Il s'agit de la commande ipa-client-install qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
ipa-client-install - Configurer un client IPA
SYNOPSIS
ipa-client-installer [OPTION] ...
DESCRIPTION
Configure une machine cliente pour utiliser IPA pour les services d'authentification et d'identité.
Par défaut, cela configure SSSD pour se connecter à un serveur IPA pour l'authentification et
autorisation. En option, on peut à la place configurer PAM et NSS (Name Switching Service)
pour travailler avec un serveur IPA sur Kerberos et LDAP.
Un utilisateur autorisé est requis pour joindre une machine cliente à IPA. Cela peut prendre la forme de
un principal Kerberos ou un mot de passe à usage unique associé à la machine.
Ce même outil est utilisé pour déconfigurer IPA et tente de remettre la machine dans son
état antérieur. Une partie de ce processus consiste à désinscrire l'hôte du serveur IPA.
La désinscription consiste à désactiver la clé principale sur le serveur IPA afin qu'elle puisse être
réinscrit. Le principal de la machine dans /etc/krb5.keytab (host/ @REALM) est utilisé pour
s'authentifier auprès du serveur IPA pour se désinscrire. Si ce principal n'existe pas alors
la désinscription échouera et un administrateur devra désactiver le principal de l'hôte (ipa
hôte-désactiver ).
Hypothèses
Le script ipa-client-install suppose que la machine a déjà généré des clés SSH. Ce
ne générera pas de clés SSH de son propre chef. Si les clés SSH ne sont pas présentes (par exemple lorsque
exécuter l'ipa-client-install dans un kickstart, avant d'exécuter sshd), ils ne seront pas
téléchargé sur l'entrée hôte du client sur le serveur.
Hostname Exigences
Le client doit utiliser un statique nom d'hôte. Si le nom d'hôte de la machine change, par exemple en raison d'un
attribution dynamique du nom d'hôte par un serveur DHCP, l'inscription du client sur le serveur IPA est interrompue et
l'utilisateur ne serait alors pas en mesure d'effectuer l'authentification Kerberos.
L'option --hostname peut être utilisée pour spécifier un nom d'hôte statique qui persiste au redémarrage.
DNS Découverte automatique
Le programme d'installation du client par défaut essaie de rechercher les enregistrements DNS SRV _ldap._tcp.DOMAIN pour tous
domaines qui sont parents de son nom d'hôte. Par exemple, si une machine cliente a un nom d'hôte
'client1.lab.example.com', le programme d'installation essaiera de récupérer un nom d'hôte de serveur IPA à partir de
_ldap._tcp.lab.example.com, _ldap._tcp.example.com et _ldap._tcp.com enregistrements DNS SRV,
respectivement. Le domaine découvert est ensuite utilisé pour configurer les composants clients (par exemple SSSD
et Kerberos 5) sur la machine.
Lorsque le nom d'hôte de la machine cliente n'est pas dans un sous-domaine d'un serveur IPA, son domaine peut être
passé avec l'option --domain. Dans ce cas, les composants SSSD et Kerberos ont le
domaine défini dans les fichiers de configuration et l'utilisera pour découvrir automatiquement les serveurs IPA.
La machine cliente peut également être configurée sans aucune découverte automatique DNS. Lorsque les deux
Les options --server et --domain sont utilisées, le programme d'installation du client utilisera le serveur spécifié et
domaine directement. L'option --server accepte plusieurs noms d'hôte de serveur qui peuvent être utilisés pour
mécanisme de basculement. Sans découverte automatique DNS, Kerberos est configuré avec une liste fixe de
KDC et serveurs d'administration. SSSD est toujours configuré pour essayer de lire le SRV du domaine
enregistrements ou la liste fixe de serveurs spécifiée. Lorsque l'option --fixed-primary est spécifiée,
SSSD n'essaiera pas du tout de lire l'enregistrement DNS SRV (voir SSD-IPA(5) pour les détails).
La Basculement Mécanisme
Lorsque certains des serveurs IPA ne sont pas disponibles, les composants clients peuvent se replier sur
autre réplique IPA et préservant ainsi un service continu. Lorsque la machine cliente est
configuré pour utiliser la découverte automatique des enregistrements DNS SRV (aucun serveur fixe n'a été transmis au
programme d'installation), les composants clients effectuent le repli automatiquement, en fonction du serveur IPA
les noms d'hôtes et les priorités découverts à partir des enregistrements DNS SRV.
Si la découverte automatique DNS n'est pas disponible, les clients doivent être configurés au moins avec un
liste des serveurs IPA utilisables en cas de panne. Lorsqu'un seul serveur IPA est
configuré, les services clients IPA ne seront pas disponibles en cas de défaillance de l'IPA
serveur. Veuillez noter qu'en cas de liste fixe de serveurs IPA, les listes de serveurs fixes
dans les composants client doivent être mis à jour lorsqu'un nouveau serveur IPA est inscrit ou un IPA actuel
le serveur est mis hors service.
Coexistence Avec Autre Annuaire Serveurs
D'autres serveurs d'annuaire déployés sur le réseau (par exemple Microsoft Active Directory) peuvent utiliser
les mêmes enregistrements DNS SRV pour désigner les hôtes avec un service d'annuaire (_ldap._tcp.DOMAIN).
De tels enregistrements DNS SRV peuvent interrompre l'installation si le programme d'installation découvre ces DNS
avant de trouver les enregistrements DNS SRV pointant vers les serveurs IPA. L'installateur aurait alors
ne parvenez pas à découvrir le serveur IPA et quittez avec une erreur.
Afin d'éviter les problèmes de découverte automatique DNS susmentionnés, le nom d'hôte de la machine cliente
doit être dans un domaine avec des enregistrements DNS SRV correctement définis pointant vers des serveurs IPA,
soit manuellement avec un serveur DNS personnalisé, soit avec la solution intégrée DNS IPA. Une seconde
l'approche serait d'éviter la découverte automatique et de configurer le programme d'installation pour utiliser une liste fixe
des noms d'hôte du serveur IPA à l'aide de l'option --server et avec une option --fixed-primary
désactivation de la découverte automatique des enregistrements DNS SRV dans SSSD.
Réinscription of le hôte
Exigences :
1. L'hôte n'a pas été désinscrit (la commande ipa-client-install --uninstall n'a pas été
Cours).
2. L'entrée d'hôte n'a pas été désactivée via la commande ipa host-disable.
Si tel a été le cas, l'hôte peut être réinscrit en utilisant les méthodes habituelles.
Il existe deux méthodes pour authentifier une réinscription :
1. Vous pouvez utiliser l'option --force-join avec la commande ipa-client-install. Cela authentifie le
réinscription à l'aide des informations d'identification de l'administrateur fournies via l'option -w/--password.
2. Si fournir le mot de passe de l'administrateur via la ligne de commande n'est pas une option (par exemple, vous voulez
pour créer un script pour réinscrire un hôte et garder le mot de passe de l'administrateur sécurisé), vous pouvez utiliser
keytab sauvegardé à partir de l'inscription précédente de cet hôte pour s'authentifier. Voir --keytab
option.
Conséquences de la réinscription sur l'entrée hôte :
1. Un nouveau certificat d'hôte est émis
2. L'ancien certificat d'hôte est révoqué
3. De nouvelles clés SSH sont générées
4. ipaUniqueID est conservé
OPTIONS
BASIQUE OPTIONS
--domaine=DOMAINE
Définissez le nom de domaine sur DOMAIN. Lorsqu'aucune option --server n'est spécifiée, le programme d'installation
essaiera de découvrir tous les serveurs disponibles via la découverte automatique des enregistrements DNS SRV (voir
section Découverte automatique DNS pour plus de détails).
--serveur=SERVEUR
Définissez le serveur IPA auquel vous connecter. Peut être spécifié plusieurs fois pour ajouter plusieurs
serveurs à la valeur ipa_server dans sssd.conf ou krb5.conf. Seule la première valeur est
considéré lorsqu'il est utilisé avec --no-sssd. Lorsque cette option est utilisée, la découverte automatique DNS
pour Kerberos est désactivé et une liste fixe de serveurs KDC et Admin est configurée.
--Royaume=REALM_NAME
Définissez le nom de domaine IPA sur REALM_NAME. Dans des circonstances normales, cette option est
pas nécessaire car le nom de domaine est récupéré du serveur IPA.
--fixe-primaire
Configurez SSSD pour utiliser un serveur fixe comme serveur IPA principal. La valeur par défaut est de
utiliser les enregistrements DNS SRV pour déterminer le serveur principal à utiliser et revenir au
serveur avec lequel le client est inscrit. Lorsqu'il est utilisé en conjonction avec --server alors non
La valeur _srv_ est définie dans l'option ipa_server dans sssd.conf.
-p, --directeur
Principal Kerberos autorisé à utiliser pour rejoindre le domaine IPA.
-w MOT DE PASSE, --le mot de passe=MOT DE PASSE
Mot de passe pour joindre une machine au domaine IPA. Suppose un mot de passe en bloc à moins que
principal est également défini.
-W Demander le mot de passe pour joindre une machine au domaine IPA.
-k, --keytab
Chemin d'accès au keytab d'hôte sauvegardé à partir de l'inscription précédente. Rejoint l'hôte même s'il
est déjà inscrit.
--mkhomedir
Configurez PAM pour créer un répertoire personnel d'utilisateurs s'il n'existe pas.
--nom d'hôte
Le nom d'hôte de cette machine (FQDN). S'il est spécifié, le nom d'hôte sera défini et le
la configuration du système sera mise à jour pour persister au redémarrage. Par défaut un nom de nœud
résultat de ton nom(2) est utilisé.
--force-joindre
Rejoignez l'hôte même s'il est déjà inscrit.
--ntp-serveur=NTP_SERVEUR
Configurez ntpd pour utiliser ce serveur NTP. Cette option peut être utilisée plusieurs fois.
-N, --non-ntp
Ne configurez ni n'activez NTP.
--force-ntpd
Arrêtez et désactivez tous les services de synchronisation de l'heure et de la date en plus de ntpd.
--nisdomaine=NIS_DOMAINE
Définissez le nom de domaine NIS comme spécifié. Par défaut, il s'agit du domaine IPA
nom.
--no-nisdomain
Ne configurez pas le nom de domaine NIS.
--ssh-trust-dns
Configurez le client OpenSSH pour faire confiance aux enregistrements DNS SSHFP.
--non-ssh
Ne configurez pas le client OpenSSH.
--pas de sshd
Ne configurez pas le serveur OpenSSH.
--pas de sudo
Ne configurez pas SSSD comme source de données pour sudo.
--no-dns-sshfp
Ne créez pas automatiquement des enregistrements DNS SSHFP.
--noac N'utilisez pas Authconfig pour modifier la configuration nsswitch.conf et PAM.
-f, --Obliger
Forcer les paramètres même si des erreurs se produisent
--kinit-tentatives=KINIT_ATTENTES
En cas de KDC qui ne répond pas (par exemple lors de l'inscription de plusieurs hôtes à la fois dans un
charger l'environnement) répéter la demande de ticket Kerberos hôte jusqu'à un nombre total
of KINIT_ATTENTES fois avant d'abandonner et d'abandonner l'installation du client. Défaut
le nombre de tentatives est de 5. La demande n'est pas répétée lorsqu'il y a un problème avec
les informations d'identification de l'hôte elles-mêmes (par exemple, un format de keytab incorrect ou un principal invalide) afin
l'utilisation de cette option n'entraînera pas de verrouillage de compte.
-d, --déboguer
Imprimer les informations de débogage sur stdout
-U, --sans surveillance
Installation sans surveillance. L'utilisateur ne sera pas invité.
--ca-cert-fichier=CA_FILE
N'essayez pas d'acquérir le certificat IPA CA par des moyens automatisés, utilisez plutôt
le certificat CA trouvé localement dans dans CA_FILEL’ CA_FILE doit être un absolu
chemin d'accès à un fichier de certificat au format PEM. Le certificat CA trouvé dans CA_FILE is
considéré comme faisant autorité et sera installé sans vérifier s'il est
valable pour le domaine IPA.
--demande-cert
Demander un certificat pour la machine. Le certificat sera stocké dans
/etc/ipa/nssdb sous le pseudo "Local IPA host".
--automount-emplacement=EMPLACEMENT
Configurer le montage automatique en exécutant ipa-client-montage automatique(1) avec EMPLACEMENT comme montage automatique
emplacement.
--configure-firefox
Configurez Firefox pour utiliser les informations d'identification du domaine IPA.
--rep-firefox=DIR
Spécifiez le répertoire d'installation de Firefox. Par exemple : '/usr/lib/firefox'
--adresse IP=ADRESSE IP
Utilisez ADRESSE IP dans l'enregistrement DNS A/AAAA pour cet hôte. Peut être spécifié plusieurs fois
pour ajouter plusieurs enregistrements DNS.
--all-ip-address
Créez un enregistrement DNS A/AAAA pour chaque adresse IP sur cet hôte.
SSSD OPTIONS
--permis
Configurez SSSD pour autoriser tous les accès. Sinon, la machine sera contrôlée par
les contrôles d'accès basés sur l'hôte (HBAC) sur le serveur IPA.
--enable-dns-mises à jour
Cette option indique à SSSD de mettre à jour automatiquement le DNS avec l'adresse IP de ce
client.
--no-krb5-hors-ligne-mots de passe
Configurez SSSD pour ne pas stocker le mot de passe utilisateur lorsque le serveur est hors ligne.
-S, --non-sssd
Ne configurez pas le client pour utiliser SSSD pour l'authentification, utilisez plutôt nss_ldap.
--preserve-sssd
Désactivé par défaut. Lorsqu'il est activé, conserve l'ancienne configuration SSSD si ce n'est pas le cas
possible de le fusionner avec un nouveau. En effet, si la fusion n'est pas possible en raison
au lecteur SSSDConfig rencontrant des options non prises en charge, ipa-client-installer ne sera pas
continuez et demandez d'abord de corriger la configuration SSSD. Lorsque cette option n'est pas spécifiée,
ipa-client-installer sauvegardera la configuration SSSD et en créera une nouvelle. La version de sauvegarde
sera restauré lors de la désinstallation.
DÉSINSTALLER OPTIONS
--désinstaller
Supprimez le logiciel client IPA et restaurez la configuration à l'état pré-IPA.
-U, --sans surveillance
Désinstallation sans surveillance. L'utilisateur ne sera pas invité.
Utilisez ipa-client-install en ligne à l'aide des services onworks.net
