Dies ist der Befehl ipa-replica-manage, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
ipa-replica-manage - Verwalten einer IPA-Replik
ZUSAMMENFASSUNG
ipa-replica-verwalten [zur Auswahl]... [BEFEHL]
BESCHREIBUNG
Verwaltet die Replikationsvereinbarungen eines IPA-Servers.
Um IPA-Replikationsvereinbarungen in einer Domäne auf Domänenebene 1 zu verwalten, verwenden Sie die IPA-CLI oder die Web-Benutzeroberfläche.
Weitere Informationen finden Sie unter `ipa help topology`.
Die verfügbaren Befehle sind:
Connect [SERVER_A]
- Fügt eine neue Replikationsvereinbarung zwischen SERVER_A/localhost und SERVER_B hinzu. Bei
Domänenebene 1 gilt nur für Winsync-Vereinbarungen.
trennen [SERVER_A]
- Entfernt eine Replikationsvereinbarung zwischen SERVER_A/localhost und SERVER_B. Bei
Domänenebene 1 gilt nur für Winsync-Vereinbarungen.
Restaurants
- Entfernt alle Replikationsvereinbarungen und Daten über SERVER. Auf Domainebene 1 ist es
entfernt Daten und Vereinbarungen für beide Suffixe - Domain und ca.
Liste [SERVER]
- Listet alle Server oder die Liste der Vereinbarungen von SERVER . auf
neu initialisieren
- Erzwingt eine vollständige Neuinitialisierung des IPA-Servers, der Daten vom Server abruft
angegeben mit der Option --from
Force-Sync
- Löschen Sie sofort alle zu replizierenden Daten von einem Server, der mit dem
--von Option
list-ruv
- Listen Sie die Replikations-IDs auf diesem Server auf.
sauber-ruv [REPLICATION_ID]
- Führen Sie die Aufgabe CLEANALLRUV aus, um eine Replikations-ID zu entfernen.
sauber-baumeln-ruv
- Reinigt alle RUVs und CS-RUVs, die im System verbleiben, von deinstalliert
Repliken.
abbrechen-sauber-ruv [REPLICATION_ID]
- Abbrechen einer laufenden CLEANALLRUV-Aufgabe. Mit der Option --force wartet die Aufgabe nicht auf
allen Replikatservern, die die Abbruchaufgabe erhalten haben oder online sind, bevor
abschließen.
list-clean-ruv
- Alle laufenden CLEANALLRUV-Aufgaben auflisten und CLEANALLRUV-Aufgaben abbrechen.
DNArange-Show [SERVER]
- Listen Sie die DNA-Bereiche auf
dnarange-set SERVER START ENDE
- Stellen Sie den DNA-Bereich auf einem Master ein
dnanextrange-show [SERVER]
- Listen Sie die nächsten DNA-Bereiche auf
dnanextrange-set SERVER START ENDE
- Setze die DNA Next Range auf einem Master
Die Verbindungs- und Verbindungsoptionen werden verwendet, um die Replikationstopologie zu verwalten. Wenn ein
Replikat erstellt wird, ist es nur mit dem Master verbunden, der es erstellt hat. Die Verbindung
Option kann verwendet werden, um es mit anderen vorhandenen Replikaten zu verbinden.
Die Option zum Trennen kann nicht verwendet werden, um den letzten Link eines Replikats zu entfernen. Um a . zu entfernen
Replikat aus der Topologie verwenden Sie die Option del.
Wenn ein Replikat gelöscht und dann innerhalb eines kurzen Zeitrahmens wieder hinzugefügt wird, wird der 389-ds
Instanz auf dem Master, der sie erstellt hat, sollte neu gestartet werden, bevor die
Replik. Beim Master werden die alten Dienstprinzipale zwischengespeichert, was dazu führt, dass
Replikation zu scheitern.
Jeder IPA-Masterserver hat eine eindeutige Replikations-ID. Diese ID wird von 389-ds-base verwendet, wenn
Speichern von Informationen über den Replikationsstatus. Die Ausgabe besteht aus den Mastern und ihren
jeweiligen Replikations-ID. Sehen sauber-ruv
Wenn ein Master entfernt wird, müssen alle anderen Master seine Replikations-ID aus dem
Liste der Meister. Normalerweise geschieht dies automatisch beim Löschen eines Masters mit
ipa-replica-manage. Wenn ein oder mehrere Master beim ipa-replica-manage ausgefallen oder nicht erreichbar waren
ausgeführt wurde, ist diese Replikat-ID möglicherweise noch vorhanden. Der Befehl clean-ruv kann verwendet werden, um
Bereinigen Sie eine nicht verwendete Replikations-ID.
HINWEIS: sauber-ruv ist SEHR GEFÄHRLICH. Die Ausführung gegen die falsche Replikations-ID kann die Folge sein
in inkonsistenten Daten auf diesem Master. Der Master sollte von einem anderen neu initialisiert werden, wenn
das passiert.
Die Replikationstopologie wird beim Löschen eines Masters untersucht und versucht, dies zu verhindern
ein Meister vor dem Waisen. Wenn Ihre Topologie beispielsweise A <-> B <-> C ist und Sie
Der Versuch, Master B zu löschen, wird fehlschlagen, da dies Master und A und C verlassen würde
verwaist.
Die Liste der Master wird in cn=masters,cn=ipa,cn=etc,dc=example,dc=com gespeichert. Das sollte
automatisch bereinigt werden, wenn ein Master gelöscht wird. Wenn es passiert, dass Sie gelöscht haben
den Master und alle Vereinbarungen, aber diese Einträge sind noch vorhanden, dann können Sie nicht
um IPA erneut zu installieren, schlägt die Installation fehl mit:
Ein IPA-Master-Host kann nicht mit Standardbefehlen gelöscht oder deaktiviert werden (host-del, for
Beispiel).
Ein verwaister Master kann mit der del-Direktive mit der Option --cleanup bereinigt werden.
Dadurch werden die Einträge von cn=masters,cn=ipa,cn=etc entfernt, die sonst ein Host-Delet verhindern
nicht mehr funktionieren, sein DNA-Profil, die s4u2proxy-Konfiguration, die Dienstprinzipale und entfernen Sie es
aus dem standardmäßigen DUA-Profil defaultServerList.
OPTIONAL
-H HOST, --Gastgeber=HOST
Der zu verwaltende IPA-Server. Der Standardwert ist der Computer, auf dem der Befehl ausgeführt wird
Wird vom Befehl Neu initialisieren nicht berücksichtigt.
-p DM_PASSWORT, --Passwort=DM_PASSWORT
Das für die Authentifizierung zu verwendende Verzeichnis-Manager-Passwort
-v, - ausführlich
Geben Sie zusätzliche Informationen an
-f, --Macht
Ignorieren Sie einige Arten von Fehlern, fragen Sie beim Löschen eines Masters nicht nach
-c, --no-lookup
Führen Sie keine DNS-Lookup-Prüfungen durch.
-c, --Aufräumen
Entfernen Sie beim Löschen eines Masters mit dem Flag --force übrig gebliebene Verweise auf ein
bereits gelöschter Meister.
--bindn=ADMIN_DN
Binden Sie den DN für die Verwendung mit dem Remote-Server (Standard ist cn=Directory Manager) - Seien Sie vorsichtig,
Geben Sie diesen Wert in der Befehlszeile an
--bindpw=ADMIN_PWD
Passwort für Bind DN zur Verwendung mit dem Remote-Server (Standard ist das DM_PASSWORD oben)
--winsync
Gibt an, eine Windows-Synchronisierungsvereinbarung zu erstellen/zu verwenden
- cacert=/Pfad/zu/cacertfile
Vollständiger Pfad und Dateiname des CA-Zertifikats, das mit TLS/SSL zum Remote-Server verwendet werden soll -
dieses CA-Zertifikat wird im Zertifikat des Verzeichnisservers installiert
Datenbank
--win-subtree=cn=Benutzer,dc=Beispiel,dc=com
DN der Windows-Unterstruktur, die die Benutzer enthält, die Sie synchronisieren möchten (Standard
cn=Benutzer, - Dies wird normalerweise von Windows AD als Standard verwendet
value) - Achten Sie darauf, diesen Wert in der Befehlszeile anzugeben
--passsync=PASSSYNC_PWD
Passwort für den IPA-Systembenutzer, der vom Windows PassSync-Plugin zum Synchronisieren verwendet wird
Passwörter. Erforderlich bei Verwendung von --winsync. Dies bedeutet nicht, dass Sie die verwenden müssen
PassSync-Dienst.
--aus=SERVER
Der Server, von dem die Daten abgerufen werden, wird von der Neuinitialisierung und der erzwungenen Synchronisierung verwendet
Befehle.
BEREICHE
IPA verwendet das 389-ds Distributed Numeric Assignment (DNA) Plugin, um POSIX-IDs für . zuzuweisen
Benutzer und Gruppen. Ein Bereich wird erstellt, wenn IPA installiert und die Hälfte des Bereichs zugewiesen wird
an den ersten IPA-Master zwecks Zuordnung.
Neue IPA-Master erhalten nicht automatisch eine DNA-Bereichszuordnung. Eine Bereichszuordnung ist
wird nur ausgeführt, wenn diesem Master ein Benutzer oder eine POSIX-Gruppe hinzugefügt wird.
Das DNA-Plugin unterstützt auch eine "On-Deck"- oder Next-Range-Konfiguration. Wenn die primäre
Reichweite erschöpft ist, anstatt zu einem anderen Meister zu gehen, um mehr zu verlangen, wird er seine
On-Deck-Bereich, wenn einer definiert ist. Jeder Master kann nur einen Bereich und einen On-Deck-Bereich haben
definiert.
Wenn ein Master entfernt wird, wird versucht, seine DNA-Bereiche auf einem anderen Master zu speichern
in seinem On-Deck-Sortiment. IPA wird nicht versuchen, Bereiche zu erweitern oder zusammenzuführen. Wenn es keine gibt
verfügbare Range-Slots auf dem Deck, dann wird dies dem Benutzer gemeldet. Die Reichweite ist effektiv
verloren, es sei denn, es wird manuell mit dem Bereich eines anderen Masters zusammengeführt.
Der DNA-Bereich und die (nächsten) Werte an Deck können mit dem dnarange-set verwaltet werden und
dnanextrange-set-Befehle. Die Regeln für die Verwaltung dieser Bereiche sind:
- Der Bereich muss vollständig innerhalb eines lokalen Bereichs enthalten sein, wie er vom ipa . definiert wird
idrange-Befehl.
- Die Reichweite darf sich nicht mit der DNA-Reichweite oder der On-Deck-Reichweite eines anderen IPA-Masters überschneiden.
- Der Bereich darf sich nicht mit dem ID-Bereich eines AD-Trusts überschneiden.
- Der primäre DNA-Bereich kann nicht entfernt werden.
- Ein Reichweitenbereich an Deck kann entfernt werden, indem er auf 0-0 gesetzt wird. Die Annahme ist
dass der Bereich manuell verschoben oder an anderer Stelle zusammengeführt wird.
Der Bereich und der nächste Bereich eines bestimmten Masters können angezeigt werden, indem der FQDN von diesem übergeben wird
master zum Befehl dnarange-show oder dnanextrange-show.
Bereichsänderungen als delegierter Administrator durchführen (z. B. das Verzeichnis nicht verwenden
Managerkennwort) erfordert zusätzliche 389-ds-ACIs. Diese werden in aktualisierten Mastern installiert
aber keine bestehenden. Die Änderungen werden in cn=config vorgenommen, das nicht repliziert wird. Die
Ergebnis ist, dass DNA-Bereiche auf nicht aktualisierten Mastern nicht als delegierte verwaltet werden können
Administrator.
Beispiele:
Alle Meister auflisten:
# ipa-replica-manage-Liste
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Listen Sie die Replikationsvereinbarungen eines Servers auf.
# ipa-replica-manage list srv1.example.com
srv2.example.com
srv3.example.com
Ein Replikat neu initialisieren:
# ipa-replica-manage re-initialize --from srv2.example.com
Dadurch werden die Daten auf dem Server, auf dem Sie den Befehl ausführen, neu initialisiert.
Abrufen der Daten aus dem Replikat srv2.example.com
Fügen Sie eine neue Replikationsvereinbarung hinzu:
# ipa-replica-manage connect srv2.example.com srv4.example.com
Entfernen Sie eine vorhandene Replikationsvereinbarung:
# ipa-replica-manage trennen srv1.example.com srv3.example.com
Entfernen Sie ein Replikat vollständig:
# ipa-replica-manage von srv4.example.com
Mit Verbinden/Trennen können Sie die Replikationstopologie verwalten.
Listen Sie die verwendeten Replikations-IDs auf:
# ipa-replica-liste verwalten-ruv
srv1.example.com:389:7
srv2.example.com:389:4
Entfernen Sie Verweise auf einen verwaisten und gelöschten Master:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Das Erstellen einer Windows AD-Synchronisierungsvereinbarung ähnelt dem Erstellen einer IPA-Replikation
Vereinbarung, es sind nur ein paar zusätzliche Schritte.
Für den PassSync-Dienst wird ein spezieller Benutzereintrag erstellt. Der DN dieses Eintrags ist
uid=passsync,cn=sysaccounts,cn=usw., . Sie müssen PassSync nicht verwenden, um a . zu verwenden
Windows-Synchronisierungsvereinbarung, aber das Festlegen eines Kennworts für den Benutzer ist erforderlich.
In den folgenden Beispielen wird das AD-Administratorkonto als Synchronisierungsbenutzer verwendet. Dies
ist nicht zwingend erforderlich, aber der Benutzer muss Lesezugriff auf den Teilbaum haben.
1. Übertragen Sie das base64-codierte Windows AD CA-Zertifikat auf Ihren IPA-Server
2. Entfernen Sie alle vorhandenen Kerberos-Anmeldeinformationen
#kdestroy
3. Fügen Sie die winsync-Replikationsvereinbarung hinzu
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v
Sie werden aufgefordert, das Kennwort des Verzeichnismanagers anzugeben.
Erstellen Sie eine Winsync-Replikationsvereinbarung:
# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
Entfernen Sie eine Winsync-Replikationsvereinbarung:
# ipa-replica-manage trennen windows.ad.example.com
PASSSYNC
PassSync ist ein Windows-Dienst, der auf AD-Domänencontrollern ausgeführt wird, um Kennwörter abzufangen
Änderungen. Es sendet diese Kennwortänderungen über TLS an den IPA-LDAP-Server. Dieses Passwort
Änderungen umgehen die normalen Einstellungen der IPA-Passwortrichtlinie und das Passwort ist nicht auf . eingestellt
sofort verfallen. Dies liegt daran, dass IPA die Passwortänderung erhält, die es hat
bereits von AD akzeptiert wurde, so dass es zu spät ist, es abzulehnen.
IPA verwaltet eine Liste von DNs, die von der Kennwortrichtlinie ausgenommen sind. Ein spezieller Benutzer wird hinzugefügt
automatisch, wenn eine Winsync-Replikationsvereinbarung erstellt wird. Der DN dieses Benutzers ist
zur Ausnahmeliste hinzugefügt, die in passSyncManagersDNs im Eintrag gespeichert ist
cn=ipa_pwd_extop,cn=Plugins,cn=config.
EXIT STATUS
0 wenn der Befehl erfolgreich war
1 wenn ein Fehler aufgetreten ist
Verwenden Sie ipa-replica-manage online mit den onworks.net-Diensten
