این دستور ipa-client-install است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ipa-client-install - یک سرویس گیرنده IPA را پیکربندی کنید
خلاصه
ipa-client-install [گزینه] ...
شرح
ماشین مشتری را برای استفاده از IPA برای احراز هویت و خدمات هویت پیکربندی می کند.
به طور پیش فرض این SSSD را برای اتصال به سرور IPA برای احراز هویت و
مجوز در صورت تمایل می توان به جای آن PAM و NSS (سرویس تغییر نام) را پیکربندی کرد.
برای کار با یک سرور IPA از طریق Kerberos و LDAP.
یک کاربر مجاز برای پیوستن به دستگاه مشتری به IPA نیاز است. این می تواند به شکل
یک kerberos اصلی یا یک رمز عبور یکبار مصرف مرتبط با دستگاه.
از همین ابزار برای پیکربندی IPA و تلاش برای بازگرداندن دستگاه به آن استفاده می شود
حالت قبلی بخشی از این فرآیند حذف ثبت نام میزبان از سرور IPA است.
لغو ثبت نام شامل غیرفعال کردن کلید اصلی در سرور IPA است تا ممکن است
دوباره ثبت نام کرد اصل ماشین در /etc/krb5.keytab (host/ @REALM) استفاده می شود
برای لغو ثبت نام، به سرور IPA احراز هویت کنید. اگر این اصل وجود نداشته باشد
لغو ثبت نام ناموفق خواهد بود و یک مدیر باید اصل میزبان (ipa
میزبان-غیرفعال ).
فرضیات
اسکریپت ipa-client-install فرض میکند که دستگاه قبلاً کلیدهای SSH را تولید کرده است. آی تی
به خودی خود کلیدهای SSH را تولید نمی کند. اگر کلیدهای SSH وجود نداشته باشند (مثلاً چه زمانی
اجرای ipa-client-install در یک kickstart، قبل از اجرای sshd)، آنها نخواهند بود
در ورودی میزبان مشتری روی سرور آپلود شده است.
نام میزبان مورد نیاز
مشتری باید از a استفاده کند ایستا نام میزبان. اگر نام میزبان ماشین برای مثال به دلیل a تغییر کند
تخصیص نام میزبان پویا توسط سرور DHCP، ثبت نام مشتری در سرور IPA شکسته می شود و
در این صورت کاربر نمی تواند احراز هویت Kerberos را انجام دهد.
گزینه -hostname ممکن است برای تعیین یک نام میزبان ثابت که در راهاندازی مجدد باقی میماند استفاده شود.
DNS کشف خودکار
نصب کننده سرویس گیرنده به طور پیش فرض سعی می کند برای همه رکوردهای _ldap._tcp.DOMAIN DNS SRV را جستجو کند.
دامنه هایی که والد نام میزبان آن هستند. به عنوان مثال، اگر یک ماشین مشتری یک نام میزبان داشته باشد
'client1.lab.example.com'، نصب کننده سعی می کند نام میزبان سرور IPA را از آن بازیابی کند.
رکوردهای _ldap._tcp.lab.example.com، _ldap._tcp.example.com و _ldap._tcp.com DNS SRV،
به ترتیب. سپس دامنه کشف شده برای پیکربندی اجزای کلاینت (مانند SSSD) استفاده می شود
و پیکربندی Kerberos 5) روی دستگاه.
زمانی که نام میزبان ماشین کلاینت در زیر دامنه یک سرور IPA نباشد، دامنه آن می تواند باشد
با گزینه --domain گذشت. در آن صورت، هر دو مؤلفه SSSD و Kerberos دارای این ویژگی هستند
دامنه در فایل های پیکربندی تنظیم می شود و از آن برای کشف خودکار سرورهای IPA استفاده می کند.
ماشین کلاینت همچنین می تواند بدون کشف خودکار DNS پیکربندی شود. وقتی هر دو
گزینه های --server و --domain استفاده می شود، نصب کننده سرویس گیرنده از سرور مشخص شده استفاده می کند و
دامنه مستقیم گزینه --server چندین نام میزبان سرور را می پذیرد که می توان از آنها استفاده کرد
مکانیسم شکست بدون کشف خودکار DNS، Kerberos با یک لیست ثابت از پیکربندی شده است
سرورهای KDC و Admin. SSSD هنوز برای خواندن SRV دامنه پیکربندی شده است
سوابق یا لیست ثابت مشخص شده سرورها. وقتی گزینه --fixed-primary مشخص می شود،
SSSD به هیچ وجه سعی نمی کند رکورد DNS SRV را بخواند (نگاه کنید به sssd-ipa(5) برای جزئیات).
La غلبه بر خرابی مکانیزم
هنگامی که برخی از سرورهای IPA در دسترس نیستند، اجزای سرویس گیرنده قادر به بازگشت مجدد به آن هستند
ماکت دیگر IPA و در نتیجه حفظ یک سرویس ادامه دار. هنگامی که ماشین مشتری است
برای استفاده از کشف خودکار رکورد DNS SRV پیکربندی شده است (هیچ سرور ثابتی به سرور ارسال نشد
نصب کننده)، اجزای سرویس گیرنده، بر اساس سرور IPA، به طور خودکار برگشت را انجام می دهند
نام هاست و اولویت های کشف شده از رکوردهای DNS SRV.
اگر کشف خودکار DNS در دسترس نباشد، کلاینتها باید حداقل با یک مورد ثابت پیکربندی شوند
لیستی از سرورهای IPA که در صورت خرابی قابل استفاده هستند. زمانی که فقط یک سرور IPA وجود دارد
پیکربندی شده، خدمات مشتری IPA در صورت خرابی IPA در دسترس نخواهد بود
سرور لطفاً توجه داشته باشید که در صورت وجود لیست ثابت از سرورهای IPA، سرورهای ثابت لیست می شوند
هنگام ثبت نام یک سرور IPA جدید یا یک IPA فعلی، اجزاء در سرویس گیرنده باید به روز شوند
سرور از کار افتاده است
همزیستی با دیگر فهرست راهنما سرور
سایر سرورهای دایرکتوری مستقر در شبکه (به عنوان مثال Microsoft Active Directory) ممکن است استفاده کنند
همان رکوردهای DNS SRV برای نشان دادن میزبان ها با یک سرویس دایرکتوری (_ldap._tcp.DOMAIN).
اگر نصب کننده این DNS را کشف کند، چنین رکوردهای DNS SRV ممکن است نصب را خراب کنند
قبل از اینکه سوابق DNS SRV را که به سرورهای IPA اشاره دارند، بیابد، ثبت می کند. نصب کننده پس از آن
موفق به کشف سرور IPA و خروج با خطا.
برای جلوگیری از مشکلات کشف خودکار DNS فوق، نام میزبان ماشین کلاینت
باید در یک دامنه با سوابق DNS SRV به درستی تعریف شده باشد که به سرورهای IPA اشاره می کند،
یا به صورت دستی با یک سرور DNS سفارشی یا با راه حل یکپارچه DNS IPA. یک لحظه
رویکرد جلوگیری از کشف خودکار و پیکربندی نصب کننده برای استفاده از یک لیست ثابت است
نام میزبان سرور IPA با استفاده از گزینه --server و با گزینه --fixed-primary
غیرفعال کردن کشف خودکار رکورد DNS SRV در SSSD.
ثبت نام مجدد of la میزبان
مورد نیاز:
1. هاست لغو ثبت نشده است (فرمان ipa-client-install --uninstall نشده است
اجرا کن).
2. ورودی میزبان از طریق دستور ipa host-disable غیرفعال نشده است.
اگر چنین بوده است، میزبان را می توان با استفاده از روش های معمول دوباره ثبت نام کرد.
دو روش برای احراز هویت ثبت نام مجدد وجود دارد:
1. می توانید از گزینه --force-join با دستور ipa-client-install استفاده کنید. این احراز هویت
ثبت نام مجدد با استفاده از اعتبار مدیر ارائه شده از طریق گزینه -w/--password.
2. اگر ارائه رمز عبور مدیر از طریق خط فرمان یک گزینه نیست (مثلاً می خواهید
برای ایجاد یک اسکریپت برای ثبت نام مجدد یک میزبان و ایمن نگه داشتن رمز عبور مدیر)، می توانید استفاده کنید
از صفحه کلید ثبتنام قبلی این میزبان برای احراز هویت نسخه پشتیبان تهیه کرد. --keytab را ببینید
گزینه.
عواقب ثبت نام مجدد در ورودی میزبان:
1. گواهی میزبان جدید صادر می شود
2. گواهی میزبان قدیمی باطل می شود
3. کلیدهای SSH جدید تولید می شوند
4. ipaUniqueID حفظ شده است
OPTIONS
BASIC OPTIONS
--دامنه=دامنه
نام دامنه را روی DOMAIN قرار دهید. هنگامی که هیچ گزینه --server مشخص نشده است، نصب کننده
سعی خواهد کرد تمام سرورهای موجود را از طریق کشف خودکار رکورد DNS SRV کشف کند (نگاه کنید به
بخش کشف خودکار DNS برای جزئیات).
-- سرور=سرور
سرور IPA را برای اتصال به آن تنظیم کنید. ممکن است چندین بار برای اضافه کردن چند مورد مشخص شود
سرورها به مقدار ipa_server در sssd.conf یا krb5.conf. فقط مقدار اول است
هنگام استفاده با --no-sssd در نظر گرفته می شود. هنگامی که این گزینه استفاده می شود، DNS autodiscovery
برای Kerberos غیرفعال است و یک لیست ثابت از سرورهای KDC و Admin پیکربندی شده است.
-- قلمرو=REALM_NAME
نام قلمرو IPA را روی REALM_NAME تنظیم کنید. در شرایط عادی، این گزینه است
نیازی نیست زیرا نام قلمرو از سرور IPA بازیابی می شود.
--ثابت-اولیه
SSSD را برای استفاده از یک سرور ثابت به عنوان سرور اصلی IPA پیکربندی کنید. پیش فرض به است
از رکوردهای DNS SRV برای تعیین سرور اصلی مورد استفاده استفاده کنید و به آن برگردید
سروری که مشتری با آن ثبت نام کرده است. هنگامی که در ارتباط با ---server استفاده می شود، نه
مقدار _srv_ در گزینه ipa_server در sssd.conf تنظیم شده است.
-p, --مدیر
اصل kerberos مجاز برای استفاده برای پیوستن به قلمرو IPA.
-w PASSWORD, --کلمه عبور=PASSWORD
رمز عبور برای پیوستن یک ماشین به قلمرو IPA. رمز عبور انبوه را فرض می کند مگر اینکه
اصل نیز تعیین شده است.
-W برای پیوستن یک ماشین به قلمرو IPA، رمز عبور را درخواست کنید.
-k, --صفحه کلید
مسیر پشتیبانگیری از صفحه کلید میزبان از ثبتنام قبلی. حتی اگر به هاست بپیوندد
قبلا ثبت نام شده است
--مخمدیر
PAM را برای ایجاد دایرکتوری خانگی کاربران در صورت عدم وجود آن پیکربندی کنید.
-- نام میزبان
نام میزبان این ماشین (FQDN). اگر مشخص شود، نام میزبان تنظیم خواهد شد و
پیکربندی سیستم بهروزرسانی خواهد شد تا در راهاندازی مجدد ادامه یابد. به طور پیش فرض یک نام گره
نتیجه از اسم شما(2) استفاده می شود.
-- اجباری پیوستن
به میزبان بپیوندید حتی اگر قبلاً ثبت نام کرده باشد.
--ntp-سرور=NTP_SERVER
ntpd را برای استفاده از این سرور NTP پیکربندی کنید. این گزینه را می توان چندین بار استفاده کرد.
-N, --no-ntp
NTP را پیکربندی یا فعال نکنید.
--force-ntpd
علاوه بر ntpd، خدمات همگام سازی زمان و تاریخ را متوقف و غیرفعال کنید.
--nisdomain=NIS_DOMAIN
نام دامنه NIS را همانطور که مشخص شده است تنظیم کنید. به طور پیش فرض، این روی دامنه IPA تنظیم شده است
نام.
--بدون-نیزدامین
نام دامنه NIS را پیکربندی نکنید.
--ssh-trust-dns
کلاینت OpenSSH را برای اعتماد به رکوردهای DNS SSHFP پیکربندی کنید.
--no-ssh
کلاینت OpenSSH را پیکربندی نکنید.
--no-sshd
سرور OpenSSH را پیکربندی نکنید.
--no-sudo
SSSD را به عنوان منبع داده برای sudo پیکربندی نکنید.
--no-dns-sshfp
به طور خودکار رکوردهای DNS SSHFP ایجاد نکنید.
--noac برای تغییر پیکربندی nsswitch.conf و PAM از Authconfig استفاده نکنید.
-f, --زور
حتی در صورت بروز خطا، تنظیمات را اجباری کنید
-- kinit-تلاش ها=KINIT_ATTEMPTS
در صورت عدم پاسخگویی KDC (مثلاً هنگام ثبت نام چندین میزبان به طور همزمان در یک سنگین
محیط بارگذاری) درخواست بلیط میزبان Kerberos را تا تعداد کل تکرار کنید
of KINIT_ATTEMPTS بارها قبل از انصراف و لغو نصب مشتری. پیش فرض
تعداد تلاش ها 5 است. در صورت بروز مشکل، درخواست تکرار نمی شود
خود اعتبار میزبان (مثلا فرمت صفحه کلید اشتباه یا اصل نامعتبر) بنابراین
استفاده از این گزینه منجر به قفل شدن حساب نخواهد شد.
-d, - رفع اشکال
اطلاعات اشکال زدایی را در stdout چاپ کنید
-U, -- بی سرپرست
نصب بدون مراقبت از کاربر خواسته نخواهد شد.
--ca-cert-file=CA_FILE
سعی نکنید گواهی IPA CA را از طریق ابزارهای خودکار دریافت کنید، در عوض از آن استفاده کنید
گواهی CA به صورت محلی در in CA_FILE. CA_FILE باید مطلق باشد
مسیر فایل گواهی فرمت شده PEM. گواهی CA موجود در CA_FILE is
معتبر در نظر گرفته می شود و بدون بررسی برای دیدن اینکه آیا نصب می شود نصب می شود
برای دامنه IPA معتبر است.
--درخواست-گواهی
درخواست گواهی برای دستگاه گواهی در ذخیره می شود
/etc/ipa/nssdb با نام مستعار "میزبان IPA محلی".
--automount-location=موقعیت اطراف ما
با اجرا کردن automount را پیکربندی کنید ipa-client-automount(1) با موقعیت اطراف ما به عنوان خودرو
محل.
--configure-firefox
فایرفاکس را برای استفاده از اعتبار دامنه IPA پیکربندی کنید.
--firefox-dir=DIR
دایرکتوری نصب فایرفاکس را مشخص کنید. به عنوان مثال: '/usr/lib/firefox'
--آدرس آی پی=آدرس آی پی
استفاده کنید آدرس آی پی در رکورد DNS A/AAAA برای این میزبان. ممکن است چندین بار مشخص شود
برای افزودن چندین رکورد DNS.
--همه آدرس های IP
رکورد DNS A/AAAA برای هر آدرس IP در این میزبان ایجاد کنید.
SSSD OPTIONS
-- مجوز
SSSD را پیکربندی کنید تا همه دسترسی ها مجاز باشد. در غیر این صورت دستگاه توسط
کنترل های دسترسی مبتنی بر میزبان (HBAC) در سرور IPA.
--enable-dns-updates
این گزینه به SSSD می گوید که DNS را با آدرس IP این به طور خودکار به روز کند
مشتری می باشد.
--no-krb5-offline-passwords
SSSD را طوری پیکربندی کنید که رمز عبور کاربر را زمانی که سرور آفلاین است ذخیره نکند.
-S, --no-sssd
کلاینت را برای استفاده از SSSD برای احراز هویت پیکربندی نکنید، به جای آن از nss_ldap استفاده کنید.
--preserve-sssd
به طور پیش فرض غیرفعال است. هنگامی که فعال باشد، پیکربندی قدیمی SSSD را در صورتی که فعال نباشد حفظ می کند
امکان ادغام آن با یک مورد جدید به طور مؤثر، اگر ادغام به دلیل امکان پذیر نباشد
به خواننده SSSDConfig که با گزینه های پشتیبانی نشده مواجه می شود، ipa-client-install نخواهد شد
بیشتر اجرا کنید و ابتدا بخواهید پیکربندی SSSD را اصلاح کنید. وقتی این گزینه مشخص نشده باشد،
ipa-client-install از پیکربندی SSSD نسخه پشتیبان تهیه می کند و پیکربندی جدید ایجاد می کند. نسخه پشتیبان
در حین حذف بازیابی می شود.
غیرقابل نصب OPTIONS
-- حذف نصب
نرم افزار سرویس گیرنده IPA را حذف کرده و پیکربندی را به حالت قبل از IPA بازگردانید.
-U, -- بی سرپرست
حذف نصب بدون نظارت از کاربر خواسته نخواهد شد.
از ipa-client-install آنلاین با استفاده از خدمات onworks.net استفاده کنید
