Il s'agit de la commande ipa-adtrust-install qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ipa-adtrust-install - Préparer un serveur IPA pour pouvoir établir des relations de confiance
avec des domaines AD
SYNOPSIS
ipa-adtrust-installer [OPTION] ...
DESCRIPTION
Ajoute tous les objets et la configuration nécessaires pour permettre à un serveur IPA de créer une confiance pour
un domaine Active Directory. Cela nécessite que le serveur IPA soit déjà installé et
configuré.
Veuillez noter que vous ne pourrez pas établir de confiance dans un domaine Active Directory
à moins que le nom de domaine du serveur IPA ne corresponde à son nom de domaine.
ipa-adtrust-install peut être exécuté plusieurs fois pour réinstaller les objets supprimés ou cassés
fichiers de configuration. Par exemple, une nouvelle configuration samba (fichier smb.conf et base de registre
la configuration peut être créée. D'autres éléments comme par exemple la configuration de la gamme locale
ne peut pas être modifié en exécutant ipa-adtrust-install une deuxième fois car avec des modifications ici
d'autres objets peuvent également être affectés.
Pare-feu Exigences
En plus des exigences de pare-feu du serveur IPA, ipa-adtrust-install requiert le
les ports suivants doivent être ouverts pour permettre à IPA et Active Directory de communiquer ensemble :
TCP Ports
· EPMAP 135/tcp
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp à 1300/tcp pour permettre à EPMAP sur le port 135/tcp de créer un écouteur TCP
sur la base d'une demande entrante.
UDP Ports
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· LDAP 389/udp
OPTIONS
-d, --déboguer
Activer la journalisation de débogage lorsqu'une sortie plus détaillée est nécessaire
--netbios-nom=NETBIOS_NAME
Le nom NetBIOS du domaine IPA. S'il n'est pas fourni, il est déterminé en fonction
sur le composant principal du nom de domaine DNS. Exécuter ipa-adtrust-install pour un
la deuxième fois avec un nom NetBIOS différent changera le nom. Veuillez noter que
la modification du nom NetBIOS peut rompre les relations de confiance existantes avec d'autres
domaines.
--no-msdcs
Ne créez pas d'enregistrements de service DNS pour Windows dans le serveur DNS géré. Étant donné que ceux
Les enregistrements de service DNS sont le seul moyen de découvrir les contrôleurs de domaine d'autres
domaines, ils doivent être ajoutés manuellement à un autre serveur DNS pour permettre la confiance
les relations fonctionnent correctement. Tous les enregistrements de service nécessaires sont répertoriés lorsque
ipa-adtrust-install se termine et --no-msdcs a été donné ou aucun service DNS IPA
est configuré. En règle générale, les enregistrements de service pour les noms de service suivants sont nécessaires
pour le domaine IPA qui doit pointer vers tous les serveurs IPA :
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sid
Ajoutez des SID aux utilisateurs et groupes existants lors des dernières étapes de la
ipa-adtrust-install s'exécute. S'il y a beaucoup d'utilisateurs et de groupes existants et quelques
réplicas dans l'environnement, cette opération peut entraîner un trafic de réplication élevé
et une dégradation des performances de tous les serveurs IPA de l'environnement. Pour éviter cela
la génération SID peut être exécutée après l'exécution et la planification d'ipa-adtrust-install
indépendamment. Pour démarrer cette tâche, vous devez charger une version modifiée de ipa-sidgen-
task-run.ldif avec la commande ldapmodify info le serveur d'annuaire.
--ajouter des agents
Ajouter des maîtres IPA à la liste qui permet de fournir des informations sur les utilisateurs de
forêts de confiance. À partir de FreeIPA 4.2, un maître IPA standard peut fournir cette
informations aux clients SSSD. Les maîtres IPA ne sont pas ajoutés automatiquement à la liste car
le redémarrage du service LDAP sur chacun d'eux est requis. L'hôte où
ipa-adtrust-install est en cours d'exécution est ajouté automatiquement.
Notez que les maîtres IPA où ipa-adtrust-install n'a pas été exécuté peuvent fournir des informations
sur les utilisateurs des forêts approuvées uniquement s'ils sont activés via ipa-adtrust-install
exécuter sur n'importe quel autre maître IPA. Au moins la version 1.13 de SSSD sur le maître IPA est requise
pour pouvoir agir en tant qu'agent de confiance.
-U, --sans surveillance
Une installation sans surveillance qui n'invitera jamais l'utilisateur à saisir
-U, --rid-base=RID_BASE
Première valeur RID du domaine local. Le premier ID Posix du domaine local sera
affecté à ce RID, le second au RID+1 etc. Voir l'aide en ligne de l'idrange
CLI pour plus de détails.
-U, --secondaire-rid-base=SECONDARY_RID_BASE
Valeur de départ de la plage RID secondaire, qui n'est utilisée que dans le cas où un utilisateur et un
le groupe partage numériquement le même identifiant Posix. Voir l'aide en ligne de la CLI idrange
pour en savoir plus.
-A, --admin-nom=ADMIN_NAME
Le nom de l'utilisateur avec des privilèges administratifs pour ce serveur IPA. Valeurs par défaut
à « admin ».
-a, --mot de passe administrateur=Mot de passe
Le mot de passe de l'utilisateur avec des privilèges administratifs pour ce serveur IPA. Volonté
être demandé de manière interactive si -U n'est pas spécifié.
Les informations d'identification de l'utilisateur admin seront utilisées pour obtenir un ticket Kerberos avant
configuration de la prise en charge des approbations inter-domaines et, par la suite, pour s'assurer que le ticket contient
Informations MS-PAC requises pour réellement ajouter une approbation avec le domaine Active Directory via 'ipa
commande trust-add --type=ad'.
--enable-compat
Permet la prise en charge des utilisateurs de domaines de confiance pour les anciens clients via Schema
Plugin de compatibilité. SSSD prend en charge les domaines de confiance de manière native à partir de la version
1.9. Pour les plates-formes qui manquent de SSSD ou exécutent une ancienne version de SSSD, il faut l'utiliser
option. Lorsqu'il est activé, le package slapi-nis doit être installé et
schema-compat-plugin sera configuré pour fournir une recherche d'utilisateurs et de groupes à partir de
domaines de confiance via SSSD sur le serveur IPA. Ces utilisateurs et groupes seront disponibles
sous cn=utilisateurs,cn=compat,$SUFFIXE et cn=groupes,cn=compat,$SUFFIXE des arbres. SSSD sera
normaliser les noms d'utilisateurs et de groupes en minuscules.
En plus de fournir ces utilisateurs et groupes via l'arborescence de compatibilité, cette
l'option permet l'authentification sur LDAP pour les utilisateurs de domaine de confiance avec DN sous
arbre de compatibilité, c'est-à-dire en utilisant bind DN
identifiant=[email protected],cn=utilisateurs,cn=compat,$SUFFIXE.
L'authentification LDAP effectuée par l'arborescence de compatibilité se fait via PAM'authentification système'
service. Ce service existe par défaut sur les systèmes Linux et est fourni par pam
package en tant que /etc/pam.d/system-auth. Si votre installation IPA n'a pas de HBAC par défaut
la règle 'allow_all' est activée, puis assurez-vous de définir dans le service spécial IPA appelé
'authentification système' et créez une règle HBAC pour autoriser l'accès à n'importe qui à cette règle sur IPA
maîtrise.
Comme 'authentification système' Le service PAM n'est utilisé directement par aucune autre application, il est
sûr de l'utiliser pour les utilisateurs de domaine de confiance via le chemin de compatibilité.
EXIT STATUT
0 si l'installation a réussi
1 si une erreur s'est produite
Utilisez ipa-adtrust-install en ligne à l'aide des services onworks.net
