ipa-adtrust-install - מקוון בענן

תָכְנִית:

שֵׁם

ipa-adtrust-install - הכן שרת IPA כדי להיות מסוגל ליצור קשרי אמון
עם דומיינים של AD

תַקצִיר

ipa-adtrust-install [אוֹפְּצִיָה] ...

תיאור

מוסיף את כל האובייקטים והתצורה הדרושים כדי לאפשר לשרת IPA ליצור אמון אליו
דומיין של Active Directory. זה מחייב ששרת ה-IPA כבר מותקן ו
מוגדר.

שים לב שלא תוכל לבסס אמון לדומיין של Active Directory
אלא אם שם התחום של שרת ה-IPA תואם את שם הדומיין שלו.

ניתן להפעיל את ipa-adtrust-install מספר פעמים כדי להתקין מחדש אובייקטים שנמחקו או שבורים
קבצי תצורה. למשל תצורת סמבה חדשה (מבוסס קובץ smb.conf ורישום
ניתן ליצור תצורה. פריטים אחרים כמו למשל התצורה של הטווח המקומי
לא ניתן לשנות על ידי הפעלת ipa-adtrust-install בפעם השנייה כי עם שינויים כאן
חפצים אחרים עשויים להיות מושפעים גם כן.

Firewall דרישות
בנוסף לדרישות חומת האש של שרת IPA, ipa-adtrust-install דורשת את
היציאות הבאות יהיו פתוחות כדי לאפשר ל-IPA ול-Active Directory לתקשר יחד:

TCP נמלים

· 135/tcp EPMAP

· 138/tcp NetBIOS-DGM

· 139/tcp NetBIOS-SSN

· 445/tcp Microsoft-DS

· 1024/tcp עד 1300/tcp כדי לאפשר ל-EPMAP ביציאה 135/tcp ליצור מאזין TCP
על סמך בקשה נכנסת.

UDP נמלים

· 138/udp NetBIOS-DGM

· 139/udp NetBIOS-SSN

· 389/udp LDAP

אפשרויות

-d, --לנפות
אפשר רישום באגים כאשר יש צורך בפלט רב יותר

--netbios-name=NETBIOS_NAME
שם ה-NetBIOS עבור תחום ה-IPA. אם לא מסופק, זה נקבע על סמך
על הרכיב המוביל של שם הדומיין DNS. הפעלת ipa-adtrust-install עבור a
פעם שנייה עם שם אחר של NetBIOS ישנה את השם. שים לב ש
שינוי שם NetBIOS עלול לשבור קשרי אמון קיימים עם אחרים
תחומים.

--no-msdcs
אל תיצור רשומות שירות DNS עבור Windows בשרת DNS מנוהל. מאז אלה
רשומות שירות DNS הן הדרך היחידה לגלות בקרי תחום של אחרים
יש להוסיף אותם ידנית לשרת DNS אחר כדי לאפשר אמון
מערכות יחסים פועלות כמו שצריך. כל רישומי השירות הדרושים רשומים מתי
ipa-adtrust-install מסתיים או --no-msdcs ניתן או לא שירות IPA DNS
מוגדר. בדרך כלל יש צורך ברשומות שירות עבור שמות השירותים הבאים
עבור תחום ה-IPA שאמור להפנות אל כל שרתי ה-IPA:

· _ldap._tcp

· _kerberos._tcp

· _kerberos._udp

· _ldap._tcp.dc._msdcs

· _kerberos._tcp.dc._msdcs

· _kerberos._udp.dc._msdcs

· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs

--add-sids
הוסף SID למשתמשים וקבוצות קיימים בשלבים האחרונים של
ipa-adtrust-install run. אם יש הרבה משתמשים וקבוצות קיימים וכמה
העתקים בסביבה פעולה זו עשויה להוביל לתעבורת שכפול גבוהה
וירידה בביצועים של כל שרתי ה-IPA בסביבה. כדי להימנע מכך
ניתן להפעיל את יצירת ה-SID לאחר הפעלה ומתוזמנת של ipa-adtrust-install
באופן עצמאי. כדי להתחיל משימה זו עליך לטעון גרסה ערוכה של ipa-sidgen-
task-run.ldif עם הפקודה ldapmodify info שרת הספריות.

--add-agents
הוסף מאסטרים של IPA לרשימה המאפשרת להגיש מידע על משתמשים מ
יערות מהימנים. החל מ- FreeIPA 4.2, מאסטר IPA רגיל יכול לספק זאת
מידע ללקוחות SSSD. מאסטרים של IPA אינם מתווספים לרשימה באופן אוטומטי
נדרשת הפעלה מחדש של שירות LDAP בכל אחד מהם. המארח איפה
הפעלת ipa-adtrust-install מתווספת אוטומטית.

שים לב שמאסטרים של IPA שבהם ipa-adtrust-install לא הופעל, יכולים להגיש מידע
על משתמשים מיערות מהימנים רק אם הם מופעלים באמצעות ipa-adtrust-install
לרוץ על כל מאסטר IPA אחר. נדרשת לפחות גרסה 1.13 של SSSD ב-IPA מאסטר
להיות מסוגל להופיע כסוכן אמון.

-U, --ללא השגחה
התקנה ללא השגחה שלעולם לא תבקש קלט משתמש

-U, --לפטר-בסיס=RID_BASE
ערך RID ראשון של הדומיין המקומי. מזהה Posix הראשון של הדומיין המקומי יהיה
מוקצה ל-RID זה, השני ל-RID+1 וכו'. ראה את העזרה המקוונת של ה-idrange
CLI לפרטים.

-U, --בסיס משני-לפטר=SECONDARY_RID_BASE
ערך ההתחלה של טווח ה-RID המשני, המשמש רק במקרה של משתמש ו-a
הקבוצה חולקת מספרית את אותו Posix ID. עיין בעזרה המקוונת של idrange CLI
לקבלת פרטים.

-A, --שם מנהל=ADMIN_NAME
שם המשתמש עם הרשאות ניהול עבור שרת IPA זה. ברירות מחדל
ל'אדמין'.

-a, --admin-password=סיסמא
הסיסמה של המשתמש עם הרשאות ניהול עבור שרת IPA זה. רָצוֹן
נשאל באופן אינטראקטיבי אם -U לא מצוין.

האישורים של משתמש המנהל ישמשו להשגת כרטיס Kerberos לפני כן
הגדרת תמיכה חוצה תחום אמון ולאחר מכן, כדי להבטיח שהכרטיס מכיל
מידע MS-PAC נדרש להוספת אמון עם דומיין Active Directory באמצעות 'ipa
הפקודה trust-add --type=ad'.

--enable-compat
מאפשר תמיכה עבור משתמשי דומיינים מהימנים עבור לקוחות ישנים באמצעות Schema
תוסף תאימות. SSSD תומך בדומיינים מהימנים באופן מקורי החל מהגרסה
1.9. עבור פלטפורמות שאין להן SSSD או להפעיל גרסת SSSD ישנה יותר צריך להשתמש בזה
אוֹפְּצִיָה. כאשר מופעל, יש להתקין את חבילת slapi-nis ו
schema-compat-plugin יוגדר כדי לספק חיפוש של משתמשים וקבוצות מהן
דומיינים מהימנים באמצעות SSSD בשרת IPA. משתמשים וקבוצות אלו יהיו זמינים
תחת cn=users,cn=compat,$SUFFIX ו cn=groups,cn=compat,$SUFFIX עצים. SSSD יהיה
לנרמל שמות של משתמשים וקבוצות לאותיות קטנות.

בנוסף לאספקת משתמשים וקבוצות אלה דרך עץ ה-compat, זה
האפשרות מאפשרת אימות באמצעות LDAP עבור משתמשי דומיין מהימנים עם DN מתחת
עץ compat, כלומר באמצעות bind DN
uid=administrator@ad.domain,cn=users,cn=compat,$SUFFIX.

אימות LDAP המבוצע על ידי עץ ה-compat נעשה באמצעות PAM 'מערכת-אישור'
שֵׁרוּת. שירות זה קיים כברירת מחדל במערכות לינוקס ומסופק על ידי pam
חבילה בתור /etc/pam.d/system-auth. אם להתקנת ה-IPA שלך אין HBAC ברירת מחדל
הכלל 'allow_all' מופעל, ולאחר מכן הקפד להגדיר ב-IPA שירות מיוחד שנקרא
'מערכת-אישור' וצור כלל HBAC כדי לאפשר גישה לכל אחד לכלל זה ב-IPA
אדונים.

כפי ש 'מערכת-אישורשירות PAM אינו בשימוש ישיר על ידי אף יישום אחר, הוא כן
בטוח להשתמש בו עבור משתמשי דומיין מהימנים דרך נתיב תאימות.

יְצִיאָה סטָטוּס
0 אם ההתקנה הצליחה

1 אם אירעה שגיאה

השתמש ב-ipa-adtrust-install באינטרנט באמצעות שירותי onworks.net