[Open-source tool] 如何利用FreeIPA的Sudo Rule配置授權(Authorization)功能?

延續<[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?> 一文，本文進一步以cockpit服務管理為案例，說明如何配置使用者Bob的授權(Authorization)功能，達到精確掌握使用者Bob對cockpit服務權限的效果，如同本文封面影片所示。

一、硬體環境和架構

- FreeIPA Server 端：硬體為樹莓派5b/8g，Linux作業系統為AlmaLinux 10，並利用docker部署FreeIPA服務，IP為192.168.0.114，主機名為ipa.rpi.lab。

- Client 端：硬體為N100迷你主機配置的虛擬機，Linux作業系統為Ubuntu 22.04 LTS desktop, IP為192.168.0.113，主機名為ub-vm.rpi.lab。主要作為開發人員的測試平台(Dev Host)

- 使用者：Bob，所屬群組為 "dev_group"。

- 授權規則 (Authorization)：使用者Bob可以登入系統並執行基本操作，但其僅具備cockpit服務的查看權限，同時其被禁止"重啟"和"停止" cockpit服務。

[Open-source tool] 如何利用Docker將FileBrowser服務快速部署在樹莓派上?

農曆年前剛入手一台聯想平板，趁年假空檔來整理平板作業環境，該平板主要用於零碎時間方便閱讀電子書，但以實體線和藍芽一次傳輸多個檔案總覺得不太方便，包含還需要移動身體拿實體線、手動切換電腦和平板的藍芽開關，以及忍受藍芽較長的傳輸時間。若是用FTP傳輸檔案，則還需要額外安裝APP。因此請教Gemini是否有browser-based的私有雲，同時也可供家中其他成員共享檔案使用，結果還真有FileBrowser這類輕量型私有雲的開源軟體，用docker即可快速部署，簡單好用。(OS: 很慶幸活在這個AI資訊時代，只要有想像力和肯實作，解決需求的工具一直都有，無論是自己造輪子或找到合適的輪子)

[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?

 

FreeIPA是一套身分識別和存取管理的開源軟體，主要核心功能包含認證 (Authentication)、授權控管 (Authorization)、目錄服務 (Directory Service)和憑證管理 (PKI)，同時其主要應用於Linux作業系統平台，簡言之，其類似Linux作業系統的Microsoft Active Directory(AD)。對於預算有限但有資安需求的中小企業，可透過FreeIPA建立一套穩固和彈性的使用者控管中心系統，IT管理人員不再需要依序登入每台機器去新增特定帳號(如bob, tracy)。另外，當新進員工入職，僅需在FreeIPA控制介面設定，即可使全公司的特定主機能立即識別該使用者身分，相當適合中小企業提升運維效率。

本文主要著重在FreeIPA的認證 (Authentication)功能，其透過 Kerberos 協定實現單一登入(SSO)，讓使用者只需一組帳號密碼即可登入到對應的客戶端，如同本文封面影片所示。

[Linux]NTP時間服務套件(chrony)的配置安裝與測試

在網路服務時代，時間的準確性和同步性是所有分散式系統協同運作的基礎，無論是日誌分析、資料庫交易一致性和安全憑證驗證等等服務，精確的時間同步是基礎的必備條件。前陣子考量平替Window AD(Active Directory)權限管理等功能，嘗試安裝和測試的Freeipa服務就是一個需要時間同步的應用服務，因為在Freeipa的前置作業中，需先行確認伺服器端和各個客戶端的時間同步性，以確保Freeipa正常服務。

網路時間協定(NTP, Network Time Protocol)是實現該必備條件的標準化網路協定，其允許電腦主機或嵌入式開發板透過網路與時間伺服器達到時間同步的效果。NTP運作的核心在於其階層式(Stratum)架構。最頂層是Stratum 0(如原子鐘)，Stratum 1 直接從 Stratum 0 獲取時間，而 Stratum 2 則從 Stratum 1 同步，依此類推。傳統上，ntpd(NTP daemon)是主流選擇，其歷史悠久且功能強大，但在現代化系統中逐漸顯露其侷限性，特別是在啟動速度與應對時間波動方面的表現。隨著技術演進，兩個時間同步的解決方案(chrony和systemd-timesyncd)逐漸取代ntpd，相較於傳統 ntpd方案，這兩個套件提供更加精準可靠的時間同步服務，尤其是在虛擬化環境和網路不穩定的場景。

[IT Network]如何配置反向路徑過濾器(rp_filter)，以解決路由不對稱問題?

前陣子開始在樹莓派中安裝Rocky Linux OS，基於個人方便使用，一併部署Tailscale並建置Subnet Router，便於由外網連到樹莓派作業。經過一段時間使用，發現一個現象，當在同一個區域網路(LAN)內，電腦若啟動Tailscale往往無法透過內部區網IP直接SSH連線到樹莓派，同時也無法ping到內部區網IP。經查詢，才了解有一個反向路徑過濾(rp_filter)機制需要適當配置模式，Linux 核心才會依照模式處理封包和路徑。另外，Rocky Linux OS和Ubuntu的rp_filter預設值不同，所以之前ssh 連線到Ubuntu沒有發現該現象。

本文說明反向路徑過濾(rp_filter)的機制，以及如何透過調整Linux 核心的"反向路徑過濾(rp_filter)"配置，達到內部區網(不需啟動Tailscale)和外網(需啟動Tailscale)環境下，均能順利連線的效果。