आईपीए-क्लाइंट-इंस्टॉल - क्लाउड में ऑनलाइन

कार्यक्रम:

नाम

आईपीए-क्लाइंट-इंस्टॉल - एक आईपीए क्लाइंट कॉन्फ़िगर करें

SYNOPSIS

आईपीए-क्लाइंट-इंस्टॉल [विकल्प] ...

वर्णन

प्रमाणीकरण और पहचान सेवाओं के लिए आईपीए का उपयोग करने के लिए क्लाइंट मशीन को कॉन्फ़िगर करता है।

डिफ़ॉल्ट रूप से यह एसएसएसडी को प्रमाणीकरण के लिए आईपीए सर्वर से कनेक्ट करने के लिए कॉन्फ़िगर करता है
प्राधिकरण. वैकल्पिक रूप से कोई इसके बजाय PAM और NSS (नाम स्विचिंग सेवा) कॉन्फ़िगर कर सकता है
कर्बेरोस और एलडीएपी पर आईपीए सर्वर के साथ काम करने के लिए।

क्लाइंट मशीन को आईपीए से जोड़ने के लिए एक अधिकृत उपयोगकर्ता की आवश्यकता होती है। इसका रूप ले सकता है
केर्बेरोस प्रिंसिपल या मशीन से जुड़ा वन-टाइम पासवर्ड।

इसी टूल का उपयोग आईपीए को अनकॉन्फ़िगर करने और मशीन को उसकी स्थिति में वापस लाने का प्रयास करने के लिए किया जाता है
पिछली स्थिति. इस प्रक्रिया का एक हिस्सा आईपीए सर्वर से होस्ट का नामांकन रद्द करना है।
नामांकन रद्द करने में आईपीए सर्वर पर मुख्य कुंजी को अक्षम करना शामिल है ताकि यह हो सके
पुनः नामांकित. /etc/krb5.keytab (होस्ट/) में मशीन प्रिंसिपल @REALM) का उपयोग किया जाता है
स्वयं का नामांकन रद्द करने के लिए आईपीए सर्वर को प्रमाणित करें। यदि यह प्रिंसिपल मौजूद नहीं है तो
नामांकन रद्द करना विफल हो जाएगा और व्यवस्थापक को होस्ट प्रिंसिपल (आईपीए) को अक्षम करना होगा
होस्ट-अक्षम ).

मान्यताओं
आईपीए-क्लाइंट-इंस्टॉल स्क्रिप्ट मानती है कि मशीन ने पहले ही एसएसएच कुंजी तैयार कर ली है। यह
अपनी मर्जी से SSH कुंजी उत्पन्न नहीं करेगा। यदि SSH कुंजियाँ मौजूद नहीं हैं (जैसे कि कब)।
किकस्टार्ट में आईपीए-क्लाइंट-इंस्टॉल चलाना, एसएसएचडी चलाने से पहले), वे नहीं होंगे
सर्वर पर क्लाइंट होस्ट प्रविष्टि अपलोड की गई।

मेजबाननाम आवश्यकताएँ
ग्राहक को a का उपयोग करना होगा स्थिर मेजबाननाम. यदि उदाहरण के लिए मशीन होस्टनाम बदल जाता है
डीएचसीपी सर्वर द्वारा डायनामिक होस्टनाम असाइनमेंट, आईपीए सर्वर में क्लाइंट नामांकन टूट जाता है और
तब उपयोगकर्ता Kerberos प्रमाणीकरण करने में सक्षम नहीं होगा।

--होस्टनाम विकल्प का उपयोग एक स्थिर होस्टनाम निर्दिष्ट करने के लिए किया जा सकता है जो रिबूट पर बना रहता है।

डीएनएस स्वतः खोज
क्लाइंट इंस्टॉलर डिफ़ॉल्ट रूप से सभी के लिए _ldap._tcp.DOMAIN DNS SRV रिकॉर्ड खोजने का प्रयास करता है
वे डोमेन जो इसके होस्टनाम के मूल हैं। उदाहरण के लिए, यदि किसी क्लाइंट मशीन में होस्टनाम है
'client1.lab.example.com', इंस्टॉलर एक आईपीए सर्वर होस्टनाम पुनर्प्राप्त करने का प्रयास करेगा
_ldap._tcp.lab.example.com, _ldap._tcp.example.com और _ldap._tcp.com DNS SRV रिकॉर्ड,
क्रमश। फिर खोजे गए डोमेन का उपयोग क्लाइंट घटकों (उदाहरण के लिए एसएसएसडी) को कॉन्फ़िगर करने के लिए किया जाता है
और मशीन पर Kerberos 5 कॉन्फ़िगरेशन)।

जब क्लाइंट मशीन होस्टनाम आईपीए सर्वर के उपडोमेन में नहीं है, तो उसका डोमेन हो सकता है
-डोमेन विकल्प के साथ उत्तीर्ण। उस स्थिति में, SSSD और Kerberos दोनों घटकों में है
डोमेन को कॉन्फ़िगरेशन फ़ाइलों में सेट किया गया है और इसका उपयोग आईपीए सर्वर को स्वचालित रूप से खोजने के लिए किया जाएगा।

क्लाइंट मशीन को DNS ऑटोडिस्कवरी के बिना भी कॉन्फ़िगर किया जा सकता है। कब दोनों
--सर्वर और --डोमेन विकल्प का उपयोग किया जाता है, क्लाइंट इंस्टॉलर निर्दिष्ट सर्वर का उपयोग करेगा और
सीधे डोमेन. --सर्वर विकल्प एकाधिक सर्वर होस्टनाम स्वीकार करता है जिसका उपयोग किया जा सकता है
विफलता तंत्र. DNS ऑटोडिस्कवरी के बिना, Kerberos को एक निश्चित सूची के साथ कॉन्फ़िगर किया गया है
केडीसी और एडमिन सर्वर। एसएसएसडी को अभी भी डोमेन के एसआरवी को पढ़ने का प्रयास करने के लिए कॉन्फ़िगर किया गया है
रिकॉर्ड या सर्वर की निर्दिष्ट निश्चित सूची। जब --fixed-प्राथमिक विकल्प निर्दिष्ट किया जाता है,
एसएसएसडी डीएनएस एसआरवी रिकॉर्ड को पढ़ने का बिल्कुल भी प्रयास नहीं करेगा (देखें)। एसएसएसडी-आईपीए(5) विवरण के लिए)।

RSI विफलता तंत्र
जब कुछ आईपीए सर्वर उपलब्ध नहीं होते हैं, तो क्लाइंट घटक फ़ॉलबैक करने में सक्षम होते हैं
अन्य आईपीए प्रतिकृति और इस प्रकार एक निरंतर सेवा को संरक्षित करना। जब क्लाइंट मशीन है
DNS SRV रिकॉर्ड ऑटोडिस्कवरी का उपयोग करने के लिए कॉन्फ़िगर किया गया (कोई निश्चित सर्वर पास नहीं किया गया था
इंस्टॉलर), क्लाइंट घटक आईपीए सर्वर के आधार पर स्वचालित रूप से फ़ॉलबैक करते हैं
DNS SRV रिकॉर्ड से होस्टनाम और प्राथमिकताएँ खोजी गईं।

यदि DNS ऑटोडिस्कवरी उपलब्ध नहीं है, तो क्लाइंट को कम से कम एक निश्चित के साथ कॉन्फ़िगर किया जाना चाहिए
आईपीए सर्वरों की सूची जिनका उपयोग विफलता की स्थिति में किया जा सकता है। जब केवल एक IPA सर्वर हो
कॉन्फ़िगर किया गया, आईपीए की विफलता की स्थिति में आईपीए क्लाइंट सेवाएँ उपलब्ध नहीं होंगी
सर्वर. कृपया ध्यान दें, आईपीए सर्वरों की एक निश्चित सूची के मामले में, निश्चित सर्वर सूचियाँ
जब कोई नया आईपीए सर्वर या वर्तमान आईपीए नामांकित होता है तो क्लाइंट घटकों को अद्यतन करने की आवश्यकता होती है
सर्वर निष्क्रिय हो गया है.

सह - अस्तित्व - अन्य निर्देशिका सर्वर
नेटवर्क में तैनात अन्य निर्देशिका सर्वर (उदाहरण के लिए Microsoft सक्रिय निर्देशिका) का उपयोग कर सकते हैं
निर्देशिका सेवा (_ldap._tcp.DOMAIN) के साथ होस्ट को दर्शाने के लिए वही DNS SRV रिकॉर्ड करता है।
यदि इंस्टॉलर को इन DNS का पता चलता है तो ऐसे DNS SRV रिकॉर्ड इंस्टॉलेशन को तोड़ सकते हैं
आईपीए सर्वर की ओर इशारा करने वाले डीएनएस एसआरवी रिकॉर्ड ढूंढने से पहले रिकॉर्ड। तब इंस्टॉलर ऐसा करेगा
आईपीए सर्वर को खोजने में विफल और त्रुटि के साथ बाहर निकलें।

उपरोक्त DNS ऑटोडिस्कवरी समस्याओं से बचने के लिए, क्लाइंट मशीन होस्टनाम
आईपीए सर्वर की ओर इंगित करने वाले उचित रूप से परिभाषित DNS SRV रिकॉर्ड वाले डोमेन में होना चाहिए,
या तो मैन्युअल रूप से कस्टम DNS सर्वर के साथ या IPA DNS एकीकृत समाधान के साथ। एक दूसरा
तरीका यह होगा कि ऑटोडिस्कवरी से बचा जाए और इंस्टॉलर को एक निश्चित सूची का उपयोग करने के लिए कॉन्फ़िगर किया जाए
आईपीए सर्वर होस्टनाम --सर्वर विकल्प का उपयोग करके और --फिक्स्ड-प्राइमरी विकल्प के साथ
एसएसएसडी में डीएनएस एसआरवी रिकॉर्ड ऑटोडिस्कवरी को अक्षम करना।

नामांकन पुनः of la मेजबान
आवश्यकताएँ:

1. होस्ट को अन-नामांकित नहीं किया गया है (ipa-client-install --uninstall कमांड नहीं किया गया है)
Daud)।
2. आईपीए होस्ट-डिसेबल कमांड के माध्यम से होस्ट प्रविष्टि को अक्षम नहीं किया गया है।

यदि ऐसा मामला रहा है, तो सामान्य तरीकों का उपयोग करके होस्ट को फिर से नामांकित किया जा सकता है।

पुनः नामांकन को प्रमाणित करने की दो विधियाँ हैं:

1. आप आईपीए-क्लाइंट-इंस्टॉल कमांड के साथ --force-join विकल्प का उपयोग कर सकते हैं। यह प्रमाणित करता है
-w/--पासवर्ड विकल्प के माध्यम से प्रदान किए गए व्यवस्थापक के क्रेडेंशियल का उपयोग करके पुनः नामांकन।
2. यदि कमांड लाइन के माध्यम से एडमिन का पासवर्ड प्रदान करना कोई विकल्प नहीं है (उदाहरण के लिए आप चाहते हैं)।
किसी होस्ट को फिर से नामांकित करने और एडमिन के पासवर्ड को सुरक्षित रखने के लिए एक स्क्रिप्ट बनाने के लिए), आप इसका उपयोग कर सकते हैं
प्रमाणित करने के लिए इस होस्ट के पिछले नामांकन से कीटैब का बैकअप लिया गया। देखें--कीटैब
विकल्प.

मेज़बान प्रविष्टि पर पुनः नामांकन के परिणाम:

1. एक नया होस्ट प्रमाणपत्र जारी किया जाता है
2. पुराना होस्ट प्रमाणपत्र निरस्त कर दिया गया है
3. नई SSH कुंजियाँ उत्पन्न होती हैं
4. ipaUniqueID संरक्षित है

विकल्प

बुनियादी विकल्प
--कार्यक्षेत्र=डोमेन
डोमेन नाम को DOMAIN पर सेट करें. जब कोई --server विकल्प निर्दिष्ट नहीं किया जाता है, तो इंस्टॉलर
DNS SRV रिकॉर्ड ऑटोडिस्कवरी के माध्यम से सभी उपलब्ध सर्वरों को खोजने का प्रयास करेगा (देखें)।
विवरण के लिए डीएनएस ऑटोडिस्कवरी अनुभाग)।

--सर्वर=सर्वर
कनेक्ट करने के लिए आईपीए सर्वर सेट करें। एकाधिक जोड़ने के लिए कई बार निर्दिष्ट किया जा सकता है
sssd.conf या krb5.conf में ipa_server मान के लिए सर्वर। केवल पहला मान है
--no-sssd के साथ प्रयोग करने पर विचार किया जाता है। जब इस विकल्प का उपयोग किया जाता है, तो DNS स्वतः खोज
केर्बरोस के लिए अक्षम है और केडीसी और एडमिन सर्वर की एक निश्चित सूची कॉन्फ़िगर की गई है।

--क्षेत्र=REALM_NAME
IPA क्षेत्र का नाम REALM_NAME पर सेट करें. सामान्य परिस्थितियों में यह विकल्प है
इसकी आवश्यकता नहीं है क्योंकि क्षेत्र का नाम आईपीए सर्वर से पुनर्प्राप्त किया गया है।

--निश्चित-प्राथमिक
प्राथमिक आईपीए सर्वर के रूप में एक निश्चित सर्वर का उपयोग करने के लिए एसएसएसडी को कॉन्फ़िगर करें। डिफ़ॉल्ट है
प्राथमिक सर्वर का उपयोग करने और वापस आने का निर्धारण करने के लिए DNS SRV रिकॉर्ड का उपयोग करें
वह सर्वर जिसके साथ क्लाइंट नामांकित है। जब --सर्वर के साथ संयोजन में उपयोग किया जाता है तो नहीं
_srv_ मान sssd.conf में ipa_server विकल्प में सेट है।

-p, --प्रधान
आईपीए दायरे में शामिल होने के लिए उपयोग करने के लिए अधिकृत केर्बरोस प्रिंसिपल।

-w पासवर्ड, --पासवर्ड=पासवर्ड
किसी मशीन को आईपीए क्षेत्र से जोड़ने के लिए पासवर्ड। जब तक कि बल्क पासवर्ड न मान लिया जाए
प्रिंसिपल भी सेट है.

-W किसी मशीन को आईपीए क्षेत्र से जोड़ने के लिए पासवर्ड के लिए संकेत दें।

-k, --कीटैब
पिछले नामांकन से समर्थित होस्ट कीटैब का पथ। भले ही वह मेज़बान से जुड़ जाता है
पहले से ही नामांकित है.

--मखोमेदिरि
यदि यह मौजूद नहीं है तो उपयोगकर्ता होम निर्देशिका बनाने के लिए PAM कॉन्फ़िगर करें।

--होस्टनाम
इस मशीन का होस्टनाम (FQDN)। यदि निर्दिष्ट किया गया है, तो होस्टनाम सेट किया जाएगा और
रिबूट पर बने रहने के लिए सिस्टम कॉन्फ़िगरेशन को अपडेट किया जाएगा। डिफ़ॉल्ट रूप से एक नोडनाम
से परिणाम आपका नाम(2) का प्रयोग किया जाता है।

--बल-जुड़ना
मेज़बान से जुड़ें, भले ही वह पहले से ही नामांकित हो।

--ntp-सर्वर=एनटीपी_सर्वर
इस एनटीपी सर्वर का उपयोग करने के लिए एनटीपीडी को कॉन्फ़िगर करें। इस विकल्प का उपयोग कई बार किया जा सकता है.

-N, --नो-एनटीपी
एनटीपी को कॉन्फ़िगर या सक्षम न करें।

--बल-एनटीपीडी
एनटीपीडी के अलावा किसी भी समय और दिनांक सिंक्रनाइज़ेशन सेवाओं को रोकें और अक्षम करें।

--nisdomain=NIS_DOMAIN
निर्दिष्ट अनुसार एनआईएस डोमेन नाम सेट करें। डिफ़ॉल्ट रूप से, यह IPA डोमेन पर सेट है
नाम.

--नो-निसडोमेन
NIS डोमेन नाम कॉन्फ़िगर न करें.

--ssh-ट्रस्ट-डीएनएस
DNS SSHFP रिकॉर्ड पर भरोसा करने के लिए OpenSSH क्लाइंट को कॉन्फ़िगर करें।

--नहीं-ssh
OpenSSH क्लाइंट को कॉन्फ़िगर न करें।

--नहीं-एसएसएचडी
ओपनएसएसएच सर्वर को कॉन्फ़िगर न करें।

--नो-सुडो
SSSD को sudo के डेटा स्रोत के रूप में कॉन्फ़िगर न करें।

--नहीं-डीएनएस-sshfp
स्वचालित रूप से DNS SSHFP रिकॉर्ड न बनाएं।

--नोएक Nsswitch.conf और PAM कॉन्फ़िगरेशन को संशोधित करने के लिए Authconfig का उपयोग न करें।

-f, --बल
त्रुटियाँ होने पर भी सेटिंग्स को बाध्य करें

--किनिट-प्रयास=KINIT_ATTEMPTS
अनुत्तरदायी केडीसी के मामले में (उदाहरण के लिए जब एक साथ कई होस्ट को हेवी में नामांकित किया जाता है)।
लोड वातावरण) कुल संख्या तक होस्ट केर्बरोस टिकट के लिए अनुरोध दोहराएं
of KINIT_ATTEMPTS क्लाइंट इंस्टालेशन को छोड़ने और निरस्त करने से पहले कई बार। गलती करना
प्रयासों की संख्या 5 है। कोई समस्या होने पर अनुरोध दोहराया नहीं जाता है
होस्ट क्रेडेंशियल्स स्वयं (उदाहरण के लिए गलत कीटैब प्रारूप या अमान्य प्रिंसिपल) इसलिए
इस विकल्प का उपयोग करने से खाता लॉकआउट नहीं होगा।

-d, - दाढ़
डिबगिंग जानकारी को stdout पर प्रिंट करें

-U, --अनअटेंडेड
अप्राप्य स्थापना. उपयोगकर्ता को संकेत नहीं दिया जाएगा.

--ca-cert-फ़ाइल=CA_फ़ाइल
स्वचालित माध्यम से आईपीए सीए प्रमाणपत्र प्राप्त करने का प्रयास न करें, इसके बजाय इसका उपयोग करें
सीए प्रमाणपत्र स्थानीय स्तर पर पाया गया CA_फ़ाइल। CA_फ़ाइल पूर्ण होना चाहिए
PEM स्वरूपित प्रमाणपत्र फ़ाइल का पथ। सीए का सर्टिफिकेट मिला CA_फ़ाइल is
इसे आधिकारिक माना जाता है और यह देखने के लिए जांच किए बिना इंस्टॉल किया जाएगा कि यह है या नहीं
आईपीए डोमेन के लिए मान्य.

--अनुरोध-प्रमाण
मशीन के लिए प्रमाणपत्र का अनुरोध करें. प्रमाणपत्र संग्रहीत किया जाएगा
/etc/ipa/nssdb उपनाम "स्थानीय आईपीए होस्ट" के अंतर्गत।

--ऑटोमाउंट-स्थान=LOCATION
ऑटोमाउंट चलाकर कॉन्फ़िगर करें आईपीए-क्लाइंट-ऑटोमाउंट(1) के साथ LOCATION ऑटोमाउंट के रूप में
स्थान।

--कॉन्फ़िगर-फ़ायरफ़ॉक्स
IPA डोमेन क्रेडेंशियल्स का उपयोग करने के लिए फ़ायरफ़ॉक्स कॉन्फ़िगर करें।

--फ़ायरफ़ॉक्स-dir=डीआईआर
फ़ायरफ़ॉक्स स्थापना निर्देशिका निर्दिष्ट करें। उदाहरण के लिए: '/usr/lib/फ़ायरफ़ॉक्स'

--आईपी पता=आईपी ​​पता
उपयोग आईपी ​​पता इस होस्ट के लिए DNS A/AAAA रिकॉर्ड में। कई बार निर्दिष्ट किया जा सकता है
एकाधिक DNS रिकॉर्ड जोड़ने के लिए।

--सभी-आईपी-पते
इस होस्ट पर प्रत्येक आईपी पते के लिए DNS A/AAAA रिकॉर्ड बनाएं।

एसएसएसडी विकल्प
--आज्ञा देना
सभी पहुंच की अनुमति देने के लिए एसएसएसडी को कॉन्फ़िगर करें। अन्यथा मशीन को नियंत्रित किया जाएगा
आईपीए सर्वर पर होस्ट-आधारित एक्सेस कंट्रोल (एचबीएसी)।

--सक्षम-डीएनएस-अपडेट
यह विकल्प एसएसएसडी को इसके आईपी पते के साथ डीएनएस को स्वचालित रूप से अपडेट करने के लिए कहता है
ग्राहक।

--no-krb5-ऑफ़लाइन-पासवर्ड
सर्वर ऑफ़लाइन होने पर उपयोगकर्ता पासवर्ड संग्रहीत न करने के लिए SSSD को कॉन्फ़िगर करें।

-S, --नहीं-एसएसएसडी
प्रमाणीकरण के लिए SSSD का उपयोग करने के लिए क्लाइंट को कॉन्फ़िगर न करें, इसके बजाय nss_ldap का उपयोग करें।

--सुरक्षित-sssd
डिफ़ॉल्ट रूप से अक्षम. सक्षम होने पर, यदि यह नहीं है तो पुराने SSSD कॉन्फ़िगरेशन को सुरक्षित रखता है
इसे एक नए के साथ विलय करना संभव है। प्रभावी रूप से, यदि विलय संभव नहीं है
SSSDConfig रीडर को असमर्थित विकल्पों का सामना करना पड़ रहा है, आईपीए-क्लाइंट-इंस्टॉल नहीं होगा
आगे बढ़ें और पहले SSSD कॉन्फ़िगरेशन को ठीक करने के लिए कहें। जब यह विकल्प निर्दिष्ट नहीं है,
आईपीए-क्लाइंट-इंस्टॉल एसएसएसडी कॉन्फिगरेशन का बैकअप लेगा और नया कॉन्फिगरेशन बनाएगा। बैक अप संस्करण
अनइंस्टॉल के दौरान पुनर्स्थापित किया जाएगा।

स्थापना रद्द करें विकल्प
--स्थापना रद्द करें
आईपीए क्लाइंट सॉफ़्टवेयर को हटाएं और कॉन्फ़िगरेशन को प्री-आईपीए स्थिति में पुनर्स्थापित करें।

-U, --अनअटेंडेड
अनअटेंडेड अनइंस्टॉलेशन. उपयोगकर्ता को संकेत नहीं दिया जाएगा.

onworks.net सेवाओं का उपयोग करके ऑनलाइन आईपीए-क्लाइंट-इंस्टॉल का उपयोग करें