این دستور ipa-adtrust-install است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ipa-adtrust-install - یک سرور IPA را آماده کنید تا بتوانید روابط اعتماد ایجاد کنید
با دامنه های AD
خلاصه
ipa-adtrust-install [گزینه] ...
شرح
تمام اشیاء و پیکربندی های لازم را اضافه می کند تا به یک سرور IPA اجازه ایجاد اعتماد را بدهد
یک دامنه اکتیو دایرکتوری این مستلزم آن است که سرور IPA قبلاً نصب شده باشد و
پیکربندی شده است
لطفاً توجه داشته باشید که نمیتوانید اعتمادی به دامنه اکتیو دایرکتوری ایجاد کنید
مگر اینکه نام قلمرو سرور IPA با نام دامنه آن مطابقت داشته باشد.
ipa-adtrust-install را می توان چندین بار برای نصب مجدد اشیاء حذف شده یا شکسته اجرا کرد
فایل های پیکربندی به عنوان مثال یک پیکربندی جدید سامبا (فایل smb.conf و بر اساس رجیستری
می توان پیکربندی ایجاد کرد. موارد دیگر مانند پیکربندی محدوده محلی
با اجرای مجدد ipa-adtrust-install نمی توان آن را تغییر داد زیرا با تغییرات اینجا
اشیاء دیگر نیز ممکن است تحت تأثیر قرار گیرند.
فایروال مورد نیاز
علاوه بر الزامات فایروال سرور IPA، ipa-adtrust-install به این نیاز دارد
پورت های زیر برای اجازه دادن به IPA و Active Directory برای ارتباط با هم باز هستند:
TCP بنادر
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· NetBIOS-SSN 139/tcp
· 445/tcp Microsoft-DS
· 1024/tcp تا 1300/tcp برای اجازه دادن به EPMAP در پورت 135/tcp برای ایجاد شنونده TCP
بر اساس یک درخواست دریافتی
UDP بنادر
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
OPTIONS
-d, - رفع اشکال
هنگامی که به خروجی پرمخاطبتر نیاز است، ثبت اشکال زدایی را فعال کنید
--netbios-name=NETBIOS_NAME
نام NetBIOS برای دامنه IPA. اگر ارائه نشده باشد، این بر اساس تعیین می شود
روی جزء اصلی نام دامنه DNS. اجرای ipa-adtrust-install برای a
بار دوم با یک نام NetBIOS متفاوت، نام تغییر خواهد کرد. لطفا توجه داشته باشید که
تغییر نام NetBIOS ممکن است روابط اعتماد موجود را به سایرین قطع کند
دامنه ها
--no-msdcs
سوابق سرویس DNS برای ویندوز در سرور DNS مدیریت شده ایجاد نکنید. از آنجایی که آن ها
سوابق سرویس DNS تنها راه برای کشف کنترلرهای دامنه دیگران است
دامنه ها باید به صورت دستی به سرور DNS دیگری اضافه شوند تا اعتماد ایجاد شود
روابط واقعی به درستی کار می کنند تمام سوابق خدمات مورد نیاز لیست شده است
ipa-adtrust-install تمام شد و --no-msdcs داده شد یا سرویس DNS IPA ارائه نشد
پیکربندی شده است. به طور معمول سوابق خدمات برای نام سرویس های زیر مورد نیاز است
برای دامنه IPA که باید به همه سرورهای IPA اشاره کند:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sides
SID ها را به کاربران و گروه های موجود در مراحل پایانی اضافه کنید
اجرای ipa-adtrust-install. اگر تعداد زیادی کاربر و گروه موجود و چند نفر از آنها وجود داشته باشد
کپی در محیط این عملیات ممکن است منجر به ترافیک تکرار بالا شود
و کاهش عملکرد تمام سرورهای IPA در محیط. برای جلوگیری از این
تولید SID را می توان پس از اجرا و برنامه ریزی ipa-adtrust-install اجرا کرد
به طور مستقل برای شروع این کار باید نسخه ویرایش شده ipa-sidegen- را بارگیری کنید.
task-run.ldif با دستور ldapmodify اطلاعات سرور دایرکتوری.
--افزودن عوامل
Masters IPA را به لیست اضافه کنید که امکان ارائه اطلاعات در مورد کاربران را فراهم می کند
جنگل های مورد اعتماد با شروع با FreeIPA 4.2، یک استاد IPA معمولی می تواند این را ارائه دهد
اطلاعات به مشتریان SSSD کارشناسی ارشد IPA به طور خودکار به لیست اضافه نمی شود
راه اندازی مجدد سرویس LDAP در هر یک از آنها مورد نیاز است. میزبان کجا
ipa-adtrust-install در حال اجرا است به صورت خودکار اضافه می شود.
توجه داشته باشید که استادان IPA در جایی که ipa-adtrust-install اجرا نمی شد، می توانند اطلاعات را ارائه دهند
در مورد کاربران جنگل های مورد اعتماد تنها در صورتی که از طریق ipa-adtrust-install فعال شده باشند
روی هر اصلی IPA دیگر اجرا شود. حداقل نسخه SSSD 1.13 در IPA master مورد نیاز است
بتواند به عنوان یک نماینده اعتماد عمل کند.
-U, -- بی سرپرست
نصبی بدون نظارت که هرگز از کاربر درخواست نمی کند
-U, ---پایه=RID_BASE
اولین مقدار RID دامنه محلی. اولین شناسه Posix دامنه محلی خواهد بود
اختصاص داده شده به این RID، دوم به RID+1 و غیره. به راهنمای آنلاین idrange مراجعه کنید
CLI برای جزئیات.
-U, -- ثانویه-رید-پایه=SECONDARY_RID_BASE
مقدار شروع محدوده RID ثانویه، که فقط در مورد کاربر و a استفاده می شود
گروه از نظر عددی همان Posix ID را به اشتراک می گذارد. به کمک آنلاین idrange CLI مراجعه کنید
برای جزئیات بیشتر.
-A, - نام مدیر=ADMIN_NAME
نام کاربری با امتیازات مدیریتی برای این سرور IPA. پیش فرض ها
به "ادمین".
-a, --admin-password=کلمه عبور
رمز عبور کاربر با امتیازات مدیریتی برای این سرور IPA. اراده
به صورت تعاملی پرسیده شود که آیا -U مشخص نشده است
اعتبار کاربر ادمین قبلاً برای دریافت بلیط Kerberos استفاده خواهد شد
پیکربندی cross-realm trusts support و پس از آن، برای اطمینان از اینکه بلیط حاوی است
اطلاعات MS-PAC برای افزودن اعتماد به دامنه Active Directory از طریق 'ipa' مورد نیاز است
دستور trust-add --type=ad'.
--enable-compat
پشتیبانی از کاربران دامنه های مورد اعتماد را برای مشتریان قدیمی از طریق Schema فعال می کند
افزونه سازگاری SSSD از دامنه های قابل اعتماد پشتیبانی می کند که به طور بومی با نسخه شروع می شوند
1.9. برای پلتفرمهایی که فاقد SSSD هستند یا نسخه قدیمیتر SSSD را اجرا میکنند، باید از آن استفاده کنید
گزینه. در صورت فعال بودن، بسته slapi-nis باید نصب شود و
schema-compat-plugin برای ارائه جستجوی کاربران و گروهها از آن پیکربندی خواهد شد
دامنه های قابل اعتماد از طریق SSSD در سرور IPA. این کاربران و گروه ها در دسترس خواهند بود
زیر cn=users,cn=compat,$SUFFIX و cn=گروه ها،cn=compat،$SUFFIX درختان. SSSD خواهد شد
عادی سازی نام کاربران و گروه ها به حروف کوچک.
علاوه بر ارائه این کاربران و گروه ها از طریق درخت compat، این
گزینه احراز هویت از طریق LDAP را برای کاربران دامنه مورد اعتماد با DN زیر فعال می کند
درخت compat، یعنی با استفاده از bind DN
uid=[ایمیل محافظت شده],cn=کاربران,cn=compat,$SUFFIX.
احراز هویت LDAP انجام شده توسط درخت compat از طریق PAM انجام می شود.system-aut'
سرویس. این سرویس به صورت پیش فرض در سیستم های لینوکس وجود دارد و توسط pam ارائه می شود
بسته به عنوان /etc/pam.d/system-auth. اگر نصب IPA شما HBAC پیش فرض ندارد
قانون "allow_all" فعال است، سپس مطمئن شوید که در سرویس ویژه IPA به نام تعریف شده است
'system-autو یک قانون HBAC ایجاد کنید تا به هر کسی اجازه دسترسی به این قانون در IPA را بدهد
کارشناسی ارشد.
مانند 'system-autسرویس PAM به طور مستقیم توسط هیچ برنامه دیگری استفاده نمی شود، این است
استفاده از آن برای کاربران دامنه مورد اعتماد از طریق مسیر سازگاری ایمن است.
خروج وضعیت
0 اگر نصب با موفقیت انجام شد
1 اگر خطایی رخ داده است
با استفاده از خدمات onworks.net از ipa-adtrust-install آنلاین استفاده کنید
