EnglischFranzösischSpanisch

Ubuntu | Fedora | VPN | File sharing

Ad


OnWorks-Favicon

ipa-client-install – Online in der Cloud

Führen Sie ipa-client-install beim kostenlosen Hosting-Anbieter OnWorks über Ubuntu Online, Fedora Online, den Windows-Online-Emulator oder den MAC OS-Online-Emulator aus

Dies ist der Befehl ipa-client-install, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann

PROGRAMM:

NAME/FUNKTION


ipa-client-install – Konfigurieren Sie einen IPA-Client

ZUSAMMENFASSUNG


ipa-client-install [zur Auswahl] ...

BESCHREIBUNG


Konfiguriert einen Client-Computer für die Verwendung von IPA für Authentifizierungs- und Identitätsdienste.

Standardmäßig wird SSSD so konfiguriert, dass zur Authentifizierung eine Verbindung zu einem IPA-Server hergestellt wird
Genehmigung. Optional kann man stattdessen PAM und NSS (Name Switching Service) konfigurieren.
um mit einem IPA-Server über Kerberos und LDAP zu arbeiten.

Um einen Client-Rechner mit IPA zu verbinden, ist ein autorisierter Benutzer erforderlich. Dies kann die Form haben:
ein Kerberos-Prinzipal oder ein mit der Maschine verknüpftes Einmalkennwort.

Dasselbe Tool wird zum Dekonfigurieren von IPA verwendet und versucht, den Computer wieder in seinen ursprünglichen Zustand zu versetzen
vorheriger Status. Ein Teil dieses Prozesses besteht darin, den Host vom IPA-Server abzumelden.
Die Aufhebung der Registrierung besteht darin, den Hauptschlüssel auf dem IPA-Server zu deaktivieren, damit er aktiviert werden kann
erneut eingeschrieben. Der Maschinenprinzipal in /etc/krb5.keytab (host/ @REALM) ist es gewohnt
authentifizieren Sie sich beim IPA-Server, um sich selbst abzumelden. Wenn dieser Prinzipal nicht existiert, dann
Die Aufhebung der Registrierung schlägt fehl und ein Administrator muss den Host-Principal (ipa) deaktivieren
Host-Deaktivierung ).

Annahmen
Das ipa-client-install-Skript geht davon aus, dass der Computer bereits SSH-Schlüssel generiert hat. Es
generiert von sich aus keine SSH-Schlüssel. Wenn keine SSH-Schlüssel vorhanden sind (z. B. wenn
Wenn Sie ipa-client-install in einem Kickstart ausführen, bevor Sie jemals sshd ausführen), ist dies nicht der Fall
in den Client-Host-Eintrag auf dem Server hochgeladen.

Hostname Voraussetzungen:
Der Kunde muss a verwenden statisch hostname. Wenn sich der Hostname der Maschine beispielsweise aufgrund eines ändert
dynamische Hostnamenzuweisung durch einen DHCP-Server, Client-Registrierung beim IPA-Server unterbricht und
Der Benutzer wäre dann nicht in der Lage, die Kerberos-Authentifizierung durchzuführen.

Mit der Option --hostname kann ein statischer Hostname angegeben werden, der beim Neustart bestehen bleibt.

DNS Automatische Erkennung
Das Client-Installationsprogramm versucht standardmäßig, für alle nach _ldap._tcp.DOMAIN-DNS-SRV-Einträgen zu suchen
Domänen, die seinem Hostnamen übergeordnet sind. Wenn beispielsweise ein Client-Computer einen Hostnamen hat
„client1.lab.example.com“ wird das Installationsprogramm versuchen, einen IPA-Server-Hostnamen abzurufen
_ldap._tcp.lab.example.com, _ldap._tcp.example.com und _ldap._tcp.com DNS SRV-Einträge,
jeweils. Die erkannte Domäne wird dann zum Konfigurieren von Client-Komponenten (z. B. SSSD) verwendet
und Kerberos 5-Konfiguration) auf dem Computer.

Wenn sich der Hostname des Client-Computers nicht in einer Unterdomäne eines IPA-Servers befindet, kann seine Domäne darin liegen
übergeben mit der Option --domain. In diesem Fall verfügen sowohl SSSD- als auch Kerberos-Komponenten über das
Die in den Konfigurationsdateien festgelegte Domäne wird zur automatischen Erkennung von IPA-Servern verwendet.

Der Client-Rechner kann auch ganz ohne DNS-Autodiscovery konfiguriert werden. Wenn beide
Wenn die Optionen --server und --domain verwendet werden, verwendet das Client-Installationsprogramm den angegebenen Server und
Domain direkt. Die Option --server akzeptiert mehrere Server-Hostnamen, die für verwendet werden können
Failover-Mechanismus. Ohne automatische DNS-Erkennung wird Kerberos mit einer festen Liste von konfiguriert
KDC- und Admin-Server. SSSD ist weiterhin so konfiguriert, dass entweder versucht wird, den SRV der Domäne zu lesen
Datensätze oder die angegebene feste Liste von Servern. Wenn die Option --fixed-primary angegeben ist,
SSSD versucht überhaupt nicht, den DNS-SRV-Eintrag zu lesen (siehe sssd-ipa(5) für Einzelheiten).

Das Failover Mechanismus
Wenn einige der IPA-Server nicht verfügbar sind, können Clientkomponenten darauf zurückgreifen
eine andere IPA-Replik zu übertragen und somit einen kontinuierlichen Dienst aufrechtzuerhalten. Wenn der Client-Computer ist
konfiguriert, um die automatische Erkennung von DNS-SRV-Einträgen zu verwenden (es wurde kein fester Server an den übergeben
Installer) führen Client-Komponenten den Fallback automatisch durch, basierend auf dem IPA-Server
Hostnamen und Prioritäten, die aus den DNS-SRV-Einträgen ermittelt werden.

Wenn die automatische DNS-Erkennung nicht verfügbar ist, sollten Clients zumindest mit einem festen Wert konfiguriert werden
Liste der IPA-Server, die im Falle eines Ausfalls verwendet werden können. Wenn nur ein IPA-Server vorhanden ist
konfiguriert sind, sind die IPA-Client-Dienste im Falle eines Ausfalls des IPA nicht verfügbar
Server. Bitte beachten Sie, dass im Falle einer festen Liste von IPA-Servern die festen Serverlisten gelten
in Client-Komponenten müssen aktualisiert werden, wenn ein neuer IPA-Server oder ein aktueller IPA registriert wird
Server wird außer Betrieb genommen.

Koexistenz Mit der Andere Verzeichnis Fertige Server
Andere im Netzwerk bereitgestellte Verzeichnisserver (z. B. Microsoft Active Directory) können verwendet werden
Dieselben DNS-SRV-Einträge zur Kennzeichnung von Hosts mit einem Verzeichnisdienst (_ldap._tcp.DOMAIN).
Solche DNS-SRV-Einträge können die Installation unterbrechen, wenn das Installationsprogramm diese DNS erkennt
Datensätze, bevor DNS-SRV-Einträge gefunden werden, die auf IPA-Server verweisen. Der Installer würde dann
Der IPA-Server kann nicht erkannt werden und das Programm wird mit einer Fehlermeldung beendet.

Um die oben genannten Probleme bei der automatischen DNS-Erkennung zu vermeiden, muss der Hostname des Client-Computers angegeben werden
sollte sich in einer Domäne mit ordnungsgemäß definierten DNS-SRV-Einträgen befinden, die auf IPA-Server verweisen,
entweder manuell mit einem benutzerdefinierten DNS-Server oder mit der integrierten IPA-DNS-Lösung. Eine Sekunde
Der Ansatz wäre, die automatische Erkennung zu vermeiden und das Installationsprogramm so zu konfigurieren, dass es eine feste Liste verwendet
von IPA-Server-Hostnamen mit der Option --server und mit der Option --fixed-primary
Deaktivieren der automatischen Erkennung von DNS-SRV-Einträgen in SSSD.

Neuanmeldung of Gastgeber
Anforderungen:

1. Der Host wurde nicht abgemeldet (der Befehl ipa-client-install --uninstall wurde nicht abgemeldet).
Lauf).
2. Der Hosteintrag wurde nicht über den Befehl ipa host-disable deaktiviert.

Sollte dies der Fall sein, kann der Host mit den üblichen Methoden erneut registriert werden.

Es gibt zwei Methoden zur Authentifizierung einer erneuten Registrierung:

1. Sie können die Option --force-join mit dem Befehl ipa-client-install verwenden. Dies authentifiziert die
Erneute Registrierung mit den Anmeldeinformationen des Administrators, die über die Option -w/--password bereitgestellt werden.
2. Wenn die Bereitstellung des Administratorkennworts über die Befehlszeile nicht möglich ist (z. B. Sie möchten
um ein Skript zu erstellen, um einen Host erneut zu registrieren und das Passwort des Administrators zu schützen), können Sie verwenden
Zur Authentifizierung wurde die Keytab-Datei von der vorherigen Registrierung dieses Hosts gesichert. Siehe --keytab
.

Folgen der Rückmeldung auf den Gastgebereintrag:

1. Ein neues Host-Zertifikat wird ausgestellt
2. Das alte Host-Zertifikat wird widerrufen
3. Neue SSH-Schlüssel werden generiert
4. ipaUniqueID bleibt erhalten

OPTIONAL


BASIC OPTIONAL
--Domain=DOMAIN
Legen Sie den Domänennamen auf DOMAIN fest. Wenn keine Option --server angegeben ist, wird das Installationsprogramm ausgeführt
wird versuchen, alle verfügbaren Server über die automatische Erkennung von DNS-SRV-Einträgen zu ermitteln (siehe
Weitere Informationen finden Sie im Abschnitt „DNS-Autodiscovery“.

--Server=SERVER
Legen Sie den IPA-Server fest, zu dem eine Verbindung hergestellt werden soll. Kann mehrfach angegeben werden, um mehrere hinzuzufügen
Server zum ipa_server-Wert in sssd.conf oder krb5.conf. Nur der erste Wert ist
Wird berücksichtigt, wenn es mit --no-sssd verwendet wird. Wenn diese Option verwendet wird, erfolgt die automatische DNS-Erkennung
für Kerberos ist deaktiviert und eine feste Liste von KDC- und Admin-Servern ist konfiguriert.

--Reich=REALM_NAME
Legen Sie den IPA-Realm-Namen auf REALM_NAME fest. Unter normalen Umständen ist diese Option vorhanden
nicht erforderlich, da der Realm-Name vom IPA-Server abgerufen wird.

--fixed-primary
Konfigurieren Sie SSSD so, dass ein fester Server als primärer IPA-Server verwendet wird. Die Standardeinstellung ist „to“.
Verwenden Sie DNS-SRV-Einträge, um den zu verwendenden Primärserver zu bestimmen und auf diesen zurückzugreifen
Server, bei dem der Client registriert ist. Bei Verwendung in Verbindung mit --server dann nein
Der Wert _srv_ wird in der Option ipa_server in sssd.conf festgelegt.

-p, --Rektor
Autorisierter Kerberos-Prinzipal, der für den Beitritt zum IPA-Bereich verwendet werden soll.

-w PASSWORD, --Passwort=PASSWORD
Passwort zum Beitritt einer Maschine zum IPA-Bereich. Nimmt ein Massenpasswort an, es sei denn
Der Prinzipal ist ebenfalls festgelegt.

-W Fordern Sie das Passwort für den Beitritt einer Maschine zum IPA-Bereich an.

-k, --keytab
Pfad zur gesicherten Host-Keytab-Datei aus der vorherigen Registrierung. Tritt dem Host bei, auch wenn dieser
ist bereits angemeldet.

--mkhomedir
Konfigurieren Sie PAM so, dass ein Benutzer-Home-Verzeichnis erstellt wird, falls dieses nicht vorhanden ist.

- Hostname
Der Hostname dieser Maschine (FQDN). Falls angegeben, wird der Hostname festgelegt und die
Die Systemkonfiguration wird so aktualisiert, dass sie auch nach einem Neustart bestehen bleibt. Standardmäßig ein Knotenname
Ergebnis von uname(2) verwendet wird.

--force-join
Treten Sie dem Gastgeber bei, auch wenn dieser bereits registriert ist.

--ntp-server=NTP_SERVER
Konfigurieren Sie ntpd für die Verwendung dieses NTP-Servers. Diese Option kann mehrfach verwendet werden.

-N, --no-ntp
Konfigurieren oder aktivieren Sie NTP nicht.

--force-ntpd
Stoppen und deaktivieren Sie alle Zeit- und Datumssynchronisierungsdienste außer ntpd.

--nisdomain=NIS_DOMAIN
Legen Sie den NIS-Domänennamen wie angegeben fest. Standardmäßig ist dies auf die IPA-Domäne eingestellt
Namen.

--no-nisdomain
Konfigurieren Sie den NIS-Domänennamen nicht.

--ssh-trust-dns
Konfigurieren Sie den OpenSSH-Client so, dass er DNS-SSHFP-Einträgen vertraut.

--no-ssh
Konfigurieren Sie den OpenSSH-Client nicht.

--no-sshd
Konfigurieren Sie keinen OpenSSH-Server.

--no-sudo
Konfigurieren Sie SSSD nicht als Datenquelle für sudo.

--no-dns-sshfp
Erstellen Sie nicht automatisch DNS-SSHFP-Einträge.

--noac Verwenden Sie Authconfig nicht, um die nsswitch.conf- und PAM-Konfiguration zu ändern.

-f, --Macht
Erzwingen Sie die Einstellungen, auch wenn Fehler auftreten

--kinit-versuche=KINIT_ATTEMPTS
Im Falle eines nicht reagierenden KDC (z. B. beim gleichzeitigen Registrieren mehrerer Hosts in einem Heavy
Ladeumgebung) Wiederholen Sie die Anforderung für ein Host-Kerberos-Ticket bis zu einer Gesamtzahl
of KINIT_ATTEMPTS bevor Sie die Client-Installation aufgeben und abbrechen. Standard
Die Anzahl der Versuche beträgt 5. Die Anfrage wird nicht wiederholt, wenn ein Problem auftritt
Host-Anmeldeinformationen selbst (z. B. falsches Keytab-Format oder ungültiger Principal).
Die Verwendung dieser Option führt nicht zu einer Kontosperrung.

-d, --debuggen
Debugging-Informationen auf stdout drucken

-U, --unbeaufsichtigt
Unbeaufsichtigte Installation. Der Benutzer wird nicht dazu aufgefordert.

--ca-cert-Datei=CA_DATEI
Versuchen Sie nicht, das IPA-CA-Zertifikat auf automatisiertem Wege zu erwerben, sondern nutzen Sie stattdessen
das lokal in in gefundene CA-Zertifikat CA_DATEIdem „Vermischten Geschmack“. Seine CA_DATEI muss ein Absolutes sein
Pfad zu einer PEM-formatierten Zertifikatsdatei. Das CA-Zertifikat gefunden in CA_DATEI is
gilt als autorisierend und wird installiert, ohne dass überprüft wird, ob dies der Fall ist
gültig für die IPA-Domain.

--request-cert
Fordern Sie ein Zertifikat für die Maschine an. Das Zertifikat wird in gespeichert
/etc/ipa/nssdb unter dem Spitznamen „Lokaler IPA-Host“.

--automount-location=STANDORT
Konfigurieren Sie Automount durch Ausführen ipa-client-automount(1) mit STANDORT als Automount


--configure-firefox
Konfigurieren Sie Firefox für die Verwendung von IPA-Domänenanmeldeinformationen.

--firefox-dir=DIR
Geben Sie das Firefox-Installationsverzeichnis an. Zum Beispiel: '/usr/lib/firefox'

--IP Adresse=IP ADRESSE
Verwenden Sie die IP ADRESSE im DNS-A/AAAA-Eintrag für diesen Host. Kann mehrfach angegeben werden
um mehrere DNS-Einträge hinzuzufügen.

--all-ip-adressen
Erstellen Sie einen DNS-A/AAAA-Eintrag für jede IP-Adresse auf diesem Host.

SSSD OPTIONAL
--erlauben
Konfigurieren Sie SSSD so, dass jeder Zugriff zulässig ist. Andernfalls wird die Maschine von gesteuert
die Host-based Access Controls (HBAC) auf dem IPA-Server.

--enable-dns-updates
Diese Option weist SSSD an, DNS automatisch mit der IP-Adresse zu aktualisieren
Kunden.

--no-krb5-offline-passwords
Konfigurieren Sie SSSD so, dass das Benutzerkennwort nicht gespeichert wird, wenn der Server offline ist.

-S, --no-ssd
Konfigurieren Sie den Client nicht für die Verwendung von SSSD zur Authentifizierung, sondern verwenden Sie stattdessen nss_ldap.

--preserve-sssd
Standardmäßig deaktiviert. Wenn diese Option aktiviert ist, bleibt die alte SSSD-Konfiguration erhalten, falls dies nicht der Fall ist
möglich, es mit einem neuen zusammenzuführen. Effektiv, wenn die Zusammenführung nicht möglich ist
Der SSSDConfig-Reader stößt auf nicht unterstützte Optionen. ipa-client-install wird nicht
Führen Sie den Vorgang weiter aus und bitten Sie, zuerst die SSSD-Konfiguration zu korrigieren. Wenn diese Option nicht angegeben ist,
ipa-client-install Sichert die SSSD-Konfiguration und erstellt eine neue. Die Backup-Version
wird bei der Deinstallation wiederhergestellt.

UNINSTALL OPTIONAL
--deinstallieren
Entfernen Sie die IPA-Client-Software und stellen Sie die Konfiguration auf den Zustand vor IPA zurück.

-U, --unbeaufsichtigt
Unbeaufsichtigte Deinstallation. Der Benutzer wird nicht dazu aufgefordert.

Verwenden Sie ipa-client-install online über die Dienste von onworks.net


Kostenlose Server & Workstations

>>


Laden Sie Windows- und Linux-Apps herunter

>>


Linux-Befehle

Ad




ÜBER ONWORKS®

OnWorks ist ein kostenloser Online-VPS-Hosting-Anbieter, der Cloud-Dienste wie kostenlose Workstations, Online-Antivirus, kostenlose sichere VPN-Proxys und kostenlose persönliche und geschäftliche E-Mails anbietet. Unsere kostenlosen VPS können auf CentOS, Fedora, Ubuntu und Debian basieren. Einige von ihnen sind so angepasst, dass sie wie Windows online oder MacOS online sind.

Site Links
Unsere Standorte

Copyright ©2023 OffiDocs Group OU. Alle Rechte vorbehalten. OnWorks® ist eine eingetragene Marke.