rechte zuzuweisen. Eine Hostgruppe kann mit folgendem Befehl erstellt werden:
ipa hostgroup-add webservers --desc="Web Server Group"Host zu einer Hostgruppe hinzufügen:
Ein Host kann einer Hostgruppe hinzugefügt werden:
ipa hostgroup-add-member webservers --hosts=myserver.example.com4. Zertifikatsverwaltung
Neben Benutzern und Hosts bietet FreeIPA auch die Möglichkeit, Zertifikate zu verwalten, die für die sichere Kommunikation verwendet werden. FreeIPA nutzt dabei die integrierte Dogtag Certificate System, das eine PKI-Infrastruktur bereitstellt.
Zertifikat für einen Host anfordern:
Um ein Zertifikat für einen Host anzufordern, kann der Befehl ipa-getcert verwendet werden:
ipa-getcert request -f /etc/ssl/certs/myserver.crt -k /etc/ssl/private/myserver.key -r -I myserverFazit:
Die Verwaltung von Benutzern, Gruppen und Hosts mit FreeIPA ist ein zentraler Aspekt des Identity-Managements in einer Linux-Umgebung. FreeIPA bietet eine einfache und dennoch mächtige Möglichkeit, diese Entitäten zu erstellen und zu verwalten, sei es über die Weboberfläche oder die Kommandozeile. Durch die zentrale Verwaltung von Identitäten, Gruppen und Zertifikaten verbessert FreeIPA die Sicherheit und Effizienz in großen IT-Infrastrukturen erheblich.
Wenn Sie nach einer umfassenden und einfach zu verwaltenden Lösung für die Verwaltung von Identitäten und Zugriffsrichtlinien in Ihrer Linux-Infrastruktur suchen, ist FreeIPA eine ausgezeichnete Wahl.