Este es el comando ipa-replica-manage que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ipa-replica-manage: administra una réplica de IPA
SINOPSIS
ipa-réplica-administrar [OPCIÓN] ... [COMANDO]
DESCRIPCIÓN
Gestiona los acuerdos de replicación de un servidor IPA.
Para administrar los acuerdos de replicación de IPA en un dominio en el nivel de dominio 1, utilice la CLI de IPA o la interfaz de usuario web,
consulte `topología de ayuda de ipa` para obtener información adicional.
Los comandos disponibles son:
conectamos [SERVER_A]
- Agrega un nuevo acuerdo de replicación entre SERVER_A / localhost y SERVER_B. A
nivel de dominio 1 aplicable solo para acuerdos de winsync.
desconectar [SERVER_A]
- Elimina un acuerdo de replicación entre SERVER_A / localhost y SERVER_B. A
nivel de dominio 1 aplicable solo para acuerdos de winsync.
de los
- Elimina todos los acuerdos de replicación y datos sobre SERVER. En el nivel de dominio 1
elimina datos y acuerdos para ambos sufijos: dominio y ca.
lista [SERVIDOR]
- Lista todos los servidores o la lista de acuerdos de SERVER
reinicializar
- Fuerza una reinicialización completa del servidor IPA recuperando datos del servidor
especificado con la opción --from
sincronización forzada
- Vacíe inmediatamente cualquier dato a ser replicado desde un servidor especificado con el
- de la opción
lista-ruv
- Enumere los ID de replicación en este servidor.
limpiar-ruv [REPLICACIÓN_ID]
- Ejecute la tarea CLEANALLRUV para eliminar un ID de replicación.
limpio-colgando-ruv
- Limpia todos los RUV y CS-RUV que quedan en el sistema desde la desinstalación
réplicas.
abortar-limpiar-ruv [REPLICACIÓN_ID]
- Abortar una tarea CLEANALLRUV en ejecución. Con la opción --force la tarea no espera
a todos los servidores de réplica se les ha enviado la tarea de cancelación, o estar en línea, antes
completando.
lista-limpiar-ruv
- Enumere todas las tareas de CLEANALLRUV en ejecución y anule las tareas de CLEANALLRUV.
espectáculo-dnarange [SERVIDOR]
- Enumere los rangos de ADN
conjunto de adn SERVIDOR INICIO FIN
- Establecer el rango de ADN en un maestro
Espectáculo de dnanextrange [SERVIDOR]
- Enumere los siguientes rangos de ADN
conjunto dnanextrange SERVIDOR INICIO FIN
- Establecer el siguiente rango de ADN en un maestro
Las opciones de conexión y desconexión se utilizan para administrar la topología de replicación. Cuando una
Se crea la réplica, solo está conectada con el maestro que la creó. La conexión
La opción se puede utilizar para conectarlo a otras réplicas existentes.
La opción de desconexión no se puede utilizar para eliminar el último enlace de una réplica. Para eliminar un
réplica de la topología use la opción del.
Si se elimina una réplica y luego se vuelve a agregar dentro de un período de tiempo corto, el 389-ds
instancia en el maestro que lo creó debe reiniciarse antes de volver a instalar el
réplica. El maestro tendrá los principales de servicio antiguos almacenados en caché, lo que provocará
replicación para fallar.
Cada servidor maestro IPA tiene un ID de replicación único. 389-ds-base utiliza este ID cuando
almacenar información sobre el estado de la replicación. La salida consta de los maestros y sus
ID de replicación respectivo. Ver limpiar-ruv
Cuando se elimina un maestro, todos los demás maestros deben eliminar su ID de replicación del
lista de maestros. Normalmente, esto ocurre automáticamente cuando se elimina un maestro con
ipa-replica-manage. Si uno o más maestros estaban inactivos o inaccesibles cuando ipa-replica-manage
se ejecutó, entonces esta ID de réplica aún puede existir. El comando clean-ruv se puede utilizar para
limpiar un ID de replicación no utilizado.
NOTA: clean-ruv es MUY PELIGROSO. Puede resultar en la ejecución contra el ID de replicación incorrecto
en datos inconsistentes en ese maestro. El maestro debe reinicializarse desde otro si
esto pasa.
La topología de replicación se examina cuando se elimina un maestro e intentará evitar
un maestro de quedarse huérfano. Por ejemplo, si su topología es A <-> B <-> C y
Intente eliminar el maestro B fallará porque eso dejaría los maestros y A y C
huérfano.
La lista de maestros se almacena en cn = maestros, cn = ipa, cn = etc, dc = ejemplo, dc = com. Esto debería
se limpiará automáticamente cuando se elimine un maestro. Si ocurre que ha eliminado
el maestro y todos los acuerdos, pero estas entradas aún existen, entonces no podrá
para reinstalar IPA en él, la instalación fallará con:
Un host maestro IPA no se puede eliminar o deshabilitar mediante comandos estándar (host-del, para
ejemplo).
Un maestro huérfano se puede limpiar usando la directiva del con la opción --cleanup.
Esto eliminará las entradas de cn = masters, cn = ipa, cn = etc que de otra manera previenen host-del
del trabajo, su perfil de adn, la configuración de s4u2proxy, los principales de servicio y eliminarlo
desde el perfil DUA predeterminado defaultServerList.
CAMPUS
-H HOST, --anfitrión=HOST
El servidor IPA para administrar. El valor predeterminado es la máquina en la que se ejecuta el comando
No respetado por el comando re-initialize.
-p DM_CONTRASEÑA, --contraseña=DM_CONTRASEÑA
La contraseña de Directory Manager que se utilizará para la autenticación
-v, --verboso
Proporcionar información adicional
-f, --fuerza
Ignore algunos tipos de errores, no pregunte cuando elimine un maestro
-c, --sin búsqueda
No realice comprobaciones de búsqueda de DNS.
-c, --limpiar
Al eliminar un maestro con la marca --force, elimine las referencias sobrantes a un
maestro ya eliminado.
--binddn=ADMIN_DN
Vincular DN para usar con el servidor remoto (el valor predeterminado es cn = Directory Manager) - Tenga cuidado de
cite este valor en la línea de comando
--bindpw=ADMIN_PWD
Contraseña para Bind DN para usar con el servidor remoto (el valor predeterminado es DM_PASSWORD arriba)
--winsync
Especifica crear / usar un Acuerdo de sincronización de Windows
--cacert=/ ruta / a / cacertfile
Ruta completa y nombre de archivo del certificado CA para usar con TLS / SSL en el servidor remoto -
este certificado de CA se instalará en el certificado del servidor de directorio
base de datos
--win-subárbol=cn = Usuarios, dc = ejemplo, dc = com
DN del subárbol de Windows que contiene los usuarios que desea sincronizar (predeterminado
cn = Usuarios, - esto es típicamente lo que Windows AD usa como predeterminado
value): tenga cuidado de citar este valor en la línea de comando
--passsync=PASSSYNC_PWD
Contraseña para el usuario del sistema IPA que utiliza el complemento Windows PassSync para sincronizar
contraseñas. Requerido cuando se usa --winsync. Esto no significa que tenga que utilizar el
Servicio PassSync.
--desde=SERVIDOR
El servidor del que se extraen los datos, utilizado por la reinicialización y la sincronización forzada
comandos.
RANGOS
IPA utiliza el complemento de asignación numérica distribuida (DNA) 389-ds para asignar identificadores POSIX para
usuarios y grupos. Se crea un rango cuando se instala IPA y se asigna la mitad del rango
al primer maestro IPA para fines de asignación.
Los nuevos maestros IPA no obtienen automáticamente una asignación de rango de ADN. Una asignación de rango es
se hace solo cuando se agrega un usuario o grupo POSIX en ese maestro.
El complemento DNA también admite una configuración "en cubierta" o de rango siguiente. Cuando la primaria
rango está agotado, en lugar de ir a otro maestro para pedir más, usará su
rango en cubierta si hay uno definido. Cada maestro puede tener solo un rango y un rango en cubierta
definido.
Cuando se elimina un maestro, se intenta guardar su (s) rango (s) de ADN en otro maestro.
en su gama en cubierta. IPA no intentará ampliar ni fusionar rangos. Si no hay
ranuras de rango disponibles en la cubierta, esto se informa al usuario. El rango es efectivamente
perdido a menos que se combine manualmente en el rango de otro maestro.
El rango de ADN y los valores en cubierta (siguiente) se pueden administrar utilizando el conjunto de rango de ADN y
comandos dnanextrange-set. Las reglas para administrar estos rangos son:
- El rango debe estar completamente contenido dentro de un rango local definido por ipa
comando idrange.
- El rango no puede superponerse al rango de ADN o el rango en cubierta en otro maestro IPA.
- El rango no puede superponerse al rango de ID de un AD Trust.
- El rango de ADN primario no se puede eliminar.
- Un rango de rango en cubierta se puede eliminar configurándolo en 0-0. La suposición es
que el rango se moverá manualmente o se fusionará en otro lugar.
El rango y el siguiente rango de un maestro específico se pueden mostrar pasando el FQDN de ese
master al comando dnarange-show o dnanextrange-show.
Realizar cambios de rango como administrador delegado (por ejemplo, no usar el directorio
Manager) requiere ACI 389-ds adicionales. Estos se instalan en maestros actualizados
pero no los existentes. Los cambios se realizan en cn = config, que no se replica. los
El resultado es que los rangos de ADN no se pueden administrar en maestros no actualizados como delegado
administrador.
EJEMPLOS
Lista de todos los maestros:
# ipa-replica-administrar lista
srv1.ejemplo.com
srv2.ejemplo.com
srv3.ejemplo.com
srv4.ejemplo.com
Enumere los acuerdos de replicación de un servidor.
# ipa-replica-manage lista srv1.example.com
srv2.ejemplo.com
srv3.ejemplo.com
Reinicialice una réplica:
# ipa-replica-manage re-initialize --desde srv2.example.com
Esto reinicializará los datos en el servidor donde ejecuta el comando,
recuperando los datos de la réplica srv2.example.com
Agregue un nuevo acuerdo de replicación:
# ipa-replica-manage conectar srv2.example.com srv4.example.com
Eliminar un acuerdo de replicación existente:
# ipa-replica-manage desconectar srv1.example.com srv3.example.com
Eliminar completamente una réplica:
# ipa-replica-manage del srv4.example.com
Con conectar / desconectar puede administrar la topología de replicación.
Enumere los ID de replicación en uso:
# ipa-réplica-administrar lista-ruv
srv1.ejemplo.com:389:7
srv2.ejemplo.com:389:4
Elimine las referencias a un maestro huérfano y eliminado:
# ipa-replica-manage del --force --cleanup master.ejemplo.com
WINSYNC
Crear un acuerdo de sincronización de Windows AD es similar a crear una replicación de IPA
acuerdo, solo hay un par de pasos adicionales.
Se crea una entrada de usuario especial para el servicio PassSync. El DN de esta entrada es
uid = passsync, cn = sysaccounts, cn = etc, . No es necesario que utilice PassSync para utilizar un
Acuerdo de sincronización de Windows, pero es necesario establecer una contraseña para el usuario.
Los siguientes ejemplos utilizan la cuenta de administrador de AD como usuario de sincronización. Esta
no es obligatorio, pero el usuario debe tener acceso de lectura al subárbol.
1. Transfiera el certificado de CA de Windows AD codificado en base64 a su servidor IPA
2. Elimine las credenciales kerberos existentes.
#kdestroy
3. Agregue el acuerdo de replicación de winsync
# ipa-replica-manage connect --winsync --passsync =
will_be_used_for_agreement> --cacert = / ruta / a / adscacert / WIN-CA.cer --binddn
"cn = administrador, cn = usuarios, dc = anuncio, dc = ejemplo, dc = com" --bindpw
-v
Se le pedirá que proporcione la contraseña de Directory Manager.
Cree un acuerdo de replicación de winsync:
# ipa-replica-manage connect --winsync --passsync = MySecret
--cacert = / root / WIN-CA.cer --binddn
"cn = administrador, cn = usuarios, dc = anuncio, dc = ejemplo, dc = com" --bindpw MySecret -v
windows.ad.ejemplo.com
Quite un acuerdo de replicación de winsync:
# ipa-replica-manage desconectar windows.ad.example.com
PASSYNC
PassSync es un servicio de Windows que se ejecuta en controladores de dominio AD para interceptar la contraseña
cambios. Envía estos cambios de contraseña al servidor IPA LDAP a través de TLS. Estas contraseñas
los cambios omiten la configuración normal de la política de contraseñas de IPA y la contraseña no se establece en
expira inmediatamente. Esto se debe a que para cuando IPA recibe el cambio de contraseña, ya ha
ya ha sido aceptado por AD, por lo que es demasiado tarde para rechazarlo.
IPA mantiene una lista de DN que están exentos de la política de contraseñas. Se agrega un usuario especial
automáticamente cuando se crea un acuerdo de replicación de Winsync. El DN de este usuario es
agregado a la lista de exenciones almacenada en passSyncManagersDNs en la entrada
cn = ipa_pwd_extop, cn = complementos, cn = config.
SALIR ESTADO
0 si el comando fue exitoso
1 si ocurrió un error
Use ipa-replica-manage en línea usando los servicios de onworks.net