Este es el comando ipa-client-install que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ipa-client-install: configurar un cliente IPA
SINOPSIS
instalación-cliente-ipa [OPCIÓN] ...
DESCRIPCIÓN
Configura una máquina cliente para utilizar IPA para servicios de autenticación e identidad.
De forma predeterminada, esto configura SSSD para conectarse a un servidor IPA para la autenticación y
autorización. Opcionalmente, se puede configurar PAM y NSS (servicio de cambio de nombre)
para trabajar con un servidor IPA sobre Kerberos y LDAP.
Se requiere un usuario autorizado para unir una máquina cliente a IPA. Esto puede tomar la forma de
un principal de kerberos o una contraseña de un solo uso asociada con la máquina.
Esta misma herramienta se utiliza para desconfigurar IPA e intenta devolver la máquina a su
estado previo. Parte de este proceso consiste en cancelar la inscripción del host del servidor IPA.
La cancelación de la inscripción consiste en deshabilitar la clave principal en el servidor IPA para que pueda ser
reinscrito. El principal de la máquina en /etc/krb5.keytab (host / @REALM) se utiliza para
autenticarse en el servidor IPA para darse de baja. Si este principal no existe entonces
la cancelación de la inscripción fallará y un administrador deberá deshabilitar el principal del host (ipa
host-deshabilitar ).
Supuestos
El script ipa-client-install asume que la máquina ya ha generado claves SSH. Eso
no generará claves SSH por sí solo. Si las claves SSH no están presentes (por ejemplo, cuando
ejecutando ipa-client-install en un kickstart, antes de ejecutar sshd), no serán
subido a la entrada de host del cliente en el servidor.
Nombre de host Requisitos
El cliente debe usar un estático hostname. Si el nombre de host de la máquina cambia, por ejemplo, debido a un
asignación dinámica de nombre de host por parte de un servidor DHCP, la inscripción del cliente al servidor IPA se interrumpe y
el usuario no podrá realizar la autenticación Kerberos.
La opción --hostname se puede usar para especificar un nombre de host estático que persiste durante el reinicio.
DNS Descubrimiento automático
El instalador del cliente de forma predeterminada intenta buscar registros _ldap._tcp.DOMAIN DNS SRV para todos
dominios que son padres de su nombre de host. Por ejemplo, si una máquina cliente tiene un nombre de host
'client1.lab.example.com', el instalador intentará recuperar un nombre de host del servidor IPA de
_ldap._tcp.lab.example.com, _ldap._tcp.example.com y _ldap._tcp.com registros DNS SRV,
respectivamente. El dominio descubierto se utiliza para configurar los componentes del cliente (por ejemplo, SSSD
y configuración de Kerberos 5) en la máquina.
Cuando el nombre de host de la máquina cliente no está en un subdominio de un servidor IPA, su dominio puede ser
pasado con la opción --domain. En ese caso, los componentes SSSD y Kerberos tienen la
dominio establecido en los archivos de configuración y lo utilizará para detectar automáticamente los servidores IPA.
La máquina cliente también se puede configurar sin un descubrimiento automático de DNS en absoluto. Cuando ambos
Se utilizan las opciones --server y --domain, el instalador del cliente utilizará el servidor especificado y
dominio directamente. La opción --server acepta varios nombres de host de servidor que se pueden utilizar para
mecanismo de conmutación por error. Sin el descubrimiento automático de DNS, Kerberos se configura con una lista fija de
Servidores KDC y Admin. SSSD todavía está configurado para intentar leer el SRV del dominio
registros o la lista fija de servidores especificada. Cuando se especifica la opción --fixed-primary,
SSSD no intentará leer el registro SRV de DNS en absoluto (consulte sssd-ipa(5) para obtener más detalles).
El Failover Mecanismo
Cuando algunos de los servidores IPA no están disponibles, los componentes del cliente pueden recurrir a
otra réplica de IPA y así preservar un servicio continuo. Cuando la máquina cliente está
configurado para utilizar el descubrimiento automático de registros SRV de DNS (no se pasó ningún servidor fijo al
instalador), los componentes del cliente hacen la reserva automáticamente, según el servidor IPA
nombres de host y prioridades descubiertos a partir de los registros SRV de DNS.
Si el descubrimiento automático de DNS no está disponible, los clientes deben configurarse al menos con un
lista de servidores IPA que se pueden usar en caso de falla. Cuando solo hay un servidor IPA
configurado, los servicios de cliente IPA no estarán disponibles en caso de una falla del IPA
servidor. Tenga en cuenta que en el caso de una lista fija de servidores IPA, las listas de servidores fijos
en los componentes del cliente deben actualizarse cuando se inscribe un nuevo servidor IPA o un IPA actual
el servidor está fuera de servicio.
Coexistencia Con Otro Directorio Servidores
Otros servidores de directorio implementados en la red (por ejemplo, Microsoft Active Directory) pueden usar
los mismos registros DNS SRV para indicar hosts con un servicio de directorio (_ldap._tcp.DOMAIN).
Dichos registros DNS SRV pueden interrumpir la instalación si el instalador descubre estos DNS
registros antes de que encuentre registros SRV de DNS que apunten a servidores IPA. El instalador entonces
falla al descubrir el servidor IPA y sale con error.
Para evitar los problemas de detección automática de DNS antes mencionados, el nombre de host de la máquina cliente
debe estar en un dominio con registros DNS SRV correctamente definidos que apunten a servidores IPA,
ya sea manualmente con un servidor DNS personalizado o con una solución integrada IPA DNS. Un segundo
El enfoque sería evitar el descubrimiento automático y configurar el instalador para usar una lista fija
de nombres de host del servidor IPA usando la opción --server y con una opción --fixed-primary
deshabilitar el descubrimiento automático de registros DNS SRV en SSSD.
Reinscripción of las fortaleza
Requisitos:
1. No se ha cancelado la inscripción del host (el comando ipa-client-install --uninstall no se ha
correr).
2. La entrada de host no se ha desactivado mediante el comando ipa host-disable.
Si este ha sido el caso, el host puede volver a inscribirse utilizando los métodos habituales.
Hay dos métodos para autenticar una reinscripción:
1. Puede usar la opción --force-join con el comando ipa-client-install. Esto autentica el
reinscripción utilizando las credenciales de administrador proporcionadas a través de la opción -w / - contraseña.
2. Si proporcionar la contraseña del administrador a través de la línea de comando no es una opción (por ejemplo, desea
para crear una secuencia de comandos para volver a inscribir un host y mantener segura la contraseña del administrador), puede utilizar
copia de seguridad de la tabla de claves de la inscripción anterior de este host para autenticarse. Ver --keytab
.
Consecuencias de la reinscripción en la entrada de anfitrión:
1. Se emite un nuevo certificado de host
2. El antiguo certificado de host está revocado.
3. Se generan nuevas claves SSH
4. ipaUniqueID se conserva
CAMPUS
ED. BÁSICA CAMPUS
--dominio=DOMINIO
Establezca el nombre de dominio en DOMINIO. Cuando no se especifica la opción --server, el instalador
intentará descubrir todos los servidores disponibles a través del descubrimiento automático de registros SRV de DNS (consulte
Sección de detección automática de DNS para obtener más detalles).
--servidor=SERVIDOR
Configure el servidor IPA al que conectarse. Puede especificarse varias veces para agregar varios
servidores al valor ipa_server en sssd.conf o krb5.conf. Solo el primer valor es
considerado cuando se usa con --no-sssd. Cuando se utiliza esta opción, el descubrimiento automático de DNS
para Kerberos está deshabilitado y se configura una lista fija de servidores KDC y Admin.
--reino=NOMBRE_REINO
Establezca el nombre de dominio de IPA en REALM_NAME. En circunstancias normales, esta opción es
no es necesario ya que el nombre de dominio se recupera del servidor IPA.
--fijo-primario
Configure SSSD para utilizar un servidor fijo como servidor IPA principal. El valor predeterminado es
utilizar registros SRV de DNS para determinar el servidor principal a utilizar y recurrir al
servidor con el que está inscrito el cliente. Cuando se usa junto con --server, entonces no
El valor de _srv_ se establece en la opción ipa_server en sssd.conf.
-p, --director de escuela
Principal de kerberos autorizado para usar para unirse al reino de IPA.
-w CONTRASEÑA, --contraseña=CONTRASEÑA
Contraseña para unir una máquina al reino IPA. Asume una contraseña masiva a menos que
también se establece el principal.
-W Solicitar la contraseña para unir una máquina al reino IPA.
-k, --tabla de teclas
Ruta a la tabla de claves del host con copia de seguridad de la inscripción anterior. Se une al anfitrión incluso si
ya está inscrito.
--mkhomedir
Configure PAM para crear un directorio de inicio de usuarios si no existe.
--nombre de host
El nombre de host de esta máquina (FQDN). Si se especifica, se establecerá el nombre de host y
La configuración del sistema se actualizará para persistir durante el reinicio. Por defecto un nombre de nodo
el resultado de uname(2) se utiliza.
- force-join
Únase al anfitrión incluso si ya está inscrito.
--ntp-servidor=SERVIDOR_NTP
Configure ntpd para usar este servidor NTP. Esta opción se puede utilizar varias veces.
-N, --no-ntp
No configure ni habilite NTP.
--force-ntpd
Detenga y desactive cualquier servicio de sincronización de fecha y hora además de ntpd.
--nisdominio=NIS_DOMAIN
Establezca el nombre de dominio NIS como se especifica. De forma predeterminada, se establece en el dominio IPA.
nombre.
--no-nisdominio
No configure el nombre de dominio NIS.
--ssh-confianza-dns
Configure el cliente OpenSSH para que confíe en los registros SSHFP de DNS.
--no-ssh
No configure el cliente OpenSSH.
--no-sshd
No configure el servidor OpenSSH.
--no-sudo
No configure SSSD como fuente de datos para sudo.
--no-dns-sshfp
No cree automáticamente registros SSHFP de DNS.
--noac No utilice Authconfig para modificar nsswitch.conf y la configuración de PAM.
-f, --fuerza
Forzar la configuración incluso si se producen errores
--kinit-intentos=KINIT_INTENTOS
En caso de que KDC no responda (por ejemplo, al inscribir varios hosts a la vez en un
entorno de carga) repita la solicitud del ticket Kerberos del host hasta un número total
of KINIT_INTENTOS veces antes de renunciar y abortar la instalación del cliente. Defecto
número de intentos es 5. La solicitud no se repite cuando hay un problema con
las credenciales de host en sí mismas (por ejemplo, formato de tabla de claves incorrecto o principal no válido)
el uso de esta opción no dará lugar a bloqueos de cuentas.
-d, --depurar
Imprimir información de depuración en stdout
-U, --desesperado
Instalación desatendida. No se le pedirá al usuario.
--ca-cert-archivo=CA_ARCHIVO
No intente adquirir el certificado IPA CA a través de medios automatizados, en su lugar utilice
el certificado de CA que se encuentra localmente en en CA_ARCHIVO. CA_ARCHIVO debe ser un absoluto
ruta a un archivo de certificado con formato PEM. El certificado de CA que se encuentra en CA_ARCHIVO is
considerado autorizado y se instalará sin verificar si es
válido para el dominio IPA.
--solicitud-cert
Solicitar certificado de la máquina. El certificado se almacenará en
/ etc / ipa / nssdb bajo el sobrenombre "Host IPA local".
--automount-ubicación=
Configurar automount ejecutando ipa-cliente-automount(1) con como automount
ubicación.
--configurar-firefox
Configure Firefox para usar credenciales de dominio IPA.
--firefox-dir=DIR
Especifique el directorio de instalación de Firefox. Por ejemplo: '/ usr / lib / firefox'
--dirección IP=DIRECCIÓN IP
Uso DIRECCIÓN IP en el registro DNS A / AAAA para este host. Puede especificarse varias veces
para agregar varios registros DNS.
--todas-direcciones-IP
Cree un registro DNS A / AAAA para cada dirección IP en este host.
SSSD CAMPUS
--permiso
Configure SSSD para permitir todos los accesos. De lo contrario, la máquina será controlada por
los controles de acceso basados en host (HBAC) en el servidor IPA.
--habilitar-dns-actualizaciones
Esta opción le dice a SSSD que actualice automáticamente el DNS con la dirección IP de este
cliente.
--no-krb5-sin conexión-contraseñas
Configure SSSD para que no almacene la contraseña de usuario cuando el servidor está fuera de línea.
-S, --no-sssd
No configure el cliente para usar SSSD para la autenticación, use nss_ldap en su lugar.
--preservar-sssd
Desactivado por defecto. Cuando está habilitado, conserva la configuración SSSD antigua si no está
posible fusionarlo con uno nuevo. Efectivamente, si la fusión no es posible debido
al lector SSSDConfig que encuentra opciones no compatibles, ipa-cliente-instalar no
ejecute más y solicite reparar la configuración de SSSD primero. Cuando no se especifica esta opción,
ipa-cliente-instalar hará una copia de seguridad de la configuración SSSD y creará una nueva. La versión de respaldo
se restaurará durante la desinstalación.
UNINSTALL CAMPUS
--desinstalar
Elimine el software del cliente IPA y restaure la configuración al estado anterior a IPA.
-U, --desesperado
Desinstalación desatendida. No se le pedirá al usuario.
Use ipa-client-install en línea usando los servicios de onworks.net
