ipa-client-install - عبر الإنترنت في السحابة

قم بتشغيل ipa-client-install في مزود استضافة OnWorks المجاني عبر Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت

هذا هو الأمر ipa-client-install الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت

اركض في أوبونتو اركض في فيدورا تشغيل في Windows Sim تشغيل في MACOS Sim

برنامج:

اسم

ipa-client-install - تكوين عميل IPA

موجز

تثبيت عميل ipa [OPTION] ...

الوصف

تكوين جهاز عميل لاستخدام IPA لخدمات المصادقة والهوية.

بشكل افتراضي ، يقوم هذا بتهيئة SSSD للاتصال بخادم IPA للمصادقة و
تفويض. اختياريا يمكن للمرء بدلا من ذلك تكوين PAM و NSS (خدمة تبديل الاسم)
للعمل مع خادم IPA عبر Kerberos و LDAP.

مطلوب مستخدم مرخص له للانضمام إلى جهاز عميل لـ IPA. هذا يمكن أن يأخذ شكل
مفتاح kerberos أو كلمة مرور لمرة واحدة مرتبطة بالجهاز.

تُستخدم هذه الأداة نفسها لإلغاء تكوين IPA وتحاول إعادة الجهاز إلى ملف
الحالة السابقة. جزء من هذه العملية هو إلغاء تسجيل المضيف من خادم IPA.
يتكون إلغاء التسجيل من تعطيل المفتاح الأساسي على خادم IPA حتى يتم ذلك
إعادة التسجيل. الآلة الرئيسية في /etc/krb5.keytab (host / REALM) يستخدم ل
المصادقة على خادم IPA لإلغاء تسجيل نفسه. إذا كان هذا المبدأ غير موجود إذن
سيفشل إلغاء التسجيل وسيحتاج المسؤول إلى تعطيل مبدأ المضيف (ipa
المضيف تعطيل ).

الافتراضات
يفترض البرنامج النصي ipa-client-install أن الجهاز قد أنشأ بالفعل مفاتيح SSH. هو - هي
لن تُنشئ مفاتيح SSH من تلقاء نفسها. في حالة عدم وجود مفاتيح SSH (على سبيل المثال ، عندما
تشغيل ipa-client-install في البداية ، قبل تشغيل sshd) ، لن يكونوا كذلك
تحميلها إلى إدخال مضيف العميل على الخادم.

اسم المضيف المتطلبات الأساسية
يجب على العميل استخدام أ ساكن اسم المضيف. إذا تغير اسم مضيف الجهاز على سبيل المثال بسبب ملف
تعيين اسم مضيف ديناميكي بواسطة خادم DHCP ، وتسجيل العميل في فواصل خادم IPA و
لن يتمكن المستخدم بعد ذلك من إجراء مصادقة Kerberos.

- يمكن استخدام خيار اسم المضيف لتحديد اسم مضيف ثابت يستمر حتى إعادة التشغيل.

DNS الاكتشاف التلقائي
يحاول مثبت العميل افتراضيًا البحث عن سجلات SRV لنظام أسماء النطاقات _ldap._tcp.DOMAIN للجميع
المجالات التي هي أصل لاسم مضيفه. على سبيل المثال ، إذا كان للجهاز العميل اسم مضيف
"client1.lab.example.com" ، سيحاول المثبت استرداد اسم مضيف خادم IPA من
_ldap._tcp.lab.example.com و _ldap._tcp.example.com و _ldap._tcp.com سجلات SRV لنظام أسماء النطاقات ،
على التوالى. ثم يتم استخدام المجال المكتشف لتكوين مكونات العميل (مثل SSSD
و Kerberos 5) على الجهاز.

عندما لا يكون اسم مضيف جهاز العميل في مجال فرعي لخادم IPA ، يمكن أن يكون المجال الخاص به
مرت مع خيار المجال. في هذه الحالة ، يحتوي كل من مكونات SSSD و Kerberos على الامتداد
تم تعيين النطاق في ملفات التكوين وسيستخدمه لاكتشاف خوادم IPA تلقائيًا.

يمكن أيضًا تكوين جهاز العميل بدون اكتشاف تلقائي لنظام أسماء النطاقات على الإطلاق. عندما كلاهما
- يتم استخدام خيارات الخادم والنطاق ، وسيستخدم برنامج تثبيت العميل الخادم المحدد و
المجال مباشرة. - يقبل خيار الخادم أسماء مضيفين متعددة للخادم يمكن استخدامها
آلية تجاوز الفشل. بدون الاكتشاف التلقائي لنظام أسماء النطاقات ، يتم تكوين Kerberos بقائمة ثابتة من
KDC وخوادم المسؤول. لا يزال SSSD مهيئًا إما لمحاولة قراءة SRV للنطاق
السجلات أو قائمة الخوادم الثابتة المحددة. عندما يتم تحديد الخيار - fixed-primary ،
لن يحاول SSSD قراءة سجل DNS SRV على الإطلاق (انظر sssd-ipa(5) للحصول على التفاصيل).

• الفشل تقنية
عندما لا تتوفر بعض خوادم IPA ، يمكن لمكونات العميل الرجوع إليها
نسخة طبق الأصل أخرى من IPA وبالتالي الحفاظ على الخدمة المستمرة. عندما تكون آلة العميل
تم تكوينه لاستخدام الاكتشاف التلقائي لسجل DNS SRV (لم يتم تمرير أي خادم ثابت إلى
المثبت) ، تقوم مكونات العميل بالرجوع تلقائيًا ، بناءً على خادم IPA
أسماء المضيفين والأولويات المكتشفة من سجلات SRV لنظام أسماء النطاقات.

إذا لم يكن الاكتشاف التلقائي لنظام أسماء النطاقات متاحًا ، فيجب تكوين العملاء على الأقل باستخدام ملف
قائمة خوادم IPA التي يمكن استخدامها في حالة حدوث عطل. عندما يكون خادم IPA واحد فقط
بعد تكوينه ، لن تكون خدمات عملاء IPA متاحة في حالة فشل IPA
الخادم. يرجى ملاحظة أنه في حالة وجود قائمة ثابتة من خوادم IPA ، يتم سرد الخادم الثابت
في مكونات العميل بحاجة إلى التحديث عند تسجيل خادم IPA جديد أو IPA حالي
تم إيقاف تشغيل الخادم.

التعايش بدافع أخرى دليل خوادم
قد تستخدم خوادم الدليل الأخرى المنتشرة في الشبكة (مثل Microsoft Active Directory)
نفس سجلات DNS SRV للإشارة إلى المضيفين مع خدمة الدليل (_ldap._tcp.DOMAIN).
قد تؤدي سجلات DNS SRV هذه إلى كسر التثبيت إذا اكتشف المثبت DNS هذا
قبل أن يعثر على سجلات DNS SRV التي تشير إلى خوادم IPA. سيقوم المثبت بعد ذلك
فشل في اكتشاف خادم IPA والخروج مع الخطأ.

من أجل تجنب مشكلات الاكتشاف التلقائي لنظام أسماء النطاقات المذكورة أعلاه ، اسم مضيف جهاز العميل
يجب أن يكون في مجال به سجلات DNS SRV محددة بشكل صحيح تشير إلى خوادم IPA ،
إما يدويًا باستخدام خادم DNS مخصص أو باستخدام حل IPA DNS المتكامل. ثانية
سيكون النهج هو تجنب الاكتشاف التلقائي وتكوين المثبت لاستخدام قائمة ثابتة
من أسماء مضيفي خادم IPA باستخدام الخيار --server ومع خيار - أساسي ثابت
تعطيل الاكتشاف التلقائي لسجل DNS SRV في SSSD.

إعادة القيد of ال مضيف
المتطلبات:

1. لم يتم إلغاء تسجيل المضيف (لم يتم إلغاء تسجيل ipa-client-install - الأمر uninstall
يجري).
2. لم يتم تعطيل إدخال المضيف عن طريق الأمر ipa host-disable.

إذا كانت هذه هي الحالة ، يمكن إعادة تسجيل المضيف باستخدام الطرق المعتادة.

هناك طريقتان لمصادقة إعادة التسجيل:

1. يمكنك استخدام خيار --force-Join مع الأمر ipa-client-install. هذا يصادق على
إعادة التسجيل باستخدام بيانات اعتماد المسؤول المقدمة عبر خيار كلمة المرور -w / -.
2. إذا لم يكن توفير كلمة مرور المسؤول عبر سطر الأوامر خيارًا (على سبيل المثال تريده
لإنشاء برنامج نصي لإعادة تسجيل مضيف والحفاظ على أمان كلمة مرور المسؤول) ، يمكنك استخدام
keytab احتياطيًا من التسجيل السابق لهذا المضيف للمصادقة. انظر --keytab
الخيار.

عواقب إعادة التسجيل على دخول المضيف:

1. يتم إصدار شهادة مضيف جديدة
2. تم إبطال شهادة المضيف القديمة
3. يتم إنشاء مفاتيح SSH جديدة
4. يتم الاحتفاظ بـ ipaUniqueID

OPTIONS

أساسي OPTIONS
--نطاق=المجال
قم بتعيين اسم المجال على DOMAIN. عندما لا يتم تحديد خيار خادم ، يقوم المثبت
سيحاول اكتشاف جميع الخوادم المتاحة عبر الاكتشاف التلقائي لسجل DNS SRV (انظر
قسم الاكتشاف التلقائي لنظام أسماء النطاقات للحصول على التفاصيل).

--الخادم=الخادم
قم بتعيين خادم IPA للاتصال به. يمكن تحديدها عدة مرات لإضافة عدة
الخوادم إلى قيمة ipa_server في sssd.conf أو krb5.conf. فقط القيمة الأولى
يعتبر عند استخدامه مع - no-sssd. عند استخدام هذا الخيار ، الاكتشاف التلقائي لنظام أسماء النطاقات
لـ Kerberos معطل ويتم تكوين قائمة ثابتة من مركز توزيع المفاتيح وخوادم المسؤول.

--مملكة=REALM_NAME
قم بتعيين اسم مجال IPA على REALM_NAME. في ظل الظروف العادية ، يكون هذا الخيار
غير مطلوب حيث يتم استرداد اسم المجال من خادم IPA.

- ثابت الابتدائي
قم بتكوين SSSD لاستخدام خادم ثابت كخادم IPA أساسي. الافتراضي هو
استخدم سجلات DNS SRV لتحديد الخادم الأساسي لاستخدامه والعودة إلى
الخادم المسجّل به العميل. عند استخدامها جنبًا إلى جنب مع --server لا
تم تعيين قيمة _srv_ في خيار ipa_server في sssd.conf.

-p, --رئيسي
مدير kerberos المعتمد لاستخدامه للانضمام إلى عالم IPA.

-w كلمة السر, --كلمه السر=كلمة السر
كلمة مرور للانضمام إلى جهاز في مجال IPA. يفترض كلمة مرور مجمعة ما لم
تم تعيين الرئيسي أيضا.

-W المطالبة بكلمة المرور للانضمام إلى جهاز في مجال IPA.

-k, --keytab
المسار إلى علامة تبويب المضيف التي تم نسخها احتياطيًا من التسجيل السابق. ينضم إلى المضيف حتى لو كان
مسجل بالفعل.

- مخومدير
قم بتكوين PAM لإنشاء دليل رئيسي للمستخدمين إذا لم يكن موجودًا.

--اسم المضيف
اسم مضيف هذا الجهاز (FQDN). إذا تم تحديده ، فسيتم تعيين اسم المضيف و
سيتم تحديث تكوين النظام للاستمرار على إعادة التشغيل. افتراضيا اسم nodename
نتيجة من uname(2) مستخدم.

- قوة الانضمام
انضم إلى المضيف حتى إذا كان مسجلاً بالفعل.

--ntp خادم=NTP_SERVER
قم بتكوين ntpd لاستخدام خادم NTP هذا. يمكن استخدام هذا الخيار عدة مرات.

-N, --لا- ntp
لا تقم بتكوين أو تمكين NTP.

--فرض- ntpd
إيقاف وتعطيل أي خدمات مزامنة الوقت والتاريخ إلى جانب ntpd.

- nisdomain=NIS_DOMAIN
قم بتعيين اسم مجال NIS على النحو المحدد. بشكل افتراضي ، يتم تعيين هذا على مجال IPA
الاسم.

- لا شيء
لا تقم بتكوين اسم المجال NIS.

--ssh-trust-dns
تكوين عميل OpenSSH للثقة في سجلات DNS SSHFP.

--لا ssh
لا تقم بتكوين عميل OpenSSH.

- لا- sshd
لا تقم بتكوين خادم OpenSSH.

--لا سودو
لا تقم بتكوين SSSD كمصدر بيانات لـ sudo.

--لا- نظام أسماء النطاقات- sshfp
لا تقم بإنشاء سجلات DNS SSHFP تلقائيًا.

--نواك لا تستخدم Authconfig لتعديل تكوين nsswitch.conf و PAM.

-f, --فرض
فرض الإعدادات حتى في حالة حدوث أخطاء

-كينيت-المحاولات=كينيت_محاولات
في حالة عدم استجابة KDC (على سبيل المثال عند تسجيل عدة مضيفين في وقت واحد في مركز توزيع ملفات
تحميل البيئة) كرر طلب تذكرة المضيف Kerberos حتى العدد الإجمالي
of كينيت_محاولات مرات قبل التخلي عن تثبيت العميل وإجهاضه. تقصير
عدد المحاولات 5. لا يتكرر الطلب عند وجود مشكلة في
بيانات اعتماد المضيف نفسها (على سبيل المثال تنسيق لوحة مفاتيح خاطئ أو أصل غير صالح)
استخدام هذا الخيار لن يؤدي إلى إغلاق الحساب.

-d, --Debug
طباعة معلومات التصحيح إلى stdout

-U, - غير حاضر
التثبيت غير المراقب. لن تتم مطالبة المستخدم.

- ملف -ca-cert=CA_FILE
لا تحاول الحصول على شهادة IPA CA عبر الوسائل الآلية ، استخدم بدلاً من ذلك
تم العثور على شهادة CA محليًا في CA_FILE. CA_FILE يجب أن تكون مطلقة
المسار إلى ملف شهادة بتنسيق PEM. تم العثور على شهادة CA في CA_FILE is
تعتبر موثوقة وسيتم تثبيتها دون التحقق لمعرفة ما إذا كانت
صالح لمجال IPA.

--طلب سيرت
طلب شهادة للجهاز. سيتم تخزين الشهادة في
/ etc / ipa / nssdb تحت الاسم المستعار "مضيف IPA المحلي".

- موقع جبل=الموقع
تكوين automount عن طريق التشغيل ipa- العميل- automount(1) مع الموقع مثل automount
الموقع.

- تكوين-فايرفوكس
قم بتكوين Firefox لاستخدام بيانات اعتماد مجال IPA.

--فايرفوكس-دير=DIR
حدد دليل تثبيت Firefox. على سبيل المثال: "/ usr / lib / firefox"

- عنوان IP=IP_ADDRESS
استعمل IP_ADDRESS في سجل DNS A / AAAA لهذا المضيف. يمكن تحديدها عدة مرات
لإضافة سجلات DNS متعددة.

- جميع عناوين بروتوكول الإنترنت
قم بإنشاء سجل DNS A / AAAA لكل عنوان IP على هذا المضيف.

SSD OPTIONS
--يسمح
قم بتكوين SSSD للسماح للجميع بالوصول. وإلا فسيتم التحكم في الماكينة بواسطة
ضوابط الوصول المستندة إلى المضيف (HBAC) على خادم IPA.

- تمكين تحديثات نظام أسماء النطاقات
يخبر هذا الخيار SSSD بتحديث DNS تلقائيًا بعنوان IP الخاص بهذا
العملاء.

--لا توجد كلمات مرور krb5 دون اتصال
قم بتكوين SSSD بحيث لا يتم تخزين كلمة مرور المستخدم عندما يكون الخادم غير متصل بالإنترنت.

-S, - لا- sssd
لا تقم بتكوين العميل لاستخدام SSSD للمصادقة ، استخدم nss_ldap بدلاً من ذلك.

- حفظ- sssd
معطل بشكل افتراضي. عند التمكين ، يتم الاحتفاظ بتكوين SSSD القديم إذا لم يكن كذلك
من الممكن دمجه بأخرى جديدة. على نحو فعال ، إذا كان الدمج غير ممكن بسبب ذلك
إلى قارئ SSSDConfig الذي يواجه خيارات غير مدعومة ، ipa- تثبيت العميل ولن
قم بالجري أكثر واطلب إصلاح تهيئة SSSD أولاً. عندما لا يتم تحديد هذا الخيار ،
ipa- تثبيت العميل سيعيد تكوين نسخة احتياطية من SSSD وإنشاء واحد جديد. النسخة الاحتياطية
ستتم استعادته أثناء إلغاء التثبيت.

الغاء التثبيت OPTIONS
--الغاء التثبيت
قم بإزالة برنامج عميل IPA واستعادة التكوين إلى حالة ما قبل IPA.

-U, - غير حاضر
الإزالة غير المراقب. لن تتم مطالبة المستخدم.

استخدم ipa-client-install عبر الإنترنت باستخدام خدمات onworks.net