Archive:Metacore/Provisioning
Was?
Im Prinzip gilt: jeder kann alles selber machen was er braucht. Aber: Jeder kann auch anderen dazu verhelfen das zu bekommen was sie brauchen. Es gibt also eine Art "Vertrauensbasiertes Provisioning" - d.h. jeder kann jeden anlegen, steht aber auch dafür grade (userdel -r) wenn wer Mist baut.
Ich mein das auch so: es ist nicht fein ein System das für alle da ist und Vertrauen und Benutzbarkeit vor Technokratie stellt aus irgendeinem Egotrip heraus kaputt zu machen.
All your provisioning needs: https://admin.in.metalab.at/provisioning - dass man sich da nur einloggen kann, wenn man im VPN oder im Metalab ist, sieht man am ".in." in der URL. Allerdings braucht man auch einen "Member" benutzer um sich einzuloggen.
Wie?
Mitglied oder Freund
user id
Das ist die UNIX, Kerberos, LDAP, Windows, MacOs, Web, ... Benutzer ID die Du verwenden wirst um Dich irgendwo einzuloggen. Darf a-z (lowercase) und 0-9 enthalten und 2-15 Zeichen lang sein.
Ja, man kann da bestimmt auch Blödsinn machen. Aber vergiss nicht: es wird geloggt wer was wann (ausser natürlich Passwörter).
Passwörter
Es gibt zwei verschiedene Passwörter, ein LDAP Passwort und ein Kerberos Passwort. Beide müssen jeweils 7-30 Zeichen lang sein.
LDAP wird zwar immer über SSL verwendet, ist aber für Dinge mit tendentiell niedrigerer Sicherheit gedacht die kein Kerberos unterstützen, wie etwa die meisten Jabber Clients, OpenVPN und dgl.
Kerberos ist verhältnismässig sicher. Du brauchst keinen Stress haben dass Dir wer dieses Passwort abspenstig machst wenn Du ausschliesslich "kerberisierte" Dienste verwendest. Hier kannst Du ein "sichereres" verwenden wenn Du möchtest
Es ist DEINE Entscheidung wie sicher Du Deinen Account machst.
Name
Realname ist Pflicht, sieht man aber nur intern. Da man mit diesem Benutzer ziemlich viel anderen Leuten kaputt machen kann, ist es eigentlich klar dass man zu seinen Aktionen im Metacore mit seinem echten Namen stehen können sollte. Wenn damit jemand garnicht kann, soll er zu jemanden vom Metacore team kommen und das erklären, dann finden wir schon eine Lösung.
Wer allerdings jemanden ohne seinen (richtigen) Realname erstellt, braucht sich nicht wundern wenn weder er noch der angelegte Benutzer keinen Account mehr haben. I mean it.
Die sollte richtig sein und Du solltest sie regelmässig lesen: da werden alle Probleme die es mit Deinem Account gibt hingeschickt.
Ablauf
- MitgliedB sucht sich MitgliedA mit existierendem Account (z.B. Legba7, Philip, Ch, Chrisbee, Metaz, cygenb0ck, Marius, wizard23, ...) und bittet ihn, ihn anzulegen.
- MitgliedA und MitgliedB treffen sich im Metalab oder an einer via VPN vernetzten Maschine.
- MitgliedA loggt sich ein auf https://admin.in.metalab.at/provisioning, wählt die richtige Aktion (Freund oder Mitglied) aus und überlässt MitgliedB die Tastatur zum ausfüllen des Formulars (von wegen Passwörter und so)
- MitgliedA überprüft, ob MitgliedA die richtigen Angaben gemacht hat (Realname!!!111elfeins)
- MitgliedA drückt auf submit
- MitgliedB kann jetzt alles weitere selber so wie MitgliedA machen und hat vollen Zugriff auf alle aktiven Dienste.
Freunde
Es ist kein Problem mal eben einem Freund aus dem Dunstkreis des Metalabs einen Benutzer anzulegen der auch ein bisschen was darf. Beachte aber bitte, dass zwar ein Freund sich z.B. nicht auf space einloggen darf, sonst aber ein vollkornwertiger Benutzer ist, der Sachen kaputt machen kann.
Und: bitte keinen Benutzer der eigentlich Metalab/Mitglied Benutzer werden soll als Freund anlegen, das rumschaufeln im LDAP Baum macht keiner gern ;)
Maschinen
Nicht immer braucht ein Mensch einen Benutzer, auch ein Rechner koennte einen brauchen z.B. für VPN Zugriff oder ein Skript für den Zugriff auf AFS. Dafür sieht das Provisioning mehrere Möglichkeiten vor:
VPN Benutzer
Standardmässig hat bereits der "normale" Benutzername mit LDAP Passwort VPN Zugriff.
Wenn man (aus Sicherheits- oder anderen Gründen) nur für den VPN Zugriff einen (oder mehrere) dezidierte VPN Benutzer möchte, so ist das schnell möglich.
Einfach mit seinem "Mitglied" Benutzer einloggen unter https://admin.in.metalab.at/provisioning die richtige Aktion wählen, den Hilfstext lesen und das Formular ausfüllen. Der Benutzer ist prefixed mit "vpn-" und ist sofort aktiv und benutzbar.
VPN PKI Zertifikat
Anstelle eines Benutzer/Passwortpaares kann man auch einen signierten SSL Schlüssel verwenden um sich beim VPN Server zu authentifizieren.
Dazu im Provisioning "VPN PKI Zertifikat erstellen" auswählen und das erstellte und signierte Cert/Schlüsselpaar wird in Dein home kopiert und kann sofort mit OpenVPN verwendet werden. Die Dateinamen fangen an mit pki-key-* und hören mit .crt/.key auf. Das entsprechende Serverzertifikat gibts hier: https://vpn-sil.metalab.at/afs/metalab.at/service/system/certs/metalab-vpn-ca.crt
Applikationsbenutzer
Der erstellte Benutzer ist nur verwendbar in dem man auf space ein su - auf den erstellten Benutzer macht. SSH login oder dergleichen geht nicht.
Keytab Benutzer
Das ist im Gebrauch ein wenig komplexer um es hier mal eben zu erklären. Wer es braucht, weiss schon wie (oder lässt es sich vom Metacore Team erklären) und kann sich hier bedienen.
Ein Beispiel: die keytab braucht man etwa um einen cronjob unter /afs laufen lassen zu können
Datenbanken
Es besteht die Möglichkeit, sich selber einen Postgres Benutzer (der Datenbanken anlegen darf) oder eine MySQL Datenbank anzulegen wenn man eine solche braucht. Die Formulare dafür sind unter:
- https://admin.in.metalab.at/dbcreate für MySQL
- https://admin.in.metalab.at/dbcreate-pg für PostgreSQL