FreeIPA 4.2 mit erweiterten PKI-Funktionen
Schlüsselstellung
Im Open-Source-Umfeld gibt es wenige Auswahlmöglichkeiten für Tools zum Verwalten von X.509-Zertifikaten. Eins davon ist das Identity-Management-Framework FreeIPA, das in der aktuellen Version 4.2 neue Funktionen zur Zertifikatsverwaltung bietet.
Freie Werkzeuge zur PKI-Verwaltung sind dünn gesät. Ein bekannter Vertreter ist das Identity-Management-Framework FreeIPA, quasi ein erweitertes Open-Source-Pendant zu Microsofts Active Directory (AD). Dem grundlegenden Funktionsumfang des freien Softwarepakets hat iX schon 2013 ein dreiteiliges Tutorial gewidmet [1–3]. Seitdem hat sich das Projekt erheblich weiterentwickelt. Dies trifft insbesondere auf die integrierte PKI-Komponente Dogtag zu, über die sich in der aktuellen Version 4.2 beispielsweise Zertifikate für Benutzer erzeugen lassen.
FreeIPA setzt sich aus vielen bekannten Open-Source-Tools zusammen und stellt aus diesen ein integriertes Identity-Management-Paket zusammen. Zu den Komponenten gehört neben einem Directory- auch ein Kerberos-Server. Optional können ebenfalls ein integrierter DNS- und NTP-Server sowie ein PKI-Server zum Einsatz kommen. Ist eine Anbindung an ein Active Directory gewünscht, installiert FreeIPA außerdem einen Samba-Server, um die benötigten Dienste anbieten zu können. Daneben existiert ein Web- und Kommandozeilen-Interface zum Administrieren des Servers (siehe Abbildung 1). Das Webinterface lässt sich aber auch als Self-Service-Portal für die Benutzer der Umgebung nutzen, sodass Anwender ihren eigenen Account verwalten können.