Am 20.05.2022 um 13:40 schrieb Christian Boltz:
In der openSUSE-Infrastruktur nutzen wir FreeIPA (lustigerweise auf einer Fedora-VM ;-) und haben diverse Leap-VMs, die ihre Benutzer und Gruppen aus FreeIPA beziehen. Das ganze ist über sssd implementiert [1].
Mein FreeIPA läuft in docker, das Image ist das offizielle vom FreeIPA team, das basiert auf centos 8 :)
Die SSH-Pubkeys werden über ein kleines Script mit einer LDAP-Abfrage von FreeIPA abgeholt.
Braucht man eigentlich gar nicht - ich hab die Pubkeys in den Useraccounts im IPA hinterlegt - also die keys die man eigentlich lokal in die ~/.ssh/authorized_keys des entsprechenden users tun würde - und dann noch die sshd-config bei RHEL8 abgekuckt :)
Ich weiß natürlich nicht, ob das für Dich "gut genug" ist oder ob es Bereiche gibt, die sich mit sssd nicht abdecken lassen.
/etc/ethers geht zb. nur per nis aber nicht per ipa. Dafür hab ich mir ein ansible play geschrieben was die handvoll macadressen die ich gern per WOL wecke auf den entsprechenden workstations in /etc/ethers einträgt, und gut ist. cheers MH -- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech IRC: [Lemmy] on freenode and ircnet (bouncer active) keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102