Ini adalah perintah ipa-adtrust-install yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ipa-adtrust-install - Siapkan server IPA untuk dapat menjalin hubungan kepercayaan
dengan domain AD
RINGKASAN
ipa-adtrust-instal [PILIHAN] ...
DESKRIPSI
Menambahkan semua objek dan konfigurasi yang diperlukan untuk memungkinkan server IPA membuat kepercayaan untuk
domain Direktori Aktif. Ini mengharuskan server IPA sudah diinstal dan
dikonfigurasi
Harap perhatikan bahwa Anda tidak akan dapat membangun kepercayaan ke domain Direktori Aktif
kecuali nama ranah server IPA cocok dengan nama domainnya.
ipa-adtrust-install dapat dijalankan beberapa kali untuk menginstal ulang objek yang dihapus atau rusak
file konfigurasi. Misalnya konfigurasi samba baru (berdasarkan file smb.conf dan registri
konfigurasi dapat dibuat. Item lain seperti misalnya konfigurasi jangkauan lokal
tidak dapat diubah dengan menjalankan ipa-adtrust-install untuk kedua kalinya karena dengan perubahan di sini
objek lain mungkin terpengaruh juga.
firewall Persyaratan
Selain persyaratan firewall server IPA, ipa-adtrust-install memerlukan:
port berikut terbuka untuk memungkinkan IPA dan Active Directory berkomunikasi bersama:
TCP port
· EPMAP 135/tcp
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp hingga 1300/tcp untuk mengizinkan EPMAP pada port 135/tcp untuk membuat pendengar TCP
berdasarkan permintaan yang masuk.
UDP port
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· LDAP 389/udp
PILIHAN
-d, --debug
Aktifkan logging debug ketika lebih banyak output verbose diperlukan
--nama-netbios=NETBIOS_NAME
Nama NetBIOS untuk domain IPA. Jika tidak disediakan maka ini ditentukan berdasarkan
pada komponen utama nama domain DNS. Menjalankan ipa-adtrust-install untuk a
kedua kalinya dengan nama NetBIOS yang berbeda akan mengubah nama. Harap dicatat bahwa
mengubah nama NetBIOS mungkin merusak hubungan kepercayaan yang ada dengan yang lain
domain.
--tidak-msdcs
Jangan membuat catatan layanan DNS untuk Windows di server DNS terkelola. Sejak itu
Catatan layanan DNS adalah satu-satunya cara untuk menemukan pengontrol domain lainnya
domain mereka harus ditambahkan secara manual ke server DNS yang berbeda untuk memungkinkan kepercayaan
hubungan berjalan dengan baik. Semua catatan layanan yang dibutuhkan terdaftar ketika
ipa-adtrust-install selesai dan --no-msdcs diberikan atau tidak ada layanan DNS IPA
dikonfigurasi. Biasanya catatan layanan untuk nama layanan berikut diperlukan:
untuk domain IPA yang harus mengarah ke semua server IPA:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-Nama-Situs-Pertama._sites.dc._msdcs
· _kerberos._tcp.Default-Nama-Situs-Pertama._sites.dc._msdcs
· _kerberos._udp.Default-Nama-Situs-Pertama._sites.dc._msdcs
--tambah-sid
Tambahkan SID ke pengguna dan grup yang ada pada langkah terakhir
ipa-adtrust-install jalankan. Jika ada banyak pengguna dan grup yang ada dan beberapa
replika di lingkungan operasi ini dapat menyebabkan lalu lintas replikasi yang tinggi
dan penurunan kinerja semua server IPA di lingkungan. Untuk menghindari ini
generasi SID dapat dijalankan setelah ipa-adtrust-install dijalankan dan dijadwalkan
secara mandiri. Untuk memulai tugas ini, Anda harus memuat versi ipa-sidgen- yang diedit
task-run.ldif dengan perintah ldapmodify info server direktori.
--tambah-agen
Tambahkan master IPA ke daftar yang memungkinkan untuk menyajikan informasi tentang pengguna dari
hutan terpercaya. Dimulai dengan FreeIPA 4.2, master IPA biasa dapat menyediakan ini
informasi ke klien SSD. Master IPA tidak ditambahkan ke daftar secara otomatis sebagai
restart layanan LDAP pada masing-masing diperlukan. Tuan rumah dimana
ipa-adtrust-install sedang dijalankan ditambahkan secara otomatis.
Perhatikan bahwa master IPA di mana ipa-adtrust-install tidak dijalankan, dapat menyajikan informasi
tentang pengguna dari hutan tepercaya hanya jika mereka diaktifkan melalui ipa-adtrust-install
dijalankan pada master IPA lainnya. Setidaknya SSSD versi 1.13 pada master IPA diperlukan
untuk dapat tampil sebagai agen kepercayaan.
-U, --tanpa perawatan
Instalasi tanpa pengawasan yang tidak akan pernah meminta input pengguna
-U, --menyingkirkan-basis=RID_BASE
Nilai RID pertama dari domain lokal. ID Posix pertama dari domain lokal adalah
ditugaskan ke RID ini, yang kedua ke RID+1 dll. Lihat bantuan online idrange
CLI untuk detailnya.
-U, --sekunder-rid-base=SECONDARY_RID_BASE
Nilai awal rentang RID sekunder, yang hanya digunakan jika pengguna dan a
grup berbagi ID Posix yang sama secara numerik. Lihat bantuan online dari idrange CLI
untuk rincian.
-A, --nama-admin=ADMIN_NAME
Nama pengguna dengan hak administratif untuk server IPA ini. Default
untuk 'admin'.
-a, --admin-sandi=kata sandi
Kata sandi pengguna dengan hak administratif untuk server IPA ini. Akan
ditanyakan secara interaktif jika -U tidak ditentukan.
Kredensial pengguna admin akan digunakan untuk mendapatkan tiket Kerberos sebelumnya
mengonfigurasi dukungan kepercayaan lintas-alam dan setelah itu, untuk memastikan bahwa tiket berisi
Informasi MS-PAC diperlukan untuk benar-benar menambahkan kepercayaan dengan domain Active Directory melalui 'ipa
perintah trust-add --type=ad'.
--aktifkan-kompatibel
Mengaktifkan dukungan untuk pengguna domain tepercaya untuk klien lama melalui Skema
Plugin kompatibilitas. SSSD mendukung domain tepercaya secara asli dimulai dengan versi
1.9. Untuk platform yang tidak memiliki SSSD atau menjalankan versi SSSD yang lebih lama, seseorang perlu menggunakan ini
pilihan. Saat diaktifkan, paket slapi-nis perlu diinstal dan
schema-compat-plugin akan dikonfigurasi untuk menyediakan pencarian pengguna dan grup dari
domain tepercaya melalui SSSD di server IPA. Pengguna dan grup ini akan tersedia
bawah cn=pengguna,cn=compat,$SUFFIX dan cn=grup,cn=compat,$SUFFIX pohon. SSD akan
menormalkan nama pengguna dan grup menjadi huruf kecil.
Selain menyediakan pengguna dan grup ini melalui pohon kompatibilitas, ini
opsi mengaktifkan otentikasi melalui LDAP untuk pengguna domain tepercaya dengan DN di bawah
pohon compat, yaitu menggunakan bind DN
uid =[email dilindungi],cn=pengguna,cn=compat,$SUFFIX.
Otentikasi LDAP yang dilakukan oleh pohon compat dilakukan melalui PAM 'sistem-aut'
melayani. Layanan ini ada secara default pada sistem Linux dan disediakan oleh pam
paket sebagai /etc/pam.d/system-auth. Jika instalasi IPA Anda tidak memiliki HBAC default
aturan 'allow_all' diaktifkan, lalu pastikan untuk mendefinisikan dalam layanan khusus IPA yang disebut
'sistem-aut' dan buat aturan HBAC untuk mengizinkan akses ke siapa pun ke aturan ini di IPA
tuan.
Sebagai 'sistem-aut' Layanan PAM tidak digunakan secara langsung oleh aplikasi lain, melainkan
aman digunakan untuk pengguna domain tepercaya melalui jalur kompatibilitas.
EXIT STATUS
0 jika instalasi berhasil
1 jika terjadi kesalahan
Gunakan ipa-adtrust-install online menggunakan layanan onworks.net
