[Open-source tool] 如何利用FreeIPA的Sudo Rule配置授權(Authorization)功能?

延續<[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?> 一文，本文進一步以cockpit服務管理為案例，說明如何配置使用者Bob的授權(Authorization)功能，達到精確掌握使用者Bob對cockpit服務權限的效果，如同本文封面影片所示。

一、硬體環境和架構

- FreeIPA Server 端：硬體為樹莓派5b/8g，Linux作業系統為AlmaLinux 10，並利用docker部署FreeIPA服務，IP為192.168.0.114，主機名為ipa.rpi.lab。

- Client 端：硬體為N100迷你主機配置的虛擬機，Linux作業系統為Ubuntu 22.04 LTS desktop, IP為192.168.0.113，主機名為ub-vm.rpi.lab。主要作為開發人員的測試平台(Dev Host)

- 使用者：Bob，所屬群組為 "dev_group"。

- 授權規則 (Authorization)：使用者Bob可以登入系統並執行基本操作，但其僅具備cockpit服務的查看權限，同時其被禁止"重啟"和"停止" cockpit服務。

[Open-source tool] 如何利用Docker將FileBrowser服務快速部署在樹莓派上?

農曆年前剛入手一台聯想平板，趁年假空檔來整理平板作業環境，該平板主要用於零碎時間方便閱讀電子書，但以實體線和藍芽一次傳輸多個檔案總覺得不太方便，包含還需要移動身體拿實體線、手動切換電腦和平板的藍芽開關，以及忍受藍芽較長的傳輸時間。若是用FTP傳輸檔案，則還需要額外安裝APP。因此請教Gemini是否有browser-based的私有雲，同時也可供家中其他成員共享檔案使用，結果還真有FileBrowser這類輕量型私有雲的開源軟體，用docker即可快速部署，簡單好用。(OS: 很慶幸活在這個AI資訊時代，只要有想像力和肯實作，解決需求的工具一直都有，無論是自己造輪子或找到合適的輪子)

[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?

 

FreeIPA是一套身分識別和存取管理的開源軟體，主要核心功能包含認證 (Authentication)、授權控管 (Authorization)、目錄服務 (Directory Service)和憑證管理 (PKI)，同時其主要應用於Linux作業系統平台，簡言之，其類似Linux作業系統的Microsoft Active Directory(AD)。對於預算有限但有資安需求的中小企業，可透過FreeIPA建立一套穩固和彈性的使用者控管中心系統，IT管理人員不再需要依序登入每台機器去新增特定帳號(如bob, tracy)。另外，當新進員工入職，僅需在FreeIPA控制介面設定，即可使全公司的特定主機能立即識別該使用者身分，相當適合中小企業提升運維效率。

本文主要著重在FreeIPA的認證 (Authentication)功能，其透過 Kerberos 協定實現單一登入(SSO)，讓使用者只需一組帳號密碼即可登入到對應的客戶端，如同本文封面影片所示。