Ini adalah perintah ipa-replica-manage yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
ipa-replica-manage - Kelola replika IPA
RINGKASAN
ipa-replika-kelola [PILIHAN]... [MEMERINTAH]
DESKRIPSI
Mengelola perjanjian replikasi server IPA.
Untuk mengelola perjanjian replikasi IPA di domain di tingkat domain 1, gunakan IPA CLI atau UI Web,
lihat `ipa help topology` untuk informasi tambahan.
Perintah yang tersedia adalah:
menghubungkan [SERVER_A]
- Menambahkan perjanjian replikasi baru antara SERVER_A/localhost dan SERVER_B. Pada
domain level 1 hanya berlaku untuk perjanjian winsync.
memutuskan [SERVER_A]
- Menghapus perjanjian replikasi antara SERVER_A/localhost dan SERVER_B. Pada
domain level 1 hanya berlaku untuk perjanjian winsync.
itu
- Menghapus semua perjanjian replikasi dan data tentang SERVER. Di domain level 1 itu
menghapus data dan kesepakatan untuk kedua sufiks - domain dan ca.
daftar [SERVER]
- Daftar semua server atau daftar perjanjian SERVER
inisialisasi ulang
- Memaksa inisialisasi ulang penuh dari server IPA yang mengambil data dari server
ditentukan dengan opsi --from
sinkronisasi paksa
- Segera hapus data apa pun yang akan direplikasi dari server yang ditentukan dengan
--dari opsi
daftar-ruv
- Daftar ID replikasi di server ini.
bersih-ruv [REPLICATION_ID]
- Jalankan tugas CLEANALLRUV untuk menghapus ID replikasi.
bersih-menggantung-ruv
- Membersihkan semua RUV dan CS-RUV yang tertinggal di sistem agar tidak dicopot pemasangannya
replika.
batalkan-bersih-ruv [REPLICATION_ID]
- Batalkan tugas CLEANALLRUV yang sedang berjalan. Dengan opsi --force tugas tidak menunggu
semua server replika telah dikirimi tugas batal, atau online, sebelumnya
menyelesaikan.
daftar-bersih-ruv
- Daftar semua CLEANALLRUV yang sedang berjalan dan batalkan tugas CLEANALLRUV.
pertunjukan dnarange [SERVER]
- Daftar rentang DNA
set-dnarange SERVER MULAI-AKHIR
- Atur rentang DNA pada master
dnaextrange-show [SERVER]
- Daftar rentang DNA berikutnya
dnaextrange-set SERVER MULAI-AKHIR
- Atur rentang DNA berikutnya pada master
Opsi sambungkan dan putuskan digunakan untuk mengelola topologi replikasi. Ketika sebuah
replika dibuat hanya terhubung dengan master yang membuatnya. Sambungan
opsi dapat digunakan untuk menghubungkannya ke replika lain yang ada.
Opsi putuskan sambungan tidak dapat digunakan untuk menghapus tautan terakhir dari replika. Untuk menghapus
replika dari topologi menggunakan opsi del.
Jika replika dihapus dan kemudian ditambahkan kembali dalam jangka waktu yang singkat maka 389-ds
contoh pada master yang membuatnya harus dimulai ulang sebelum menginstal ulang
replika. Master akan memiliki prinsipal layanan lama yang di-cache yang akan menyebabkan
replikasi gagal.
Setiap server master IPA memiliki ID replikasi yang unik. ID ini digunakan oleh 389-ds-base ketika
menyimpan informasi tentang status replikasi. Outputnya terdiri dari master dan mereka
ID replikasi masing-masing. Lihat bersih-ruv
Saat master dihapus, semua master lain harus menghapus ID replikasinya dari
daftar master. Biasanya ini terjadi secara otomatis ketika master dihapus dengan
ipa-replika-kelola. Jika satu atau lebih master sedang down atau tidak dapat dijangkau saat ipa-replica-manage
dieksekusi maka ID replika ini mungkin masih ada. Perintah clean-ruv dapat digunakan untuk
bersihkan ID replikasi yang tidak digunakan.
CATATAN: bersih-ruv adalah SANGAT BERBAHAYA. Eksekusi terhadap ID replikasi yang salah dapat mengakibatkan
dalam data yang tidak konsisten pada master itu. Master harus diinisialisasi ulang dari yang lain jika
ini terjadi.
Topologi replikasi diperiksa ketika master dihapus dan akan mencoba untuk mencegah
master dari menjadi yatim piatu. Misalnya, jika topologi Anda adalah A <-> B <-> C dan Anda
upaya untuk menghapus master B itu akan gagal karena itu akan meninggalkan master dan A dan C
yatim piatu.
Daftar master disimpan di cn=masters,cn=ipa,cn=etc,dc=example,dc=com. Ini seharusnya
dibersihkan secara otomatis ketika master dihapus. Jika terjadi bahwa Anda telah menghapus
master dan semua perjanjian tetapi entri ini masih ada maka Anda tidak akan dapat
untuk menginstal ulang IPA di atasnya, instalasi akan gagal dengan:
Host master IPA tidak dapat dihapus atau dinonaktifkan menggunakan perintah standar (host-del, for
contoh).
Master yatim piatu dapat dibersihkan menggunakan direktif del dengan opsi --cleanup.
Ini akan menghapus entri dari cn=masters,cn=ipa,cn=etc yang sebaliknya mencegah Host-del
agar tidak berfungsi, profil dna-nya, konfigurasi s4u2proxy, prinsip layanan, dan hapus itu
dari default DUA profil defaultServerList.
PILIHAN
-H HOST, --tuan rumah=HOST
Server IPA untuk dikelola. Standarnya adalah mesin tempat perintah dijalankan
Tidak dihormati oleh perintah inisialisasi ulang.
-p DM_PASSWORD, --kata sandi=DM_PASSWORD
Kata sandi Directory Manager yang akan digunakan untuk otentikasi
-v, --bertele-tele
Berikan informasi tambahan
-f, --memaksa
Abaikan beberapa jenis kesalahan, jangan meminta saat menghapus master
-c, --tanpa pencarian
Jangan lakukan pemeriksaan pencarian DNS.
-c, --membersihkan
Saat menghapus master dengan flag --force, hapus referensi yang tersisa ke sebuah
sudah dihapus master.
--bindn=ADMIN_DN
Ikat DN untuk digunakan dengan server jarak jauh (defaultnya adalah cn=Directory Manager) - Berhati-hatilah untuk
kutip nilai ini di baris perintah
--bindpw=ADMIN_PWD
Kata sandi untuk Bind DN untuk digunakan dengan server jarak jauh (defaultnya adalah DM_PASSWORD di atas)
--sinkronisasi menang
Menentukan untuk membuat/menggunakan Perjanjian Sinkronisasi Windows
--cacert=/path/ke/cacertfile
Jalur lengkap dan nama file sertifikat CA untuk digunakan dengan TLS/SSL ke server jarak jauh -
sertifikat CA ini akan dipasang di sertifikat server direktori
Database
--win-subpohon=cn=Pengguna,dc=contoh,dc=com
DN dari subpohon Windows yang berisi pengguna yang ingin Anda sinkronkan (default
cn=Pengguna, - ini biasanya yang digunakan Windows AD sebagai default
value) - Berhati-hatilah untuk mengutip nilai ini pada baris perintah
--sinkronisasi sandi=PASSSYNC_PWD
Kata sandi untuk pengguna sistem IPA yang digunakan oleh plugin Windows PassSync untuk menyinkronkan
kata sandi. Diperlukan saat menggunakan --winsync. Ini tidak berarti Anda harus menggunakan
layanan PassSync.
--dari=SERVER
Server untuk menarik data dari, digunakan oleh inisialisasi ulang dan sinkronisasi paksa
perintah.
JANGKAUAN
IPA menggunakan Plugin Penugasan Numerik Terdistribusi (DNA) 389-ds untuk mengalokasikan id POSIX untuk
pengguna dan grup. Rentang dibuat saat IPA diinstal dan setengah rentang ditetapkan
kepada master IPA pertama untuk keperluan alokasi.
Master IPA baru tidak secara otomatis mendapatkan penugasan rentang DNA. Sebuah tugas jangkauan adalah
dilakukan hanya ketika pengguna atau grup POSIX ditambahkan pada master itu.
Plugin DNA juga mendukung konfigurasi "on-deck" atau jangkauan berikutnya. Ketika primer
jangkauan habis, daripada pergi ke master lain untuk meminta lebih banyak, itu akan menggunakan
jangkauan di geladak jika ada yang ditentukan. Setiap master hanya dapat memiliki satu jangkauan dan satu jangkauan di dek
didefinisikan.
Ketika master dihapus, upaya dilakukan untuk menyimpan rentang DNA-nya ke master lain
dalam jangkauan di deknya. IPA tidak akan mencoba untuk memperluas atau menggabungkan rentang. Jika tidak ada
slot jangkauan di dek yang tersedia kemudian ini dilaporkan kepada pengguna. Kisarannya efektif
hilang kecuali jika digabungkan secara manual ke dalam jangkauan master lain.
Rentang DNA dan nilai di dek (berikutnya) dapat dikelola menggunakan dnarange-set dan
perintah dnaextrange-set. Aturan untuk mengelola rentang ini adalah:
- Rentang harus sepenuhnya terkandung dalam rentang lokal seperti yang didefinisikan oleh ipa
perintah idrange.
- Rentang tidak boleh tumpang tindih dengan rentang DNA atau rentang di dek pada master IPA lain.
- Rentang tidak boleh tumpang tindih dengan rentang ID dari AD Trust.
- Rentang DNA primer tidak dapat dihilangkan.
- Rentang jangkauan di dek dapat dihilangkan dengan mengaturnya ke 0-0. Asumsinya adalah
bahwa rentang akan dipindahkan atau digabungkan secara manual di tempat lain.
Rentang dan rentang berikutnya dari master tertentu dapat ditampilkan dengan melewati FQDN itu
master ke perintah dnarange-show atau dnanextrange-show.
Melakukan perubahan rentang sebagai administrator yang didelegasikan (misalnya tidak menggunakan Direktori
Kata sandi pengelola) memerlukan tambahan 389-ds ACI. Ini dipasang di master yang ditingkatkan
tapi bukan yang sudah ada. Perubahan dilakukan di cn=config yang tidak direplikasi. NS
hasilnya adalah bahwa rentang DNA tidak dapat dikelola pada master yang tidak ditingkatkan sebagai yang didelegasikan
administrator.
CONTOH
Daftar semua master:
# ipa-replika-kelola daftar
srv1.contoh.com
srv2.contoh.com
srv3.contoh.com
srv4.contoh.com
Buat daftar perjanjian replikasi server.
# ipa-replika-kelola daftar srv1.example.com
srv2.contoh.com
srv3.contoh.com
Inisialisasi ulang replika:
# ipa-replica-manage re-inisialisasi --dari srv2.example.com
Ini akan menginisialisasi ulang data di server tempat Anda menjalankan perintah,
mengambil data dari replika srv2.example.com
Tambahkan perjanjian replikasi baru:
# ipa-replika-kelola sambungkan srv2.example.com srv4.example.com
Hapus perjanjian replikasi yang ada:
# ipa-replica-manage putuskan sambungan srv1.example.com srv3.example.com
Hapus replika sepenuhnya:
# ipa-replika-kelola dari srv4.example.com
Menggunakan connect/disconnect Anda dapat mengatur topologi replikasi.
Buat daftar ID replikasi yang digunakan:
# ipa-replika-kelola daftar-ruv
srv1.contoh.com:389: 7
srv2.contoh.com:389: 4
Hapus referensi ke master yatim piatu dan dihapus:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Membuat perjanjian Sinkronisasi Windows AD mirip dengan membuat replikasi IPA
kesepakatan, hanya ada beberapa langkah tambahan.
Entri pengguna khusus dibuat untuk layanan PassSync. DN dari entri ini adalah
uid=passsync,cn=sysaccounts,cn=dll, . Anda tidak perlu menggunakan PassSync untuk menggunakan
Perjanjian sinkronisasi Windows tetapi pengaturan kata sandi untuk pengguna diperlukan.
Contoh berikut menggunakan akun administrator AD sebagai pengguna sinkronisasi. Ini
tidak wajib tetapi pengguna harus memiliki akses baca ke subpohon.
1. Transfer Sertifikat CA Windows AD CA yang disandikan base64 ke Server IPA Anda
2. Hapus kredensial kerberos yang ada
#kdestroy
3. Tambahkan perjanjian replikasi winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=pengguna,dc=iklan,dc=contoh,dc=com" --bindpw
-v
Anda akan diminta untuk memasukkan kata sandi Manajer Direktori.
Buat perjanjian replikasi winsync:
# ipa-replica-manage connect --winsync --passsync=RahasiaSaya
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=pengguna,dc=ad,dc=contoh,dc=com" --bindpw Rahasia Saya -v
windows.ad.example.com
Hapus perjanjian replikasi winsync:
# ipa-replica-manage putuskan sambungan windows.ad.example.com
PASSSYNC
PassSync adalah layanan Windows yang berjalan pada AD Domain Controllers untuk mencegat kata sandi
perubahan. Ini mengirimkan perubahan kata sandi ini ke server IPA LDAP melalui TLS. Kata sandi ini
perubahan melewati pengaturan kebijakan kata sandi IPA normal dan kata sandi tidak disetel ke
segera kadaluarsa. Ini karena pada saat IPA menerima perubahan kata sandi yang dimilikinya
sudah diterima AD jadi sudah terlambat untuk menolaknya.
IPA menyimpan daftar DN yang dikecualikan dari kebijakan kata sandi. Pengguna khusus ditambahkan
secara otomatis ketika perjanjian replikasi winsync dibuat. DN pengguna ini adalah
ditambahkan ke daftar pengecualian yang disimpan di passSyncManagersDNs di entri
cn=ipa_pwd_extop,cn=plugin,cn=config.
EXIT STATUS
0 jika perintah berhasil
1 jika terjadi kesalahan
Gunakan ipa-replica-manage online menggunakan layanan onworks.net
