Skip to content

Добавление системных аккаунтов FreeIPA

Системные аккаунты необходимы для подключения внешних сервисов, таких как GitLab и Keycloak. Эти аккаунты не имеют доступа через веб-интерфейс, и рекомендуется использовать системные аккаунты для связи сервисов.

1. Используя ldif file

На сервере FreeIPA создайте файл gitea.ldif, заменив dc=example,dc=com на ваш DN, и укажите соответствующий безопасный пароль:

dn: uid=gitea,cn=sysaccounts,cn=etc,dc=example,dc=com
changetype: add
objectclass: account
objectclass: simplesecurityobject
uid: gitea
userPassword: secure password
passwordExpirationTime: 20380119031407Z
nsIdleTimeout: 0
Импортируйте LDIF (при необходимости измените localhost на ваш сервер IPA). Будет запрошен пароль Directory Manager: 
ldapmodify -h freeipa.truedev.ru -p 636 -D "cn=Directory Manager" -W -f gitea.ldif
Добавьте группу IPA для пользователей Gitea:

ipa group-add --desc="Gitea Users" gitea_users

Примечание: При возникновении ошибок, связанных с учетными данными IPA, выполните команду kinit admin и введите пароль учетной записи администратора домена.

2. Использование Ansible

Для автоматизации процесса создания системных аккаунтов можно использовать Ansible. Подробности и примеры можно найти по ссылке.

3. Использование shell-скрипта

На GitHub представлен скрипт, который можно использовать для автоматизации добавления системных аккаунтов.

References: