Questo è il comando ipa-adtrust-install che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
ipa-adtrust-install - Prepara un server IPA per poter stabilire relazioni di fiducia
con domini AD
SINOSSI
ipa-adtrust-installa [OPZIONE] ...
DESCRIZIONE
Aggiunge tutti gli oggetti e la configurazione necessari per consentire a un server IPA di creare un trust a
un dominio Active Directory. Ciò richiede che il server IPA sia già installato e
configurato.
Tieni presente che non sarai in grado di stabilire un trust con un dominio di Active Directory
a meno che il nome del dominio del server IPA non corrisponda al suo nome di dominio.
ipa-adtrust-install può essere eseguito più volte per reinstallare oggetti cancellati o rotti
file di configurazione. Ad esempio una nuova configurazione di samba (file smb.conf e registro basato
è possibile creare la configurazione. Altri elementi come ad esempio la configurazione dell'intervallo locale
non può essere modificato eseguendo ipa-adtrust-install una seconda volta perché con le modifiche qui
anche altri oggetti potrebbero essere interessati.
firewall Requisiti
Oltre ai requisiti del firewall del server IPA, ipa-adtrust-install richiede il
le seguenti porte devono essere aperte per consentire a IPA e Active Directory di comunicare insieme:
TCP porte
· 135/tpc EPMAP
· 138/tcp NetBIOS-DGM
· 139/TCP NetBIOS-SSN
· 445/TCP Microsoft-DS
· Da 1024/tcp a 1300/tcp per consentire a EPMAP sulla porta 135/tcp di creare un listener TCP
sulla base di una richiesta in arrivo.
UDP porte
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· LDAP 389/udp
VERSIONI
-d, - debug
Abilita la registrazione del debug quando è necessario un output più dettagliato
--netbios-nome=NETBIOS_NOME
Il nome NetBIOS per il dominio IPA. Se non fornito, questo è determinato in base
sul componente principale del nome di dominio DNS. Esecuzione di ipa-adtrust-install per a
la seconda volta con un nome NetBIOS diverso cambierà il nome. Si prega di notare che
la modifica del nome NetBIOS potrebbe interrompere le relazioni di fiducia esistenti con altri
domini.
--no-msdcs
Non creare record di servizi DNS per Windows nel server DNS gestito. Da quelli
I record del servizio DNS sono l'unico modo per scoprire i controller di dominio di altri
domini devono essere aggiunti manualmente a un server DNS diverso per consentire la fiducia
le relazioni funzionano correttamente. Tutti i record di servizio necessari sono elencati quando
ipa-adtrust-install termina e viene fornito --no-msdcs o nessun servizio DNS IPA
è configurato. In genere sono necessari i record di servizio per i seguenti nomi di servizio
per il dominio IPA che dovrebbe puntare a tutti i server IPA:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sids
Aggiungi SID a utenti e gruppi esistenti come nelle fasi finali del
ipa-adtrust-install eseguito. Se ci sono molti utenti e gruppi esistenti e un paio di
repliche nell'ambiente questa operazione potrebbe portare a un elevato traffico di replica
e un degrado delle prestazioni di tutti i server IPA nell'ambiente. Per evitare questo
la generazione del SID può essere eseguita dopo l'esecuzione e la pianificazione di ipa-adtrust-install
indipendentemente. Per iniziare questa attività devi caricare una versione modificata di ipa-sidgen-
task-run.ldif con il comando ldapmodify informa il server di directory.
--aggiungi-agenti
Aggiungi i master IPA all'elenco che consente di fornire informazioni sugli utenti da
foreste fidate. A partire da FreeIPA 4.2, un normale master IPA può fornire questo
informazioni ai client SSSD. I master IPA non vengono aggiunti automaticamente all'elenco come
è richiesto il riavvio del servizio LDAP su ciascuno di essi. L'ospite dove
ipa-adtrust-install è in esecuzione viene aggiunto automaticamente.
Nota che i master IPA in cui ipa-adtrust-install non è stato eseguito, possono fornire informazioni
sugli utenti di foreste attendibili solo se abilitati tramite ipa-adtrust-install
eseguire su qualsiasi altro master IPA. È richiesta almeno la versione 1.13 di SSSD su master IPA
essere in grado di svolgere il ruolo di agente fiduciario.
-U, --incustodito
Un'installazione non presidiata che non richiederà mai l'input dell'utente
-U, --rid-base=RID_BASE
Primo valore RID del dominio locale. Il primo Posix ID del dominio locale sarà
assegnato a questo RID, il secondo a RID+1 ecc. Vedi la guida in linea dell'idrange
CLI per i dettagli.
-U, --base-rid-secondaria=SECONDARY_RID_BASE
Valore iniziale dell'intervallo RID secondario, che viene utilizzato solo nel caso in cui un utente e a
condividono numericamente lo stesso ID Posix. Consulta la guida in linea di idrange CLI
per i dettagli.
-A, --nome-amministratore=ADMIN_NAME
Il nome dell'utente con privilegi amministrativi per questo server IPA. Predefiniti
ad 'amministratore'.
-a, --password dell'amministratore=parola d'ordine
La password dell'utente con privilegi amministrativi per questo server IPA. Volere
essere chiesto in modo interattivo se -U non è specificato.
Le credenziali dell'utente amministratore verranno utilizzate per ottenere il ticket Kerberos prima
configurare il supporto di trust cross-realm e successivamente, per garantire che il ticket contenga
Informazioni MS-PAC necessarie per aggiungere effettivamente un trust con il dominio di Active Directory tramite "ipa"
comando trust-add --type=ad'.
--enable-comp
Abilita il supporto per gli utenti di domini affidabili per i vecchi client tramite Schema
Plugin di compatibilità. SSSD supporta i domini attendibili in modo nativo a partire dalla versione
1.9. Per piattaforme prive di SSSD o che eseguono versioni precedenti di SSSD, è necessario utilizzare questo
opzione. Quando abilitato, il pacchetto slapi-nis deve essere installato e
schema-compat-plugin sarà configurato per fornire la ricerca di utenti e gruppi da
domini attendibili tramite SSSD su server IPA. Questi utenti e gruppi saranno disponibili
per cn=utenti,cn=compat,$SUFFIX ed cn=gruppi,cn=compat,$SUFFIX alberi. SSSD lo farà
normalizzare i nomi di utenti e gruppi in minuscolo.
Oltre a fornire questi utenti e gruppi tramite l'albero compat, questo
l'opzione abilita l'autenticazione su LDAP per gli utenti di domini fidati con DN sotto
compat tree, ovvero utilizzando bind DN
uido=[email protected],cn=utenti,cn=compat,$SUFFIX.
L'autenticazione LDAP eseguita dall'albero compat viene eseguita tramite PAM 'autenticazione del sistema'
servizio. Questo servizio esiste per impostazione predefinita sui sistemi Linux ed è fornito da pam
pacchetto come /etc/pam.d/system-auth. Se la tua installazione IPA non ha l'HBAC predefinito
regola 'allow_all' abilitata, quindi assicurati di definire in IPA un servizio speciale chiamato
'autenticazione del sistema' e creare una regola HBAC per consentire a chiunque di accedere a questa regola su IPA
maestri.
Come 'autenticazione del sistema' Il servizio PAM non viene utilizzato direttamente da nessun'altra applicazione, lo è
sicuro da usare per utenti di domini affidabili tramite il percorso di compatibilità.
EXIT STATUS
0 se l'installazione è andata a buon fine
1 se si è verificato un errore
Usa ipa-adtrust-install online utilizzando i servizi onworks.net
