ipa-adtrust-install - عبر الإنترنت في السحابة

برنامج:

اسم

ipa-adtrust-install - قم بإعداد خادم IPA لتتمكن من إنشاء علاقات ثقة
مع المجالات الإعلانية

موجز

IPA-adtrust-تثبيت [OPTION] ...

الوصف

يضيف جميع الكائنات والتكوينات الضرورية للسماح لخادم IPA بإنشاء ثقة
مجال الدليل النشط. يتطلب هذا أن يكون خادم IPA مثبتًا بالفعل و
تكوين.

يرجى ملاحظة أنك لن تتمكن من تأسيس الثقة في مجال Active Directory
ما لم يتطابق اسم المجال الخاص بخادم IPA مع اسم المجال الخاص به.

يمكن تشغيل ipa-adtrust-install عدة مرات لإعادة تثبيت الكائنات المحذوفة أو المعطلة
ملفات التكوين. على سبيل المثال، تكوين سامبا جديد (ملف smb.conf وملف قائم على التسجيل
يمكن إنشاء التكوين. عناصر أخرى مثل تكوين النطاق المحلي على سبيل المثال
لا يمكن تغييره عن طريق تشغيل ipa-adtrust-install مرة أخرى لأنه مع التغييرات هنا
قد تتأثر الكائنات الأخرى أيضًا.

جدار الحماية المتطلبات الأساسية
بالإضافة إلى متطلبات جدار حماية خادم IPA، يتطلب ipa-adtrust-install
يجب فتح المنافذ التالية للسماح لـ IPA وActive Directory بالتواصل معًا:

TCP الموانئ

· 135/برنامج التعاون الفني EPMAP

· 138/tcp NetBIOS-DGM

· 139/tcp NetBIOS-SSN

· 445/tcp مايكروسوفت-DS

· 1024/tcp إلى 1300/tcp للسماح لـ EPMAP على المنفذ 135/tcp بإنشاء مستمع TCP
بناء على طلب وارد.

UDP الموانئ

· 138/udp NetBIOS-DGM

· 139/udp نت بيوس-SSN

· 389/udp LDAP

OPTIONS

-d, --Debug
قم بتمكين تسجيل التصحيح عند الحاجة إلى مزيد من الإخراج المطول

--اسم netbios=NETBIOS_NAME
اسم NetBIOS لمجال IPA. إذا لم يتم تقديمه، فسيتم تحديد ذلك بناءً على ذلك
على المكون الرئيسي لاسم مجال DNS. تشغيل ipa-adtrust-install لـ
المرة الثانية باستخدام اسم NetBIOS مختلف سيغير الاسم. يرجى ملاحظة ذلك
قد يؤدي تغيير اسم NetBIOS إلى قطع علاقات الثقة الموجودة مع الآخرين
المجالات.

--no-msdcs
لا تقم بإنشاء سجلات خدمة DNS لنظام التشغيل Windows في خادم DNS المُدار. منذ تلك
سجلات خدمة DNS هي الطريقة الوحيدة لاكتشاف وحدات تحكم المجال الخاصة بالآخرين
المجالات التي يجب إضافتها يدويًا إلى خادم DNS مختلف للسماح بالثقة
العلاقات تعمل بشكل صحيح. يتم سرد كافة سجلات الخدمة المطلوبة عندما
انتهى ipa-adtrust-install وتم تقديم --no-msdcs أو لم يتم تقديم خدمة IPA DNS
تم تكوينه. عادةً ما تكون هناك حاجة إلى سجلات الخدمة لأسماء الخدمات التالية
لمجال IPA الذي يجب أن يشير إلى جميع خوادم IPA:

· _ldap._tcp

· _kerberos._tcp

· _kerberos._udp

· _ldap._tcp.dc._msdcs

· _kerberos._tcp.dc._msdcs

· _kerberos._udp.dc._msdcs

· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs

--الإضافات
قم بإضافة معرفات الأمان (SIDs) إلى المستخدمين والمجموعات الحالية كخطوة نهائية من
تشغيل ipa-adtrust-install. إذا كان هناك العديد من المستخدمين والمجموعات الحالية واثنين من
النسخ المتماثلة في البيئة قد تؤدي هذه العملية إلى حركة مرور عالية للنسخ المتماثل
وتدهور أداء جميع خوادم IPA في البيئة. لتجنب هذا
يمكن تشغيل إنشاء SID بعد تشغيل ipa-adtrust-install وجدولته
بشكل مستقل. لبدء هذه المهمة عليك تحميل نسخة معدلة من ipa-sidgen-
مهمة run.ldif مع معلومات الأمر ldapmodify خادم الدليل.

--إضافة وكلاء
أضف أساتذة IPA إلى القائمة التي تسمح بتقديم معلومات حول المستخدمين من
الغابات الموثوقة. بدءًا من FreeIPA 4.2، يمكن لـ IPA الرئيسي العادي توفير ذلك
المعلومات لعملاء SSD. لا تتم إضافة أساتذة IPA إلى القائمة تلقائيًا
مطلوب إعادة تشغيل خدمة LDAP على كل واحد منهم. المضيف حيث
تتم إضافة ipa-adtrust-install قيد التشغيل تلقائيًا.

لاحظ أن برامج IPA الرئيسية التي لم يتم تشغيل ipa-adtrust-install يمكنها تقديم المعلومات
حول المستخدمين من الغابات الموثوقة فقط إذا تم تمكينهم عبر ipa-adtrust-install
تشغيل على أي سيد IPA آخر. مطلوب إصدار SSSD 1.13 على IPA الرئيسي على الأقل
لتكون قادرة على أداء دور وكيل الثقة.

-U, - غير حاضر
تثبيت غير مراقب لن يطالب بإدخال المستخدم أبدًا

-U, --قاعدة التخلص=RID_BASE
قيمة RID الأولى للمجال المحلي. سيكون معرف Posix الأول للمجال المحلي
تم تعيينه لـ RID هذا، والثاني لـ RID+1 وما إلى ذلك. راجع المساعدة عبر الإنترنت الخاصة بـ idrange
CLI للحصول على التفاصيل.

-U, --قاعدة تخليص ثانوية=SECONDARY_RID_BASE
قيمة البداية لنطاق RID الثانوي، والتي تُستخدم فقط في حالة المستخدم و
تشترك المجموعة عدديًا في نفس معرف Posix. راجع المساعدة عبر الإنترنت الخاصة بـ idrange CLI
للتفاصيل.

-A, --اسم المشرف=ADMIN_NAME
اسم المستخدم الذي يتمتع بامتيازات إدارية لخادم IPA هذا. الافتراضيات
إلى "المسؤول".

-a, --كلمة سر المشرف=كلمه السر
كلمة مرور المستخدم الذي يتمتع بامتيازات إدارية لخادم IPA هذا. سوف
يتم سؤالك بشكل تفاعلي إذا -U غير محدد.

سيتم استخدام بيانات اعتماد المستخدم المسؤول للحصول على تذكرة Kerberos من قبل
تكوين دعم الثقة عبر المجال وبعد ذلك للتأكد من احتواء التذكرة
معلومات MS-PAC مطلوبة لإضافة ثقة فعليًا مع مجال Active Directory عبر "ipa".
أمر Trust-add --type=ad.

--enable-compat
تمكين الدعم لمستخدمي المجالات الموثوقة للعملاء القدامى من خلال المخطط
البرنامج المساعد التوافق. يدعم SSSD المجالات الموثوقة أصلاً بدءًا من الإصدار
1.9. بالنسبة للأنظمة الأساسية التي تفتقر إلى SSSD أو التي تقوم بتشغيل إصدار SSSD أقدم، يحتاج المرء إلى استخدام هذا
خيار. عند التمكين، يجب تثبيت حزمة slapi-nis و
سيتم تكوين البرنامج المساعد schema-compat لتوفير البحث عن المستخدمين والمجموعات من
المجالات الموثوقة عبر SSSD على خادم IPA. سيكون هؤلاء المستخدمين والمجموعات متاحة
مع cn=users,cn=compat,$SUFFIX و cn=groups,cn=compat,$SUFFIX الأشجار. سوف SSD
تطبيع أسماء المستخدمين والمجموعات إلى أحرف صغيرة.

بالإضافة إلى توفير هؤلاء المستخدمين والمجموعات من خلال شجرة التوافق، فإن هذا
يتيح الخيار المصادقة عبر LDAP لمستخدمي المجال الموثوق بهم الذين لديهم الاسم المميز ضمن
شجرة التوافق، أي باستخدام ربط DN
uid =[البريد الإلكتروني محمي],cn=users,cn=compat,$SUFFIX.

تتم مصادقة LDAP التي يتم إجراؤها بواسطة شجرة التوافق عبر PAM 'مصادقة النظام'
خدمة. هذه الخدمة موجودة بشكل افتراضي على أنظمة Linux ويتم توفيرها بواسطة pam
الحزمة كـ /etc/pam.d/system-auth. إذا لم يكن تثبيت IPA الخاص بك يحتوي على HBAC الافتراضي
تم تمكين القاعدة "allow_all"، ثم تأكد من تحديد خدمة خاصة تسمى في IPA
'مصادقة النظام" وقم بإنشاء قاعدة HBAC للسماح لأي شخص بالوصول إلى هذه القاعدة على IPA
سادة.

مثل 'مصادقة النظاملا يتم استخدام خدمة PAM مباشرة بواسطة أي تطبيق آخر، بل هي كذلك
آمن لاستخدامه لمستخدمي المجال الموثوق بهم عبر مسار التوافق.

EXIT الوضع
0 إذا كان التثبيت ناجحًا

1 إذا حدث خطأ

استخدم ipa-adtrust-install عبر الإنترنت باستخدام خدمات onworks.net