Ini adalah perintah ipa-client-install yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ipa-client-install - Konfigurasikan klien IPA
RINGKASAN
ipa-klien-instal [PILIHAN] ...
DESKRIPSI
Mengonfigurasi mesin klien untuk menggunakan IPA untuk otentikasi dan layanan identitas.
Secara default, ini mengonfigurasi SSSD untuk terhubung ke server IPA untuk otentikasi dan
otorisasi. Secara opsional, seseorang dapat mengonfigurasi PAM dan NSS (Layanan Pengalihan Nama)
untuk bekerja dengan server IPA melalui Kerberos dan LDAP.
Pengguna yang berwenang diperlukan untuk bergabung dengan mesin klien ke IPA. Ini bisa berbentuk
prinsip kerberos atau kata sandi satu kali yang terkait dengan mesin.
Alat yang sama ini digunakan untuk membatalkan konfigurasi IPA dan mencoba mengembalikan mesin ke tempatnya
keadaan sebelumnya. Bagian dari proses ini adalah membatalkan pendaftaran host dari server IPA.
Pembatalan pendaftaran terdiri dari menonaktifkan kunci utama pada server IPA sehingga mungkin
mendaftar ulang. Prinsip mesin di /etc/krb5.keytab (host/ @REALM) digunakan untuk
mengautentikasi ke server IPA untuk membatalkan pendaftaran itu sendiri. Jika kepala sekolah ini tidak ada maka
pembatalan pendaftaran akan gagal dan administrator perlu menonaktifkan prinsipal host (ipa
host-nonaktifkan ).
Asumsi
Skrip ipa-client-install mengasumsikan bahwa mesin telah membuat kunci SSH. Dia
tidak akan menghasilkan kunci SSH dengan sendirinya. Jika kunci SSH tidak ada (misalnya ketika
menjalankan ipa-client-install di kickstart, sebelum menjalankan sshd), mereka tidak akan
diunggah ke entri host klien di server.
hostname Persyaratan
Klien harus menggunakan statis hostname. Jika nama host mesin berubah misalnya karena a
penetapan nama host dinamis oleh server DHCP, pendaftaran klien ke server IPA terputus dan
pengguna tidak akan dapat melakukan otentikasi Kerberos.
--hostname opsi dapat digunakan untuk menentukan nama host statis yang bertahan selama reboot.
DNS Penemuan otomatis
Pemasang klien secara default mencoba mencari _ldap._tcp.DOMAIN catatan SRV DNS untuk semua
domain yang merupakan induk dari nama hostnya. Misalnya, jika mesin klien memiliki nama host
'client1.lab.example.com', penginstal akan mencoba mengambil nama host server IPA dari
_ldap._tcp.lab.example.com, _ldap._tcp.example.com dan _ldap._tcp.com catatan SRV DNS,
masing-masing. Domain yang ditemukan kemudian digunakan untuk mengkonfigurasi komponen klien (misalnya SSSD
dan konfigurasi Kerberos 5) pada mesin.
Ketika nama host mesin klien tidak berada dalam subdomain dari server IPA, domainnya dapat:
diteruskan dengan opsi --domain. Dalam hal ini, baik komponen SSSD dan Kerberos memiliki
domain diatur dalam file konfigurasi dan akan menggunakannya untuk menemukan server IPA secara otomatis.
Mesin klien juga dapat dikonfigurasi tanpa autodiscovery DNS sama sekali. Ketika keduanya
--server dan --domain opsi digunakan, penginstal klien akan menggunakan server yang ditentukan dan
domainnya secara langsung. --server opsi menerima beberapa nama host server yang dapat digunakan untuk
mekanisme failover. Tanpa autodiscovery DNS, Kerberos dikonfigurasi dengan daftar tetap dari
KDC dan server Admin. SSSD masih dikonfigurasi untuk mencoba membaca SRV domain
catatan atau daftar server tetap yang ditentukan. Ketika opsi --fixed-primer ditentukan,
SSSD tidak akan mencoba membaca catatan SRV DNS sama sekali (lihat sssd-ipa(5) untuk rincian).
Grafik Failover Mekanisme
Ketika beberapa server IPA tidak tersedia, komponen klien dapat mundur ke
replika IPA lainnya dan dengan demikian melestarikan layanan yang berkelanjutan. Ketika mesin klien adalah
dikonfigurasi untuk menggunakan penemuan otomatis catatan SRV DNS (tidak ada server tetap yang diteruskan ke
installer), komponen klien melakukan fallback secara otomatis, berdasarkan server IPA
nama host dan prioritas yang ditemukan dari catatan SRV DNS.
Jika autodiscovery DNS tidak tersedia, klien harus dikonfigurasi setidaknya dengan fixed
daftar server IPA yang dapat digunakan jika terjadi kegagalan. Ketika hanya satu server IPA yang
dikonfigurasi, layanan klien IPA tidak akan tersedia jika terjadi kegagalan IPA
server. Harap dicatat, bahwa dalam hal daftar server IPA tetap, daftar server tetap
di komponen klien perlu diperbarui ketika server IPA baru terdaftar atau IPA saat ini
server dinonaktifkan.
Coexistencia Dengan Lainnya Direktori Server
Server direktori lain yang digunakan dalam jaringan (misalnya Microsoft Active Directory) dapat menggunakan
catatan SRV DNS yang sama untuk menunjukkan host dengan layanan direktori (_ldap._tcp.DOMAIN).
Catatan SRV DNS tersebut dapat merusak penginstalan jika penginstal menemukan DNS ini
record sebelum menemukan record DNS SRV yang mengarah ke server IPA. Pemasang kemudian akan
gagal menemukan server IPA dan keluar dengan kesalahan.
Untuk menghindari masalah autodiscovery DNS yang disebutkan di atas, nama host mesin klien
harus berada dalam domain dengan catatan SRV DNS yang ditentukan dengan benar yang menunjuk ke server IPA,
baik secara manual dengan server DNS khusus atau dengan solusi terintegrasi DNS IPA. Sebentar
pendekatannya adalah menghindari penemuan otomatis dan mengonfigurasi penginstal untuk menggunakan daftar tetap
nama host server IPA menggunakan opsi --server dan dengan opsi --fixed-primary
menonaktifkan autodiscovery catatan SRV DNS di SSSD.
Pendaftaran ulang of itu tuan rumah
Persyaratan:
1. Host belum terdaftar (perintah ipa-client-install --uninstall belum
Lari).
2. Entri host belum dinonaktifkan melalui perintah ipa host-disable.
Jika demikian, host dapat didaftarkan ulang menggunakan metode yang biasa.
Ada dua metode untuk mengautentikasi pendaftaran ulang:
1. Anda dapat menggunakan opsi --force-join dengan perintah ipa-client-install. Ini mengotentikasi
pendaftaran ulang menggunakan kredensial admin yang diberikan melalui opsi -w/--password.
2. Jika memberikan kata sandi admin melalui baris perintah bukanlah pilihan (misalnya Anda ingin
untuk membuat skrip untuk mendaftarkan ulang host dan menjaga keamanan kata sandi admin), Anda dapat menggunakan
tab kunci yang dicadangkan dari pendaftaran host ini sebelumnya untuk diautentikasi. Lihat --keytab
.
Konsekuensi dari pendaftaran ulang pada entri host:
1. Sertifikat tuan rumah baru dikeluarkan
2. Sertifikat host lama dicabut
3. Kunci SSH baru dihasilkan
4. ipaUniqueID dipertahankan
PILIHAN
DASAR PILIHAN
--domain=DOMAIN
Setel nama domain ke DOMAIN. Ketika tidak ada opsi --server yang ditentukan, penginstal
akan mencoba menemukan semua server yang tersedia melalui penemuan otomatis catatan SRV DNS (lihat
bagian DNS Autodiscovery untuk detailnya).
--server=SERVER
Atur server IPA untuk terhubung. Dapat ditentukan beberapa kali untuk menambahkan beberapa
server ke nilai ipa_server di sssd.conf atau krb5.conf. Hanya nilai pertama yang
dipertimbangkan ketika digunakan dengan --no-sssd. Saat opsi ini digunakan, autodiscovery DNS
untuk Kerberos dinonaktifkan dan daftar tetap server KDC dan Admin dikonfigurasi.
--dunia=REALM_NAME
Setel nama ranah IPA ke REALM_NAME. Dalam keadaan normal, opsi ini adalah
tidak diperlukan karena nama ranah diambil dari server IPA.
--tetap-utama
Konfigurasikan SSSD untuk menggunakan server tetap sebagai server IPA utama. Standarnya adalah untuk
gunakan catatan SRV DNS untuk menentukan server utama yang akan digunakan dan kembali ke
server tempat klien terdaftar. Ketika digunakan bersama dengan --server maka tidak ada
Nilai _srv_ diatur dalam opsi ipa_server di sssd.conf.
-p, --Kepala Sekolah
Prinsipal kerberos yang berwenang digunakan untuk bergabung dengan ranah IPA.
-w PASSWORD, --kata sandi=PASSWORD
Kata sandi untuk bergabung dengan mesin ke ranah IPA. Mengasumsikan kata sandi massal kecuali
kepala sekolah juga ditetapkan.
-W Minta kata sandi untuk bergabung dengan mesin ke ranah IPA.
-k, --tab kunci
Jalur ke tab kunci host yang dicadangkan dari pendaftaran sebelumnya. Bergabung dengan tuan rumah meskipun itu
sudah terdaftar.
--mkhomedir
Konfigurasikan PAM untuk membuat direktori home pengguna jika tidak ada.
--nama host
Nama host mesin ini (FQDN). Jika ditentukan, nama host akan disetel dan
konfigurasi sistem akan diperbarui untuk bertahan selama reboot. Secara default nama node
hasil dari nama kamu(2) digunakan.
--memaksa-bergabung
Bergabunglah dengan host meskipun sudah terdaftar.
--ntp-server=NTP_SERVER
Konfigurasikan ntpd untuk menggunakan server NTP ini. Opsi ini dapat digunakan beberapa kali.
-N, --tidak-ntp
Jangan mengkonfigurasi atau mengaktifkan NTP.
--memaksa-ntpd
Hentikan dan nonaktifkan layanan sinkronisasi waktu & tanggal selain ntpd.
--nisdomain=NIS_DOMAIN
Tetapkan nama domain NIS seperti yang ditentukan. Secara default, ini diatur ke domain IPA
Nama.
--tidak-nisdomain
Jangan mengkonfigurasi nama domain NIS.
--ssh-kepercayaan-dns
Konfigurasikan klien OpenSSH untuk mempercayai catatan SSHFP DNS.
--tidak-ssh
Jangan mengkonfigurasi klien OpenSSH.
--tidak-sshd
Jangan mengkonfigurasi server OpenSSH.
--tidak-sudo
Jangan konfigurasikan SSSD sebagai sumber data untuk Sudo.
--tidak-dns-sshfp
Jangan membuat data SSHFP DNS secara otomatis.
--noac Jangan gunakan Authconfig untuk mengubah konfigurasi nsswitch.conf dan PAM.
-f, --memaksa
Paksa pengaturan bahkan jika terjadi kesalahan
--kinit-upaya=KINIT_ATTEMPTS
Dalam kasus KDC yang tidak responsif (misalnya saat mendaftarkan beberapa host sekaligus dalam satu paket berat
memuat lingkungan) ulangi permintaan tiket host Kerberos hingga jumlah total
of KINIT_ATTEMPTS kali sebelum menyerah dan membatalkan instalasi klien. Bawaan
jumlah upaya adalah 5. Permintaan tidak diulang ketika ada masalah dengan
kredensial host sendiri (misalnya format tab kunci yang salah atau prinsipal yang tidak valid) jadi
menggunakan opsi ini tidak akan menyebabkan penguncian akun.
-d, --debug
Cetak informasi debug ke stdout
-U, --tanpa perawatan
Instalasi tanpa pengawasan. Pengguna tidak akan diminta.
--ca-cert-file=CA_FILE
Jangan mencoba untuk mendapatkan sertifikat IPA CA melalui cara otomatis, alih-alih gunakan
sertifikat CA ditemukan secara lokal di CA_FILE. itu CA_FILE harus mutlak
path ke file sertifikat berformat PEM. Sertifikat CA ditemukan di CA_FILE is
dianggap otoritatif dan akan dipasang tanpa memeriksa untuk melihat apakah itu
berlaku untuk domain IPA.
--permintaan-sertifikat
Minta sertifikat untuk mesin. Sertifikat akan disimpan di
/etc/ipa/nssdb dengan nama panggilan "Local IPA host".
--automount-lokasi=LOKASI
Konfigurasikan automount dengan menjalankan ipa-klien-automount(1) dengan LOKASI sebagai automount
lokasi.
--konfigurasi-firefox
Konfigurasikan Firefox untuk menggunakan kredensial domain IPA.
--firefox-dir=DIR
Tentukan direktori instalasi Firefox. Misalnya: '/usr/lib/firefox'
--alamat IP=ALAMAT IP
penggunaan ALAMAT IP di DNS A/AAAA record untuk host ini. Dapat ditentukan beberapa kali
untuk menambahkan beberapa catatan DNS.
--semua-ip-address
Buat catatan DNS A/AAAA untuk setiap alamat IP pada host ini.
SSSD PILIHAN
--izin
Konfigurasikan SSSD untuk mengizinkan semua akses. Jika tidak, mesin akan dikendalikan oleh
Kontrol Akses Berbasis Host (HBAC) di server IPA.
--aktifkan-dns-pembaruan
Opsi ini memberi tahu SSSD untuk memperbarui DNS secara otomatis dengan alamat IP ini
pelanggan.
--no-krb5-offline-password
Konfigurasikan SSSD untuk tidak menyimpan kata sandi pengguna saat server offline.
-S, --tidak-sssd
Jangan konfigurasikan klien untuk menggunakan SSSD untuk otentikasi, gunakan nss_ldap sebagai gantinya.
--melestarikan-sssd
Dinonaktifkan secara default. Saat diaktifkan, pertahankan konfigurasi SSD lama jika tidak
mungkin untuk menggabungkannya dengan yang baru. Secara efektif, jika penggabungan tidak memungkinkan karena
ke pembaca SSSDConfig yang menemukan opsi yang tidak didukung, ipa-klien-instal tidak akan
jalankan lebih jauh dan minta untuk memperbaiki konfigurasi SSSD terlebih dahulu. Bila opsi ini tidak ditentukan,
ipa-klien-instal akan mencadangkan konfigurasi SSSD dan membuat yang baru. Versi cadangan
akan dikembalikan selama uninstall.
UNINSTAL PILIHAN
--uninstal
Hapus perangkat lunak klien IPA dan pulihkan konfigurasi ke status pra-IPA.
-U, --tanpa perawatan
Penghapusan instalasi tanpa pengawasan. Pengguna tidak akan diminta.
Gunakan ipa-client-install online menggunakan layanan onworks.net
