===================================================================
Kalau server FreeIPA down, apakah user masih bisa login ke server target (Linux client)?
✅ Jawaban Singkat:
YA, bisa login ke server meskipun FreeIPA down — asal SSSD dikonfigurasi dengan cache dan offline login.
🔍 Penjelasan:
FreeIPA client (server target kamu) menggunakan SSSD untuk otentikasi.
SSSD menyimpan cache credential user yang pernah login sebelumnya.
💾 Saat FreeIPA Online:
-
Login user → SSSD → FreeIPA → success → user masuk
-
SSSD menyimpan cache user dan password hash OTP (jika applicable)
🔌 Saat FreeIPA Offline:
-
User login → SSSD gunakan cached credential
-
Selama user sudah pernah login sebelumnya, login tetap berhasil
✅ Yang Harus Disiapkan di Client
1. Pastikan SSSD menggunakan cache:
/etc/sssd/sssd.conf
-
cache_credentials = True→ aktifkan cache user -
offline_credentials_expiration = 7→ boleh login offline selama 7 hari
2. Set pam_sss.so di /etc/pam.d/sshd
Jangan pakai
requiredkalau kamu ingin bisa fallback ke local user.
❌ Tapi Perhatikan:
| Hal | Bisa Offline? |
|---|---|
| Login user dari FreeIPA (cached) | ✅ Ya |
| Login user baru (belum pernah login) | ❌ Tidak |
| OTP PrivacyIDEA via RADIUS | ❌ Tidak |
Approval Web (Redis) via pam_exec | ❌ Tidak |
✅ Solusi Redundansi FreeIPA
Jika uptime sangat penting:
1. Deploy FreeIPA Replica (HA)
-
Install 2–3 node FreeIPA
-
Sinkronisasi otomatis antar node
-
Jika satu node down, client tetap bisa resolve ke node lain
2. Tambahkan DNS SRV Record
Agar client otomatis resolve ke IPA server yang sehat:
🧩 Kesimpulan
| Pertanyaan | Jawaban |
|---|---|
| Bisa login kalau FreeIPA down? | ✅ Ya, selama user sudah login sebelumnya |
| Bisa login user baru saat FreeIPA down? | ❌ Tidak |
| Bisa OTP & approval kalau FreeIPA down? | ❌ Tidak (butuh koneksi ke RADIUS & Redis) |
| Bisa dihindari dengan setup HA? | ✅ Ya, pakai FreeIPA replica |
Tidak ada komentar:
Posting Komentar