ipa-replica-manage - מקוון בענן

תָכְנִית:

שֵׁם

ipa-replica-manage - ניהול העתק IPA

תַקצִיר

ipa-replica-manage [אוֹפְּצִיָה]... [פקודה]

תיאור

מנהל את הסכמי השכפול של שרת IPA.

כדי לנהל הסכמי שכפול IPA בדומיין ברמה של תחום 1, השתמש ב-IPA CLI או בממשק אינטרנטי,
ראה 'טופולוגיה עזרה של ipa' למידע נוסף.

הפקודות הזמינות הן:

לְחַבֵּר [SERVER_A]
- מוסיף הסכם שכפול חדש בין SERVER_A/localhost לבין SERVER_B. בְּ
רמת דומיין 1 חלה רק על הסכמי winsync.

לנתק [SERVER_A]
- מסיר הסכם שכפול בין SERVER_A/localhost לבין SERVER_B. בְּ
רמת דומיין 1 חלה רק על הסכמי winsync.

דל
- מסיר את כל הסכמי השכפול והנתונים על SERVER. ברמת דומיין 1 זה
מסיר נתונים והסכמים עבור שתי הסיומות - דומיין ו-ca.

רשימה [שרת]
- מפרט את כל השרתים או את רשימת ההסכמים של SERVER

לאתחל מחדש
- מאלץ אתחול מחדש מלא של שרת ה-IPA המאחזר נתונים מהשרת
צוין עם האפשרות --from

סנכרון בכוח
- יש לשטוף מיד את כל הנתונים שיש לשכפל משרת שצוין עם
--מאופציה

list-ruv
- רשום את מזהי השכפול בשרת זה.

נקי-רוב [REPLICATION_ID]
- הפעל את המשימה CLEANALLRUV כדי להסיר מזהה שכפול.

נקי-מתנדנד-רוב
- מנקה את כל ה-RUVs ו-CS-RUVs שנותרו במערכת מהסרה
העתקים.

להפיל-נקה-ruv [REPLICATION_ID]
- בטל משימת CLEANALLRUV שפועלת. עם אפשרות --force המשימה לא מחכה
כל שרתי העתק שנשלחו למשימת הביטול, או להיות מקוונים, לפני כן
מַשׁלִים.

רשימה-נקה-רוב
- רשום את כל CLEANALLRUV הפועלים ובטל משימות CLEANALLRUV.

מופע של דנראנג' [שרת]
- רשום את טווחי ה-DNA

סט דנראנג' שרת התחלה סוף
- הגדר את טווח ה-DNA על מאסטר

dnanextrange-show [שרת]
- רשום את טווחי ה-DNA הבאים

dnanextrange-set שרת התחלה סוף
- הגדר את הטווח הבא של ה-DNA במאסטר

אפשרויות החיבור והניתוק משמשות לניהול טופולוגיית השכפול. כש
עותק נוצר הוא מחובר רק למאסטר שיצר אותו. החיבור
ניתן להשתמש באפשרות כדי לחבר אותו להעתקים קיימים אחרים.

לא ניתן להשתמש באפשרות הניתוק כדי להסיר את הקישור האחרון של העתק. כדי להסיר א
העתק מהטופולוגיה השתמש באפשרות del.

אם העתק נמחק ולאחר מכן נוסף מחדש תוך פרק זמן קצר, ה-389-ds
יש להפעיל מחדש את המופע במאסטר שיצר אותו לפני התקנה מחדש של ה-
הֶעתֵק מְדוּיָק. למאסטר יישמרו במטמון את עקרונות השירות הישנים שיגרמו
שכפול להיכשל.

לכל שרת ראשי IPA יש מזהה שכפול ייחודי. מזהה זה משמש את 389-ds-base כאשר
אחסון מידע על מצב שכפול. הפלט מורכב מהמאסטרים ושלהם
מזהה שכפול בהתאמה. לִרְאוֹת נקי-רוב

כאשר מאסטר מוסר, כל המאסטרים האחרים צריכים להסיר את מזהה השכפול שלו מה-
רשימת מאסטרים. בדרך כלל זה מתרחש באופן אוטומטי כאשר מאסטר נמחק עם
ipa-replica-manage. אם מאסטר אחד או יותר היה מושבת או לא ניתן להגיע אליו בזמן ipa-replica-manage
הוצא לפועל, אז ייתכן שזיהוי העתק הזה עדיין קיים. ניתן להשתמש בפקודת clean-ruv
לנקות מזהה שכפול שאינו בשימוש.

הערה: נקי-רוב הוא מאוד מְסוּכָּן. ביצוע כנגד מזהה שכפול שגוי עלולה להיגרם
בנתונים לא עקביים על אותו מאסטר. יש לאתחל מחדש את המאסטר מאם אחר
זה קורה.

טופולוגיית השכפול נבדקת כאשר מאסטר נמחק ותנסה למנוע
מאסטר מלהיות יתום. לדוגמה, אם הטופולוגיה שלך היא A <-> B <-> C ואתה
ניסיון למחוק מאסטר B זה ייכשל כי זה ישאיר מאסטרים ו-A ו-C
מְיוּתָם.

רשימת המאסטרים מאוחסנת ב-cn=masters,cn=ipa,cn=etc,dc=example,dc=com. זה אמור
לנקות באופן אוטומטי כאשר מאסטר נמחק. אם קורה שמחקת
המאסטר וכל ההסכמים אבל הערכים האלה עדיין קיימים אז לא תוכל
כדי להתקין מחדש את IPA עליו, ההתקנה תיכשל עם:

לא ניתן למחוק או להשבית מארח IPA באמצעות פקודות סטנדרטיות (host-del, for
דוגמא).

ניתן לנקות מאסטר יתום באמצעות הוראת del עם אפשרות --cleanup.
פעולה זו תסיר את הערכים מ-cn=masters,cn=ipa,cn=etc שמונעים אחרת את host-del
מעבודה, פרופיל ה-DNA שלו, תצורת s4u2proxy, עקרונות שירות והסר אותו
מתוך ברירת המחדל של פרופיל DUA defaultServerList.

אפשרויות

-H HOST, --מנחה=HOST
שרת ה-IPA לניהול. ברירת המחדל היא המחשב שבו הפקודה מופעלת
לא כיבדו בפקודת האתחול מחדש.

-p DM_PASSWORD, --סיסמה=DM_PASSWORD
סיסמת מנהל המדריך לשימוש לצורך אימות

-v, --מִלוּלִי
ספק מידע נוסף

-f, --כּוֹחַ
התעלם מסוגים מסוימים של שגיאות, אל תבקש הודעה בעת מחיקת מאסטר

-c, --ללא חיפוש
אל תבצע בדיקות חיפוש DNS.

-c, --לנקות
בעת מחיקת מאסטר עם הדגל --force, הסר הפניות שנשארו ל-an
מאסטר כבר נמחק.

--binddn=ADMIN_DN
לאגד DN לשימוש עם שרת מרוחק (ברירת המחדל היא cn=מנהל ספריות) - היזהר
ציטוט ערך זה בשורת הפקודה

--bindpw=ADMIN_PWD
סיסמה לשימוש ב-Bind DN עם ​​שרת מרוחק (ברירת המחדל היא DM_PASSWORD למעלה)

--winsync
מציין ליצור/להשתמש בהסכם Windows Sync

--cacert=/path/to/cacertfile
נתיב ושם קובץ מלאים של אישור CA לשימוש עם TLS/SSL לשרת המרוחק -
אישור CA זה יותקן באישור של שרת הספריות
מסד נתונים

--win-subtree=cn=Users,dc=example,dc=com
DN של תת-עץ של Windows המכיל את המשתמשים שברצונך לסנכרן (ברירת מחדל
cn=משתמשים, - זה בדרך כלל מה ש-Windows AD משתמש כברירת מחדל
value) - היזהר לצטט את הערך הזה בשורת הפקודה

--passsync=PASSSYNC_PWD
סיסמה עבור משתמש מערכת ה-IPA המשמש את הפלאגין Windows PassSync לסנכרון
סיסמאות. נדרש בעת שימוש ב--winsync. זה לא אומר שאתה צריך להשתמש ב
שירות PassSync.

--מ=שרת
השרת שממנו ניתן למשוך את הנתונים, המשמש את האתחול מחדש והסנכרון בכפייה
פקודות.

ריינג'ים

IPA משתמש בתוסף 389-ds Distributed Numeric Assignment (DNA) כדי להקצות מזהי POSIX עבור
משתמשים וקבוצות. טווח נוצר כאשר ה-IPA מותקן ומוקצה חצי מהטווח
למאסטר IPA הראשון לצורכי הקצאה.

מאסטרים חדשים של IPA אינם מקבלים אוטומטית הקצאת טווח DNA. הקצאת טווח היא
נעשה רק כאשר נוסף משתמש או קבוצת POSIX באותו מאסטר.

תוסף ה-DNA תומך גם בתצורת "על הסיפון" או תצורת הטווח הבא. כאשר הראשוני
הטווח מוצה, במקום ללכת למאסטר אחר לבקש יותר, הוא ישתמש בו
טווח על הסיפון אם מוגדר כזה. לכל מאסטר יכול להיות רק טווח אחד וטווח אחד על הסיפון
מוּגדָר.

כאשר מאסטר מוסר נעשה ניסיון לשמור את טווחי ה-DNA שלו על מאסטר אחר
בטווח שלו על הסיפון. IPA לא ינסה להרחיב או למזג טווחים. אם אין
חריצי טווח זמינים על הסיפון אז זה מדווח למשתמש. הטווח יעיל
אבוד אלא אם כן הוא מוזג ידנית לטווח של מאסטר אחר.

ניתן לנהל את טווח ה-DNA והערכים על הסיפון (הבא) באמצעות ה-dnarange-set ו-
פקודות dnanextrange-set. הכללים לניהול טווחים אלה הם:
- הטווח חייב להיות כלול לחלוטין בטווח מקומי כפי שהוגדר על ידי ה-IPA
פקודת זר.

- הטווח אינו יכול לחפוף את טווח ה-DNA או הטווח על הסיפון במאסטר IPA אחר.

- הטווח אינו יכול לחפוף את טווח המזהה של AD Trust.

- לא ניתן להסיר את טווח ה-DNA הראשוני.

- ניתן להסיר טווח טווח על הסיפון על ידי הגדרתו ל-0-0. ההנחה היא
שהטווח יועבר באופן ידני או ימוזג למקום אחר.

ניתן להציג את הטווח והטווח הבא של מאסטר ספציפי על ידי העברת ה-FQDN של זה
מאסטר לפקודת dnarange-show או dnanextrange-show.

ביצוע שינויים בטווחים כמנהל מערכת מואצלת (לדוגמה, לא משתמש במדריך
סיסמת מנהל) דורשת ACI 389-ds נוספים. אלה מותקנים במאסטרים משודרגים
אבל לא קיימים. השינויים מתבצעים ב-cn=config שאינו משוכפל. ה
התוצאה היא שלא ניתן לנהל את טווחי ה-DNA במאסטרים שאינם משודרגים כמאציל
מנהל מערכת.

דוגמאות

רשום את כל המאסטרים:
# רשימת ipa-replica-manage
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com

רשום הסכמי שכפול של שרת.
# ipa-replica-manage list srv1.example.com
srv2.example.com
srv3.example.com

אתחול מחדש של העתק:
# ipa-replica-manage re-initialize --from srv2.example.com

זה יאתחל מחדש את הנתונים בשרת שבו אתה מבצע את הפקודה,
אחזור הנתונים מהעותק העתק srv2.example.com

הוסף הסכם שכפול חדש:
# ipa-replica-manage connect srv2.example.com srv4.example.com

הסר הסכם שכפול קיים:
# ipa-replica-manage disconnect srv1.example.com srv3.example.com

הסר לחלוטין עותק:
# ipa-replica-manage del srv4.example.com

באמצעות התחברות/ניתוק תוכל לנהל את טופולוגיית השכפול.

רשום את מזהי השכפול בשימוש:
# ipa-replica-manage list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4

הסר הפניות למאסטר יתום ונמחק:
# ipa-replica-manage del --force --cleanup master.example.com

WINSYNC

יצירת הסכם סינכרון של Windows AD דומה ליצירת שכפול IPA
הסכם, יש רק כמה שלבים נוספים.

ערך משתמש מיוחד נוצר עבור שירות PassSync. ה-DN של ערך זה הוא
uid=passsync,cn=sysaccounts,cn=etc, . אינך נדרש להשתמש ב- PassSync כדי להשתמש ב-
הסכם סנכרון של Windows אך נדרשת הגדרת סיסמה עבור המשתמש.

הדוגמאות הבאות משתמשות בחשבון מנהל AD כמשתמש הסנכרון. זֶה
אינו חובה אך למשתמש חייבת להיות גישת קריאה לעץ המשנה.

1. העבר את אישור ה-CA של Windows AD המקודד base64 לשרת ה-IPA שלך

2. הסר את האישורים הקיימים של kerberos
# kdestroy

3. הוסף את הסכם שכפול winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v

תתבקש לספק את הסיסמה של מנהל הספריות.

צור הסכם שכפול של winsync:

# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com

הסר הסכם שכפול של winsync:
# ipa-replica-manage disconnect windows.ad.example.com

PASSSYNC

PassSync הוא שירות Windows הפועל על בקרי תחום AD כדי ליירט סיסמה
שינויים. הוא שולח את שינויי הסיסמה הללו לשרת IPA LDAP דרך TLS. הסיסמאות האלה
השינויים עוקפים את הגדרות מדיניות הסיסמה הרגילות של IPA והסיסמה אינה מוגדרת ל
יפוג מיד. הסיבה לכך היא שעד שה-IPA מקבל את שינוי הסיסמה שיש לו
כבר התקבל על ידי AD אז זה מאוחר מדי לדחות את זה.

IPA מחזיקה רשימה של DNs הפטורים ממדיניות סיסמאות. נוסף משתמש מיוחד
אוטומטית כאשר נוצר הסכם שכפול של winsync. ה-DN של משתמש זה הוא
נוסף לרשימת הפטורים המאוחסנת ב-passSyncManagersDNs בערך
cn=ipa_pwd_extop,cn=plugins,cn=config.

יְצִיאָה סטָטוּס

0 אם הפקודה הצליחה

1 אם אירעה שגיאה

השתמש ב-ipa-replica-manage באינטרנט באמצעות שירותי onworks.net