אנגליתצרפתיתספרדי

Ubuntu | Fedora | VPN | File sharing

Ad


סמל OnWorks

ipa-client-install - מקוון בענן

הפעל את ipa-client-install בספק האירוח החינמי של OnWorks על אובונטו מקוון, פדורה מקוון, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

זוהי הפקודה ipa-client-install שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

תָכְנִית:

שֵׁם


ipa-client-install - הגדר לקוח IPA

תַקצִיר


ipa-client-install [אוֹפְּצִיָה] ...

תיאור


מגדיר מחשב לקוח לשימוש ב-IPA עבור שירותי אימות וזהות.

כברירת מחדל, זה מגדיר את ה-SSSD להתחבר לשרת IPA לצורך אימות ו
הרשאה. לחלופין, אפשר במקום להגדיר PAM ו-NSS (שירות החלפת שמות)
לעבוד עם שרת IPA מעל Kerberos ו-LDAP.

משתמש מורשה נדרש להצטרף למחשב לקוח ל-IPA. זה יכול ללבוש צורה של
מנהל kerberos או סיסמה חד פעמית הקשורה למכונה.

אותו כלי משמש לביטול קביעת התצורה של IPA ומנסה להחזיר את המחשב אליו
מצב קודם. חלק מתהליך זה הוא לבטל את הרישום של המארח משרת ה-IPA.
ביטול הרישום מורכב מביטול המפתח הראשי בשרת ה-IPA כך שיהיה
נרשמת מחדש. מנהל המחשב ב-/etc/krb5.keytab (host/ @REALM) רגיל
אימות לשרת ה-IPA כדי לבטל את הרישום עצמו. אם המנהל הזה לא קיים אז
ביטול ההרשמה ייכשל ומנהל מערכת יצטרך להשבית את מנהל המארח (ipa
מארח-השבתה ).

הנחות
הסקריפט ipa-client-install מניח שהמכונה כבר יצרה מפתחות SSH. זה
לא יפיק מפתחות SSH מעצמו. אם מפתחות SSH אינם קיימים (למשל מתי
הפעלת ה-ipa-client-install ב-Kickstart, לפני אי פעם הפעלת sshd), הם לא יהיו
הועלה לערך מארח הלקוח בשרת.

שם מארח דרישות
הלקוח חייב להשתמש ב- סטטי המארח. אם שם המארח של המחשב משתנה למשל עקב א
הקצאת שם מארח דינמי על ידי שרת DHCP, רישום לקוח לשרת IPA הפסקות ו
המשתמש אז לא יוכל לבצע אימות Kerberos.

ניתן להשתמש באפשרות --hostname כדי לציין שם מארח סטטי שנמשך במהלך אתחול מחדש.

DNS גילוי אוטומטי
מתקין לקוח כברירת מחדל מנסה לחפש את רשומות _ldap._tcp.DOMAIN DNS SRV עבור כל
דומיינים שהם אב לשם המארח שלו. לדוגמה, אם למחשב לקוח יש שם מארח
'client1.lab.example.com', המתקין ינסה לאחזר שם מארח של שרת IPA
רשומות _ldap._tcp.lab.example.com, _ldap._tcp.example.com ו-_ldap._tcp.com DNS SRV,
בהתאמה. לאחר מכן, התחום שהתגלה משמש להגדרת רכיבי לקוח (למשל SSSD
ותצורת Kerberos 5) במכונה.

כאשר שם המארח של מחשב הלקוח אינו בתת-דומיין של שרת IPA, הדומיין שלו יכול להיות
עבר עם אפשרות --domain. במקרה זה, גם לרכיבי SSSD וגם לרכיבי Kerberos יש את
תחום שהוגדר בקובצי התצורה וישתמש בו לגילוי אוטומטי של שרתי IPA.

ניתן להגדיר מכונת לקוח גם ללא גילוי אוטומטי של DNS בכלל. כאשר שניהם
נעשה שימוש באפשרויות --server ו --domain, מתקין הלקוח ישתמש בשרת שצוין ו
דומיין ישירות. אפשרות השרת מקבלת שמות מארח מרובים של שרתים שניתן להשתמש בהם
מנגנון כשל. ללא גילוי אוטומטי של DNS, Kerberos מוגדר עם רשימה קבועה של
שרתי KDC ו-Admin. SSSD עדיין מוגדר לנסות לקרוא את ה-SRV של הדומיין
רשומות או רשימה קבועה של שרתים. כאשר מוגדרת האפשרות --fixed-primary,
SSSD לא ינסה לקרוא את רשומת DNS SRV בכלל (ראה sssd-ipa(5) לפרטים).

אל האני Failover מנגנון
כאשר חלק משרתי ה-IPA אינם זמינים, רכיבי לקוח יכולים לחזור אליהם
העתק אחר של IPA ובכך לשמר את המשך השירות. כאשר מכונת הלקוח היא
מוגדר להשתמש בגילוי אוטומטי של רשומת DNS SRV (לא הועבר שרת קבוע ל-
מתקין), רכיבי לקוח עושים את החזרה אוטומטית, בהתבסס על שרת ה-IPA
שמות מארחים וסדרי עדיפויות שהתגלו מתוך רשומות ה-DNS SRV.

אם גילוי אוטומטי של DNS אינו זמין, לקוחות צריכים להיות מוגדרים לפחות עם קבוע
רשימה של שרתי IPA שניתן להשתמש בהם במקרה של תקלה. כאשר יש רק שרת IPA אחד
מוגדר, שירותי לקוח IPA לא יהיו זמינים במקרה של כשל ב-IPA
שרת. שימו לב, שבמקרה של רשימה קבועה של שרתי IPA, השרתים הקבועים מופיעים
ברכיבי לקוח יש לעדכן כאשר נרשם שרת IPA חדש או IPA נוכחי
השרת מושבת.

דוּ קִיוּם עם אחר מַדרִיך שרתים
שרתי ספריות אחרים הפרוסים ברשת (למשל Microsoft Active Directory) עשויים להשתמש
אותן רשומות DNS SRV לציון מארחים עם שירות ספריות (_ldap._tcp.DOMAIN).
רשומות DNS SRV כאלה עלולות לשבור את ההתקנה אם המתקין יגלה את ה-DNS הללו
רשומות לפני שהוא מוצא רשומות DNS SRV המצביעות על שרתי IPA. המתקין יעשה זאת
לא מצליחים לגלות את שרת ה-IPA ולצאת עם שגיאה.

על מנת להימנע מבעיות הגילוי האוטומטי של DNS שהוזכרו לעיל, שם המארח של מחשב הלקוח
צריך להיות בדומיין עם רשומות DNS SRV מוגדרות כהלכה המצביעות על שרתי IPA,
או באופן ידני עם שרת DNS מותאם אישית או עם פתרון משולב IPA DNS. שנייה
הגישה תהיה להימנע מגילוי אוטומטי ולהגדיר את המתקין להשתמש ברשימה קבועה
של שמות מארח של שרת IPA באמצעות אפשרות --server ועם אפשרות --fixed-primary
השבתת גילוי אוטומטי של רשומת DNS SRV ב-SSSD.

הרשמה מחדש of מה היא המארח
דרישות:

1. המארח לא בוטל (הפקודה ipa-client-install --uninstall לא בוטלה
לָרוּץ).
2. ערך המארח לא הושבת באמצעות הפקודה ipa host-disable.

אם זה היה המקרה, ניתן לרשום מחדש את המארח באמצעות השיטות הרגילות.

ישנן שתי שיטות לאימות הרשמה מחדש:

1. אתה יכול להשתמש באפשרות --force-join עם פקודת ipa-client-install. זה מאמת את
הרשמה מחדש באמצעות אישורי המנהל שסופקו דרך אפשרות ה--w/--password.
2. אם אין אפשרות לספק את סיסמת המנהל דרך שורת הפקודה (למשל אתה רוצה
כדי ליצור סקריפט כדי לרשום מחדש מארח ולשמור על אבטחת סיסמת המנהל), אתה יכול להשתמש
מגובה keytab מההרשמה הקודמת של מארח זה לאימות. ראה --keytab
אוֹפְּצִיָה.

ההשלכות של ההרשמה מחדש על ערך המארח:

1. מונפק אישור מארח חדש
2. אישור המארח הישן נשלל
3. מפתחות SSH חדשים נוצרים
4. ipaUniqueID נשמר

אפשרויות


בסיסי אפשרויות
--תְחוּם=DOMAIN
הגדר את שם הדומיין ל-DOMAIN. כאשר לא צוינה אפשרות --server, המתקין
ינסה לגלות את כל השרתים הזמינים באמצעות גילוי אוטומטי של רשומת DNS SRV (ראה
קטע DNS Autodiscovery לפרטים).

--שרת=שרת
הגדר את שרת ה-IPA להתחבר אליו. ניתן לציין מספר פעמים כדי להוסיף מספר רב
שרתים לערך ipa_server ב-sssd.conf או krb5.conf. רק הערך הראשון הוא
נחשב בשימוש עם --no-sssd. כאשר נעשה שימוש באפשרות זו, גילוי אוטומטי של DNS
עבור Kerberos מושבת ומוגדרת רשימה קבועה של שרתי KDC ו-Admin.

--תְחוּם=REALM_NAME
הגדר את שם תחום ה-IPA ל-REALM_NAME. בנסיבות רגילות, אפשרות זו היא
אין צורך שכן שם הממלכה מאוחזר משרת ה-IPA.

--קבוע-ראשוני
הגדר את SSSD לשימוש בשרת קבוע כשרת ה-IPA הראשי. ברירת המחדל היא ל
השתמש ברשומות DNS SRV כדי לקבוע את השרת הראשי לשימוש ולחזור ל-
שרת שהלקוח רשום אליו. בשימוש בשילוב עם --server אז לא
ערך _srv_ מוגדר באפשרות ipa_server ב-sssd.conf.

-p, --קֶרֶן
מנהל kerberos מורשה להשתמש בו כדי להצטרף לתחום ה-IPA.

-w סיסמא, --סיסמה=סיסמא
סיסמא להצטרפות מכונה לתחום ה-IPA. מניח סיסמה בכמות גדולה אלא אם כן
גם המנהל נקבע.

-W בקש את הסיסמה להצטרפות מכונה לתחום ה-IPA.

-k, --keytab
נתיב לכרטיסיית מקשים מארח מגובת מההרשמה הקודמת. מצטרף למארח גם אם כן
כבר רשום.

--mkhomedir
הגדר את PAM ליצירת ספריית בית של משתמשים אם היא לא קיימת.

--שם מארח
שם המארח של מחשב זה (FQDN). אם צוין, שם המארח יוגדר וה-
תצורת המערכת תעודכן כך שתמשיך במהלך אתחול מחדש. כברירת מחדל, שם צומת
כתוצאה מ לא שם(2) משמש.

--להצטרף בכוח
הצטרף למארח גם אם הוא כבר רשום.

-- שרת ntp=NTP_SERVER
הגדר את ntpd לשימוש בשרת NTP זה. ניתן להשתמש באפשרות זו מספר פעמים.

-N, --לא-ntp
אין להגדיר או להפעיל NTP.

--force-ntpd
עצור והשבת כל שירותי סנכרון זמן ותאריך מלבד ntpd.

--nisdomain=NIS_DOMAIN
הגדר את שם הדומיין NIS כפי שצוין. כברירת מחדל, זה מוגדר לדומיין IPA
שם.

--ללא תחום
אין להגדיר שם דומיין של NIS.

--ssh-trust-dns
הגדר את לקוח OpenSSH לסמוך על רשומות DNS SSHFP.

--לא-שש
אל תגדיר את לקוח OpenSSH.

--no-sshd
אל תגדיר את שרת OpenSSH.

--לא-סודו
אל תגדיר SSSD כמקור נתונים עבור sudo.

--no-dns-sshfp
אל תיצור באופן אוטומטי רשומות DNS SSHFP.

--נואק אל תשתמש ב-Authconfig כדי לשנות את תצורת nsswitch.conf ו-PAM.

-f, --כּוֹחַ
כפה את ההגדרות גם אם מתרחשות שגיאות

--קיניט-נסיונות=KINIT_ATTEMPTS
במקרה של KDC לא מגיב (למשל בעת רישום של מספר מארחים בו-זמנית ב-Heavy
סביבת טעינה) חזור על הבקשה לכרטיס Kerberos המארח עד למספר כולל
of KINIT_ATTEMPTS פעמים לפני הוויתור והפסקת התקנת הלקוח. בְּרִירַת מֶחדָל
מספר הניסיונות הוא 5. הבקשה אינה חוזרת כאשר יש בעיה עם
אישורי המארח עצמם (למשל פורמט טאב שגוי או מנהל לא חוקי) כך
שימוש באפשרות זו לא יוביל להשבתת חשבונות.

-d, --לנפות
הדפס מידע איתור באגים ל-stdout

-U, --ללא השגחה
התקנה ללא השגחה. המשתמש לא יקבל הנחיה.

--ca-cert-file=CA_FILE
אל תנסה לרכוש את אישור IPA CA באמצעים אוטומטיים, אלא השתמש
אישור CA שנמצא באופן מקומי ב- in CA_FILE. ה CA_FILE חייב להיות מוחלט
נתיב לקובץ אישור בפורמט PEM. אישור CA שנמצא ב CA_FILE is
נחשב סמכותי ויותקן מבלי לבדוק אם כן
תקף לדומיין IPA.

--request-cert
בקש אישור עבור המכונה. התעודה תישמר ב
/etc/ipa/nssdb תחת הכינוי "מארח IPA מקומי".

---automount-location=לוקיישן
הגדר הרכבה אוטומטית על ידי הפעלה ipa-client-automount(1) עם לוקיישן בתור הרכבה אוטומטית
מקום.

--configure-firefox
הגדר את Firefox להשתמש באישורי דומיין IPA.

--firefox-dir=DIR
ציין את ספריית ההתקנה של Firefox. לדוגמה: '/usr/lib/firefox'

--כתובת ה - IP=כתובת ה - IP
השתמש כתובת ה - IP ברשומת DNS A/AAAA עבור מארח זה. ניתן לציין מספר פעמים
כדי להוסיף רשומות DNS מרובות.

--כל כתובות ה-ip
צור רשומת DNS A/AAAA עבור כל כתובת IP במארח זה.

SSSD אפשרויות
--לְהַתִיר
הגדר את SSSD כדי לאפשר כל גישה. אחרת המכונה תהיה נשלטת על ידי
בקרות הגישה מבוססות המארח (HBAC) בשרת ה-IPA.

--enable-dns-updates
אפשרות זו אומרת ל-SSSD לעדכן אוטומטית את ה-DNS עם כתובת ה-IP של זה
לקוחות.

--no-krb5-offline-passwords
הגדר את SSSD לא לאחסן סיסמת משתמש כשהשרת במצב לא מקוון.

-S, --לא-sssd
אל תגדיר את הלקוח להשתמש ב-SSSD לאימות, השתמש ב-nss_ldap במקום זאת.

--שמר-sssd
מושבת כברירת מחדל. כאשר מופעל, שומר על תצורת SSSD ישנה אם היא לא
אפשרי למזג אותו עם חדש. למעשה, אם המיזוג אינו אפשרי עקב
לקורא SSSDConfig נתקל באפשרויות לא נתמכות, ipa-client-install לא יהיה
הרץ עוד ובקש לתקן תחילה תצורת SSSD. כאשר אפשרות זו אינה מצוינת,
ipa-client-install יגבה תצורת SSSD וייצור אחת חדשה. גרסת הגיבוי
ישוחזר במהלך הסרת ההתקנה.

להתקין אפשרויות
--הסר התקנה
הסר את תוכנת לקוח IPA ושחזר את התצורה למצב שלפני ה-IPA.

-U, --ללא השגחה
הסרה ללא השגחה. המשתמש לא יקבל הנחיה.

השתמש ב-ipa-client-install באינטרנט באמצעות שירותי onworks.net


שרתים ותחנות עבודה בחינם

>>


הורד אפליקציות Windows & Linux

>>


פקודות לינוקס

Ad




אודות ®ONWORKS

OnWorks היא ספקית אירוח VPS מקוונת בחינם, שנותנת שירותי ענן כמו תחנות עבודה בחינם, אנטי וירוס מקוון, פרוקסי מאובטחים בחינם של VPN ודואר אלקטרוני אישי ועסקי בחינם. ה-VPS החינמי שלנו יכול להתבסס על CentOS, Fedora, Ubuntu ודביאן. חלקם מותאמים אישית להיות כמו Windows מקוון או MacOS מקוון.

קישורים לאתר
האתרים שלנו

זכויות יוצרים ©2023 OffiDocs Group OU. כל הזכויות שמורות. OnWorks® הוא סימן מסחרי רשום.