LPS:IdM/midPoint/AFS

Z HelpDesk

AFS pts

Spravováno přes pomocného agenta napsaného v jazyce C. AFS token vidí pouze tento agent, IdM pak přistupuje přes HTTP REST rozhraní.

AFS gateway agent:

  • https://ipmil.civ.zcu.cz/midpoint/afs-gateway
  • napsaný v C, využívá zdrojové kódy OpenAFS (src/ptserver)
    • balíček pro Debian
    • část knihoven dynamicky z Debianu, část linkovaná staticky z lokálního buildu OpenAFS
  • rozhraní PTS
  • rozhraní HTTP REST API (bez SSL) + JSON, knihovna json-c a projekt pico
  • automatické prodlužování Kerberos lístku a AFS tokenu

Konektor pro midPoint:

Není podporována změna unixId (pts_id) ani login. Na ZČU při přejmenovávání konta vyrábíme nové.

Správa skupin není implementována (orion:SKUPINA).

AFS volume

Není podporováno. Základní skripty připravené na eos2:/opt/idm/bin/scripts/.

  • projekty: /opt/idm/bin/scripts/afs_projekt
  • uživatelé: /opt/idm/bin/scripts/afs_volume

Instalace AFS Gateway agenta pro IdM

Běží lokálně na stroji s IdM.

1) OpenAFS klient

Např. skupina group_afs v cfengine.

2) keytab

Vyrobení nebo zkopírování /etc/keytab_admin.

A pak práva: 

   chmod 0600 /etc/keytab_admin
   chown afs-gateway: /etc/keytab_admin

3) nástroj AFS gateway 

   # balíky stáhnout z https://ipmil.civ.zcu.cz/midpoint/afs-gateway/
   dpkg -i afs-gateway_*.deb afs-gateway-server_*.deb
   
   cat <<EOF >>/etc/default/afs-gateway
   AFS_GATEWAY_AUTH=$(echo -n admin:; dd if=/dev/random bs=64 count=1 2>/dev/null | basenc --z85 -w0 | base64 -w0)
   ARGS='-c zcu.cz -r /usr/libexec/afs-gateway/refresh.sh -i 7200'
   KINIT_ARGS='-k -t /etc/keytab_admin admin@ZCU.CZ'
   AKLOG_ARGS='-c zcu.cz'
   KRB5CCNAME=FILE:/var/lib/afs-gateway/krb5cc_afsgw	
   EOF
Citováno z „https://helpdesk.zcu.cz/index.php?title=LPS:IdM/midPoint/AFS&oldid=66026