Nachdem eine FreeIPA-Dom\u00e4ne eingerichtet wurde, gilt standardm\u00e4\u00dfig die Regel, dass alle Benutzer auf allen Rechnern der Dom\u00e4ne alle Dienste nutzen d\u00fcrfen. In meiner Dom\u00e4ne m\u00f6chte ich restriktivere Zugriffsregeln erstellen und es zum Beispiel nur dem Ansible-Benutzer erlauben, sich per SSH mit den Rechnern zu verbinden und sudo zu verwenden. Das l\u00e4sst sich mit sogenannten Host-Based-Access-Control-Regeln bewerkstelligen.<\/p>\n\n\n\n
Diese Anleitung steht f\u00fcr sich allein, kn\u00fcpft aber an folgende Beitr\u00e4ge an:<\/p>\n\n\n\n
Zuerst melde ich mich als Dom\u00e4nenadministrator admin an und erstelle die Benutzergruppe Danach erstelle ich die HBAC-Regel Schlie\u00dflich deaktiviere ich die Regel Der Ansible-Benutzer wird sich nun noch \u00fcberallhin per SSH verbinden k\u00f6nnen, andere Benutzer hingegen nicht, auch nicht admin.<\/p>\n","protected":false},"excerpt":{"rendered":" Nachdem eine FreeIPA-Dom\u00e4ne eingerichtet wurde, gilt standardm\u00e4\u00dfig die Regel, dass alle Benutzer auf allen Rechnern der Dom\u00e4ne alle Dienste nutzen d\u00fcrfen. In meiner Dom\u00e4ne m\u00f6chte ich restriktivere Zugriffsregeln erstellen und es zum Beispiel nur dem Ansible-Benutzer erlauben, sich per SSH mit den Rechnern zu verbinden und sudo zu verwenden. Das l\u00e4sst sich mit sogenannten Host-Based-Access-Control-Regeln… FreeIPA: Host-Based Access Control<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":6,"featured_media":290,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,12,6,8],"tags":[102],"class_list":["post-222","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ansible","category-freeipa","category-gruppenrichtlinien","category-linux","tag-artikelreihe-testumgebung","entry"],"_links":{"self":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/comments?post=222"}],"version-history":[{"count":5,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/222\/revisions"}],"predecessor-version":[{"id":479,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/222\/revisions\/479"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media\/290"}],"wp:attachment":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media?parent=222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/categories?post=222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/tags?post=222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}ssh_global<\/code> mit dem Ansible-Benutzer als einzigem Mitglied:<\/p>\n\n\n\nkinit admin\nipa group-add ssh_global --users=ansible.ssh --desc=\"Users with global SSH access\"<\/code><\/pre>\n\n\n\nallow_global_ssh<\/code>:<\/p>\n\n\n\nipa hbacrule-add allow_global_ssh --hostcat=all --desc=\"Allow members SSH access to all hosts\"\nipa hbacrule-add-user allow_global_ssh --groups=ssh_global\nipa hbacrule-add-service allow_global_ssh --hbacsvcs=sshd<\/code><\/pre>\n\n\n\nallow_all<\/code>:<\/p>\n\n\n\nipa hbacrule-disable allow_all<\/code><\/pre>\n\n\n\n