IngleseFranceseSpagnolo

Ubuntu | Fedora | VPN | File sharing

Ad


Favicon di OnWorks

ipa-client-install - Online nel cloud

Esegui ipa-client-install nel provider di hosting gratuito OnWorks su Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS

Questo è il comando ipa-client-install che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS

PROGRAMMA:

NOME


ipa-client-install - Configura un client IPA

SINOSSI


installazione-client-ipa [OPZIONE] ...

DESCRIZIONE


Configura una macchina client per utilizzare IPA per i servizi di autenticazione e identità.

Per impostazione predefinita, questo configura SSSD per connettersi a un server IPA per l'autenticazione e
autorizzazione. Opzionalmente si può invece configurare PAM e NSS (Name Switching Service)
per lavorare con un server IPA su Kerberos e LDAP.

È necessario un utente autorizzato per unire una macchina client a IPA. Questo può assumere la forma di
un principal Kerberos o una password monouso associata alla macchina.

Questo stesso strumento viene utilizzato per deconfigurare IPA e tenta di riportare la macchina al suo
stato precedente. Parte di questo processo consiste nell'annullamento della registrazione dell'host dal server IPA.
La cancellazione consiste nel disabilitare la chiave principale sul server IPA in modo che possa essere
re-iscritto. Il principale della macchina in /etc/krb5.keytab (host/ @REALM) è usato per
autenticarsi sul server IPA per annullare la registrazione. Se questo principale non esiste allora
l'annullamento della registrazione avrà esito negativo e un amministratore dovrà disabilitare l'entità host (ipa
host-disabilita ).

Ipotesi
Lo script ipa-client-install presuppone che la macchina abbia già generato chiavi SSH. Esso
non genererà chiavi SSH di propria iniziativa. Se le chiavi SSH non sono presenti (es. quando
eseguendo ipa-client-install in un kickstart, prima di eseguire sshd), non lo saranno
caricato nella voce host del client sul server.

Nome host Requisiti
Il cliente deve utilizzare a statico hostname. Se il nome host della macchina cambia, ad esempio a causa di a
l'assegnazione dinamica del nome host da parte di un server DHCP, la registrazione del client al server IPA si interrompe e
l'utente non sarebbe in grado di eseguire l'autenticazione Kerberos.

L'opzione --hostname può essere utilizzata per specificare un nome host statico che persiste dopo il riavvio.

DNS Rilevamento automatico
Il programma di installazione client per impostazione predefinita tenta di cercare i record SRV DNS _ldap._tcp.DOMAIN per tutti
domini che sono padre del suo nome host. Ad esempio, se una macchina client ha un nome host
'client1.lab.example.com', il programma di installazione proverà a recuperare un nome host del server IPA da
_ldap._tcp.lab.example.com, _ldap._tcp.example.com e _ldap._tcp.com record SRV DNS,
rispettivamente. Il dominio scoperto viene quindi utilizzato per configurare i componenti client (ad esempio SSSD
e configurazione Kerberos 5) sulla macchina.

Quando il nome host della macchina client non si trova in un sottodominio di un server IPA, il suo dominio può essere
passato con l'opzione --domain. In tal caso, entrambi i componenti SSSD e Kerberos hanno il
dominio impostato nei file di configurazione e lo utilizzerà per l'individuazione automatica dei server IPA.

La macchina client può anche essere configurata senza un rilevamento automatico DNS. Quando entrambi
Vengono utilizzate le opzioni --server e --domain, il programma di installazione client utilizzerà il server specificato e
dominio direttamente. L'opzione --server accetta più nomi host del server che possono essere utilizzati per
meccanismo di failover. Senza il rilevamento automatico del DNS, Kerberos è configurato con un elenco fisso di
KDC e server di amministrazione. SSSD è ancora configurato per provare a leggere l'SRV del dominio
record o l'elenco fisso di server specificato. Quando viene specificata l'opzione --fixed-primary,
SSSD non proverà affatto a leggere il record DNS SRV (vedi sssd-ipa(5) per i dettagli).

I failover Meccanismo
Quando alcuni dei server IPA non sono disponibili, i componenti client sono in grado di eseguire il fallback a
altra replica IPA e preservando così un servizio continuato. Quando la macchina client è
configurato per utilizzare il rilevamento automatico del record SRV DNS (nessun server fisso è stato passato al
installer), i componenti client eseguono automaticamente il fallback, in base al server IPA
nomi host e priorità rilevati dai record DNS SRV.

Se il rilevamento automatico DNS non è disponibile, i client devono essere configurati almeno con un'impostazione fissa
elenco dei server IPA che possono essere utilizzati in caso di guasto. Quando un solo server IPA è
configurato, i servizi client IPA non saranno disponibili in caso di guasto dell'IPA
server. Si prega di notare che in caso di un elenco fisso di server IPA, gli elenchi di server fissi
nei componenti client devono essere aggiornati quando viene registrato un nuovo server IPA o un IPA corrente
server è disattivato.

Coesistenza Con Altro elenco Server
Altri server di directory distribuiti nella rete (ad es. Microsoft Active Directory) possono utilizzare
gli stessi record DNS SRV per indicare gli host con un servizio di directory (_ldap._tcp.DOMAIN).
Tali record DNS SRV possono interrompere l'installazione se il programma di installazione scopre questi DNS
record prima che trovi i record DNS SRV che puntano ai server IPA. L'installatore quindi
non riesce a rilevare il server IPA ed esce con errore.

Al fine di evitare i suddetti problemi di rilevamento automatico DNS, il nome host della macchina client
dovrebbe trovarsi in un dominio con record SRV DNS correttamente definiti che puntano a server IPA,
manualmente con un server DNS personalizzato o con la soluzione integrata DNS IPA. Un secondo
l'approccio sarebbe quello di evitare il rilevamento automatico e configurare il programma di installazione per utilizzare un elenco fisso
dei nomi host del server IPA utilizzando l'opzione --server e con l'opzione --fixed-primary
disabilitare il rilevamento automatico del record SRV DNS in SSSD.

Nuova registrazione of , il host
Requisiti:

1. L'host non è stato annullato (il comando ipa-client-install --uninstall non è stato)
correre).
2. La voce host non è stata disabilitata tramite il comando ipa host-disable.

In tal caso, l'host può essere nuovamente iscritto utilizzando i metodi consueti.

Esistono due metodi per autenticare una nuova registrazione:

1. È possibile utilizzare l'opzione --force-join con il comando ipa-client-install. Questo autentica il
nuova registrazione utilizzando le credenziali dell'amministratore fornite tramite l'opzione -w/--password.
2. Se fornire la password dell'amministratore tramite la riga di comando non è un'opzione (es
per creare uno script per registrare nuovamente un host e mantenere sicura la password dell'amministratore), puoi usare
keytab di backup dalla registrazione precedente di questo host per l'autenticazione. Vedi --keytab
opzione.

Conseguenze della nuova iscrizione sulla voce ospitante:

1. Viene emesso un nuovo certificato host
2. Il vecchio certificato host viene revocato
3. Vengono generate nuove chiavi SSH
4. ipaUniqueID è preservato

VERSIONI


BASIC VERSIONI
--dominio=DOMINIO
Imposta il nome di dominio su DOMAIN. Quando non viene specificata alcuna opzione --server, il programma di installazione
proverà a scoprire tutti i server disponibili tramite il rilevamento automatico del record SRV DNS (vedi
sezione Rilevamento automatico DNS per i dettagli).

--server=SERVER
Imposta il server IPA a cui connetterti. Può essere specificato più volte per aggiungere più
server al valore ipa_server in sssd.conf o krb5.conf. Solo il primo valore è
considerato quando usato con --no-sssd. Quando viene utilizzata questa opzione, rilevamento automatico DNS
per Kerberos è disabilitato ed è configurato un elenco fisso di server KDC e Admin.

--regno=NOME_REALE
Imposta il nome del dominio IPA su REALM_NAME. In circostanze normali, questa opzione è
non necessario in quanto il nome dell'area di autenticazione viene recuperato dal server IPA.

--primario-fisso
Configura SSSD per utilizzare un server fisso come server IPA primario. L'impostazione predefinita è
utilizzare i record DNS SRV per determinare il server primario da utilizzare e tornare a
server con cui è registrato il client. Se usato insieme a --server allora no
Il valore _srv_ è impostato nell'opzione ipa_server in sssd.conf.

-p, --principale
Principal Kerberos autorizzato da utilizzare per entrare a far parte del regno IPA.

-w PASSWORD, --parola d'ordine=PASSWORD
Password per unire una macchina al regno IPA. Presuppone una password di massa a meno che
anche il principale è impostato.

-W Richiedi la password per unire una macchina al regno IPA.

-k, --tastiera
Percorso della keytab dell'host di cui è stato eseguito il backup dalla registrazione precedente. Si unisce all'host anche se
è già iscritto.

--mkhomedir
Configura PAM per creare una directory home degli utenti se non esiste.

--Nome host
Il nome host di questa macchina (FQDN). Se specificato, verrà impostato il nome host e il
la configurazione del sistema verrà aggiornata per persistere al riavvio. Per impostazione predefinita un nome nodo
risultato da uname(2) viene utilizzato.

--force-join
Unisciti all'host anche se è già registrato.

--ntp-server=SERVER_NTP
Configura ntpd per utilizzare questo server NTP. Questa opzione può essere utilizzata più volte.

-N, --no-ntp
Non configurare o abilitare NTP.

--force-ntpd
Arresta e disabilita qualsiasi servizio di sincronizzazione di data e ora oltre a ntpd.

--nisdominio=NIS_DOMINIO
Imposta il nome di dominio NIS come specificato. Per impostazione predefinita, questo è impostato sul dominio IPA
nome.

--no-nisdominio
Non configurare il nome di dominio NIS.

--ssh-fiducia-dns
Configura il client OpenSSH per fidarsi dei record DNS SSHFP.

--no-ssh
Non configurare il client OpenSSH.

--no-sshd
Non configurare il server OpenSSH.

--no-sudo
Non configurare SSSD come origine dati per sudo.

--no-dns-sshfp
Non creare automaticamente record SSHFP DNS.

--noac Non utilizzare Authconfig per modificare la configurazione di nsswitch.conf e PAM.

-f, --vigore
Forza le impostazioni anche se si verificano errori

--kinit-tentativi=KINIT_TENTAMENTI
In caso di KDC che non risponde (ad esempio quando si registrano più host contemporaneamente in un pesante
load environment) ripetere la richiesta del ticket host Kerberos fino ad un numero totale
of KINIT_TENTAMENTI volte prima di rinunciare e interrompere l'installazione del client. Predefinito
numero di tentativi è 5. La richiesta non viene ripetuta quando c'è un problema con
le stesse credenziali dell'host (ad es. formato keytab errato o principal non valido) quindi
l'utilizzo di questa opzione non comporterà il blocco dell'account.

-d, - debug
Stampa le informazioni di debug su stdout

-U, --incustodito
Installazione non presidiata. L'utente non verrà richiesto.

--ca-file-cert=CA_FILE
Non tentare di acquisire il certificato CA IPA tramite mezzi automatizzati, utilizzare invece
il certificato CA trovato localmente in in CA_FILE. CA_FILE deve essere un assoluto
percorso di un file di certificato in formato PEM. Il certificato CA trovato in CA_FILE is
considerato autorevole e verrà installato senza verificare se lo è
valido per il dominio IPA.

--richiesta-cert
Richiedi il certificato per la macchina. Il certificato verrà archiviato in
/etc/ipa/nssdb con il nickname "Host IPA locale".

--posizione-automount=LOCATION
Configura il montaggio automatico eseguendo ipa-client-montaggio automatico(1) con LOCATION come montaggio automatico
posizione.

--configura-firefox
Configura Firefox per utilizzare le credenziali di dominio IPA.

--dir-firefox=DIR
Specificare la directory di installazione di Firefox. Ad esempio: '/usr/lib/firefox'

--indirizzo IP=INDIRIZZO IP
Usa il INDIRIZZO IP nel record DNS A/AAAA per questo host. Può essere specificato più volte
per aggiungere più record DNS.

--all-ip-address
Crea record DNS A/AAAA per ogni indirizzo IP su questo host.

SSSD VERSIONI
--permesso
Configura SSSD per consentire tutti gli accessi. In caso contrario la macchina sarà controllata da
i controlli di accesso basati su host (HBAC) sul server IPA.

--enable-dns-aggiornamenti
Questa opzione dice a SSSD di aggiornare automaticamente il DNS con l'indirizzo IP di questo
cliente.

--no-krb5-password-offline
Configura SSSD per non memorizzare la password dell'utente quando il server è offline.

-S, --no-ssd
Non configurare il client per l'utilizzo di SSSD per l'autenticazione, utilizzare invece nss_ldap.

--preserve-sssd
Disabilitato per impostazione predefinita. Se abilitato, conserva la vecchia configurazione SSSD se non lo è
possibile unirlo con uno nuovo. In effetti, se la fusione non è possibile a causa
al lettore SSSDConfig che incontra opzioni non supportate, ipa-client-install non sarà
corri ulteriormente e chiedi di correggere prima la configurazione di SSSD. Quando questa opzione non è specificata,
ipa-client-install eseguirà il backup della configurazione SSSD e ne creerà una nuova. La versione di backup
verrà ripristinato durante la disinstallazione.

UNINSTALL VERSIONI
--disinstalla
Rimuovere il software client IPA e ripristinare la configurazione allo stato pre-IPA.

-U, --incustodito
Disinstallazione non presidiata. L'utente non verrà richiesto.

Utilizzare ipa-client-install online utilizzando i servizi onworks.net


Server e workstation gratuiti

>>


Scarica app per Windows e Linux

>>


Comandi Linux

Ad




INFORMAZIONI SU ONWORKS®

OnWorks è un provider di hosting VPS online gratuito che offre servizi cloud come workstation gratuite, antivirus online, proxy sicuri VPN gratuiti ed e-mail personali e aziendali gratuite. Il nostro VPS gratuito può essere basato su CentOS, Fedora, Ubuntu e Debian. Alcuni di essi sono personalizzati per essere come Windows online o MacOS online.

Altri link
I nostri siti

Copyright ©2023 OffiDocs Group OU. Tutti i diritti riservati. OnWorks® è un marchio registrato.