Dies ist der Befehl ipa-adtrust-install, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ipa-adtrust-install – Bereiten Sie einen IPA-Server vor, um Vertrauensbeziehungen aufbauen zu können
mit AD-Domänen
ZUSAMMENFASSUNG
ipa-adtrust-install [zur Auswahl] ...
BESCHREIBUNG
Fügt alle erforderlichen Objekte und Konfigurationen hinzu, damit ein IPA-Server eine Vertrauensstellung erstellen kann
eine Active Directory-Domäne. Dies setzt voraus, dass der IPA-Server bereits installiert ist und
konfiguriert.
Bitte beachten Sie, dass Sie keine Vertrauensstellung zu einer Active Directory-Domäne herstellen können
es sei denn, der Realm-Name des IPA-Servers stimmt mit seinem Domänennamen überein.
ipa-adtrust-install kann mehrmals ausgeführt werden, um gelöschte oder defekte Objekte neu zu installieren
Konfigurationsdateien. Z. B. eine neue Samba-Konfiguration (smb.conf-Datei und registrierungsbasiert).
Konfiguration erstellt werden kann. Weitere Elemente wie z. B. die Konfiguration des lokalen Bereichs
kann nicht durch ein zweites Ausführen von ipa-adtrust-install geändert werden, da hier Änderungen vorgenommen werden
Andere Objekte könnten ebenfalls betroffen sein.
Firewall Voraussetzungen:
Zusätzlich zu den IPA-Server-Firewall-Anforderungen erfordert ipa-adtrust-install die
Die folgenden Ports müssen geöffnet sein, damit IPA und Active Directory miteinander kommunizieren können:
TCP Ports
· 135/TCP EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp bis 1300/tcp, damit EPMAP auf Port 135/tcp einen TCP-Listener erstellen kann
basierend auf einer eingehenden Anfrage.
UDP Ports
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
OPTIONAL
-d, --debuggen
Aktivieren Sie die Debug-Protokollierung, wenn eine ausführlichere Ausgabe erforderlich ist
--netbios-name=NETBIOS_NAME
Der NetBIOS-Name für die IPA-Domäne. Wenn nicht angegeben, wird dies anhand der Angaben ermittelt
auf der führenden Komponente des DNS-Domänennamens. Ausführen von ipa-adtrust-install für a
Beim zweiten Mal mit einem anderen NetBIOS-Namen ändert sich der Name. Bitte beachte, dass
Das Ändern des NetBIOS-Namens könnte bestehende Vertrauensbeziehungen zu anderen zerstören
Domains.
--no-msdcs
Erstellen Sie keine DNS-Diensteinträge für Windows auf dem verwalteten DNS-Server. Da jene
DNS-Diensteinträge sind die einzige Möglichkeit, Domänencontroller anderer zu erkennen
Domänen müssen manuell zu einem anderen DNS-Server hinzugefügt werden, um Vertrauen zu ermöglichen
Beziehungen funktionieren richtig. Alle benötigten Serviceaufzeichnungen werden aufgelistet, wenn
ipa-adtrust-install wird beendet und entweder wurde --no-msdcs angegeben oder kein IPA-DNS-Dienst
konfiguriert ist. Normalerweise werden Dienstdatensätze für die folgenden Dienstnamen benötigt
für die IPA-Domäne, die auf alle IPA-Server verweisen soll:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sides
Fügen Sie SIDs zu vorhandenen Benutzern und Gruppen als einen der letzten Schritte hinzu
ipa-adtrust-install ausführen. Wenn es viele bestehende Benutzer und Gruppen gibt und ein paar
Bei Replikaten in der Umgebung kann dieser Vorgang zu einem hohen Replikationsverkehr führen
und eine Leistungsverschlechterung aller IPA-Server in der Umgebung. Um es zu umgehen
Die SID-Generierung kann ausgeführt werden, nachdem ipa-adtrust-install ausgeführt und geplant wurde
unabhängig. Um diese Aufgabe zu starten, müssen Sie eine bearbeitete Version von ipa-sidgen- laden.
task-run.ldif mit dem Befehl ldapmodify informiert den Verzeichnisserver.
--add-agents
Fügen Sie IPA-Master zur Liste hinzu, um Informationen über Benutzer bereitzustellen
vertrauenswürdige Wälder. Ab FreeIPA 4.2 kann dies ein regulärer IPA-Master bereitstellen
Informationen an SSSD-Clients. IPA-Master werden nicht automatisch zur Liste hinzugefügt
Ein Neustart des LDAP-Dienstes ist auf jedem von ihnen erforderlich. Der Gastgeber wo
ipa-adtrust-install wird ausgeführt und automatisch hinzugefügt.
Beachten Sie, dass IPA-Master, auf denen ipa-adtrust-install nicht ausgeführt wurde, Informationen bereitstellen können
über Benutzer aus vertrauenswürdigen Gesamtstrukturen nur, wenn sie über ipa-adtrust-install aktiviert sind
auf jedem anderen IPA-Master laufen. Es ist mindestens SSSD-Version 1.13 auf dem IPA-Master erforderlich
als Treuhandagent auftreten zu können.
-U, --unbeaufsichtigt
Eine unbeaufsichtigte Installation, die niemals zu Benutzereingaben auffordert
-U, --rid-base=RID_BASE
Erster RID-Wert der lokalen Domäne. Die erste Posix-ID der lokalen Domäne lautet
ist diesem RID zugeordnet, das zweite RID+1 usw. Weitere Informationen finden Sie in der Online-Hilfe des idrange
Weitere Informationen finden Sie in der CLI.
-U, --secondary-rid-base=SECONDARY_RID_BASE
Startwert des sekundären RID-Bereichs, der nur im Fall eines Benutzers und eines verwendet wird
Gruppen teilen numerisch die gleiche Posix-ID. Weitere Informationen finden Sie in der Online-Hilfe der idrange-CLI
für weitere Einzelheiten.
-A, --admin-name=ADMIN_NAME
Der Name des Benutzers mit Administratorrechten für diesen IPA-Server. Standardeinstellungen
zu „admin“.
-a, --Administrator-Passwort=Passwort
Das Passwort des Benutzers mit Administratorrechten für diesen IPA-Server. Wille
interaktiv gefragt werden, ob -U ist nicht angegeben.
Die Anmeldeinformationen des Admin-Benutzers werden verwendet, um zuvor ein Kerberos-Ticket zu erhalten
Konfigurieren Sie die Unterstützung für bereichsübergreifende Vertrauensstellungen und stellen Sie anschließend sicher, dass das Ticket Folgendes enthält
MS-PAC-Informationen sind erforderlich, um über „ipa“ tatsächlich eine Vertrauensstellung mit der Active Directory-Domäne hinzuzufügen
Befehl „trust-add --type=ad“.
--enable-compat
Ermöglicht die Unterstützung vertrauenswürdiger Domänenbenutzer für alte Clients über Schema
Kompatibilitäts-Plugin. SSSD unterstützt vertrauenswürdige Domänen nativ ab Version
1.9. Für Plattformen, denen SSSD fehlt oder auf denen eine ältere SSSD-Version ausgeführt wird, muss dies verwendet werden
Möglichkeit. Wenn aktiviert, muss das slapi-nis-Paket installiert werden und
Das Schema-Compat-Plugin wird so konfiguriert, dass es die Suche nach Benutzern und Gruppen ermöglicht
Vertrauenswürdige Domänen über SSSD auf dem IPA-Server. Diese Benutzer und Gruppen werden verfügbar sein
für cn=users,cn=compat,$SUFFIX und cn=groups,cn=compat,$SUFFIX Bäume. SSSD wird
Namen von Benutzern und Gruppen in Kleinbuchstaben normalisieren.
Zusätzlich zur Bereitstellung dieser Benutzer und Gruppen über den Kompatibilitätsbaum ist dies
Die Option ermöglicht die Authentifizierung über LDAP für vertrauenswürdige Domänenbenutzer mit DN unter
Kompatibler Baum, dh unter Verwendung von Bind DN
uid=[E-Mail geschützt] ,cn=users,cn=compat,$SUFFIX.
Die vom Kompatibilitätsbaum durchgeführte LDAP-Authentifizierung erfolgt über PAM.Systemauth'
Service. Dieser Dienst ist standardmäßig auf Linux-Systemen vorhanden und wird von pam bereitgestellt
Paket als /etc/pam.d/system-auth. Wenn Ihre IPA-Installation nicht über Standard-HBAC verfügt
Regel „allow_all“ aktiviert, dann stellen Sie sicher, dass Sie in IPA einen speziellen Dienst namens definieren
'Systemauth' und erstellen Sie eine HBAC-Regel, um jedem den Zugriff auf diese Regel auf IPA zu ermöglichen
Meister.
Wie 'Systemauth' Der PAM-Dienst wird von keiner anderen Anwendung direkt verwendet
Die Verwendung für vertrauenswürdige Domänenbenutzer ist über den Kompatibilitätspfad sicher.
EXIT STATUS
0 wenn die Installation erfolgreich war
1 wenn ein Fehler aufgetreten ist
Verwenden Sie ipa-adtrust-install online über die Dienste von onworks.net
