これは、Ubuntu Online、Fedora Online、Windowsオンラインエミュレーター、MAC OSオンラインエミュレーターなどの複数の無料オンラインワークステーションのXNUMXつを使用して、OnWorks無料ホスティングプロバイダーで実行できるコマンドipa-adtrust-installです。
プログラム:
NAME
ipa-adtrust-install-信頼関係を確立できるようにIPAサーバーを準備します
ADドメインを使用
SYNOPSIS
ipa-adtrust-install [オプション] ...
DESCRIPTION
必要なすべてのオブジェクトと構成を追加して、IPAサーバーが信頼を作成できるようにします。
ActiveDirectoryドメイン。 これには、IPAサーバーがすでにインストールされている必要があります。
構成されました。
ActiveDirectoryドメインへの信頼を確立することはできませんのでご注意ください
IPAサーバーのレルム名がそのドメイン名と一致しない限り。
ipa-adtrust-installを複数回実行して、削除されたオブジェクトまたは壊れたオブジェクトを再インストールできます
構成ファイル。 たとえば、新しいSamba構成(smb.confファイルとレジストリベース
構成を作成できます。 ローカル範囲の構成などの他の項目
ここで変更があるため、ipa-adtrust-installをXNUMX回実行しても変更できません
他のオブジェクトも影響を受ける可能性があります。
ファイアウォール 要件
IPAサーバーのファイアウォール要件に加えて、ipa-adtrust-installには
次のポートを開いて、IPAとActiveDirectoryが相互に通信できるようにします。
TCP ポート
・135 / tcp EPMAP
・138 / tcp NetBIOS-DGM
・139 / tcp NetBIOS-SSN
・445 / tcp Microsoft-DS
・1024/tcpから1300/tcpは、ポート135/tcpのEPMAPがTCPリスナーを作成できるようにします
着信要求に基づきます。
UDP ポート
・138 / udp NetBIOS-DGM
・139 / udp NetBIOS-SSN
・389 / udp LDAP
OPTIONS
-d, - デバッグ
より詳細な出力が必要な場合は、デバッグログを有効にします
--netbios-name=NETBIOS_NAME
IPAドメインのNetBIOS名。 提供されていない場合、これはに基づいて決定されます
DNSドメイン名の主要コンポーネント。 ipa-adtrust-installを実行して
XNUMX回目に別のNetBIOS名を使用すると、名前が変更されます。 その点に注意してください
NetBIOS名を変更すると、既存の信頼関係が壊れてしまう可能性があります
ドメイン
--no-msdcs
管理対象DNSサーバーでWindowsのDNSサービスレコードを作成しないでください。 それら以来
DNSサービスレコードは、他のドメインコントローラーを検出する唯一の方法です
ドメインを信頼できるようにするには、別のDNSサーバーに手動で追加する必要があります
実現は適切に機能します。 必要なすべてのサービスレコードは、
ipa-adtrust-installが終了し、-no-msdcsが指定されたか、IPADNSサービスが指定されなかった
が構成されています。 通常、次のサービス名のサービスレコードが必要です
すべてのIPAサーバーを指す必要があるIPAドメインの場合:
・_ldap._tcp
・_kerberos._tcp
・_kerberos._udp
・_ldap._tcp.dc._msdcs
・_kerberos._tcp.dc._msdcs
・_kerberos._udp.dc._msdcs
・_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
・_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
・_kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sids
の最終ステップの時点で、既存のユーザーとグループにSIDを追加します。
ipa-adtrust-installrun。 多くの既存のユーザーとグループがあり、
この操作により、環境内のレプリカが大量のレプリケーショントラフィックにつながる可能性があります
また、環境内のすべてのIPAサーバーのパフォーマンスが低下します。 これを避けるために
SIDの生成は、ipa-adtrust-installが実行され、スケジュールされた後に実行できます。
独立して。 このタスクを開始するには、編集されたバージョンのipa-sidgen-をロードする必要があります。
task-run.ldifとldapmodifyコマンドは、ディレクトリサーバーに情報を提供します。
--add-agents
IPAマスターをリストに追加して、からのユーザーに関する情報を提供できるようにします。
信頼できる森。 FreeIPA 4.2以降、通常のIPAマスターはこれを提供できます
SSSDクライアントへの情報。 IPAマスターは、次のように自動的にリストに追加されません。
それぞれでLDAPサービスを再起動する必要があります。 ホストの場所
実行中のipa-adtrust-installが自動的に追加されます。
ipa-adtrust-installが実行されなかったIPAマスターは、情報を提供できることに注意してください
ipa-adtrust-installを介して有効になっている場合にのみ、信頼できるフォレストのユーザーについて
他のIPAマスターで実行します。 少なくともIPAマスターのSSSDバージョン1.13が必要です
トラストエージェントとして実行できるようにします。
-U, -無人
ユーザー入力を求めるプロンプトが表示されない無人インストール
-U, --rid-base=RID_BASE
ローカルドメインの最初のRID値。 ローカルドメインの最初のPosixIDは
このRIDに割り当てられ、RID+1のXNUMX番目など。idrangeのオンラインヘルプを参照してください。
詳細についてはCLIを参照してください。
-U, --セカンダリ-rid-base=SECONDARY_RID_BASE
セカンダリRID範囲の開始値。これは、ユーザーと
グループは数値的に同じPosixIDを共有します。 idrangeCLIのオンラインヘルプを参照してください
詳細については。
-A, -- 管理者名=ADMIN_NAME
このIPAサーバーの管理者権限を持つユーザーの名前。 デフォルト
'admin'に。
-a, - 管理者のパスワード=password
このIPAサーバーの管理者権限を持つユーザーのパスワード。 意思
インタラクティブに尋ねられるかどうか -U 指定されていません。
管理者ユーザーの資格情報は、以前にKerberosチケットを取得するために使用されます
クロスレルム信頼のサポートを構成し、その後、チケットに次のものが含まれていることを確認します
'ipaを介してActiveDirectoryドメインとの信頼を実際に追加するために必要なMS-PAC情報
trust-add --type =ad'コマンド。
--enable-compat
スキーマを介して古いクライアントの信頼できるドメインユーザーのサポートを有効にします
互換性プラグイン。 SSSDは、バージョン以降、信頼できるドメインをネイティブにサポートします
1.9。 SSSDがない、または古いSSSDバージョンを実行しているプラットフォームの場合、これを使用する必要があります
オプション。 有効にした場合、slapi-nisパッケージをインストールして
schema-compat-pluginは、からのユーザーとグループのルックアップを提供するように構成されます
IPAサーバー上のSSSDを介した信頼できるドメイン。 これらのユーザーとグループが利用可能になります
下 cn = users、cn = compat、$ SUFFIX & cn = groups、cn = compat、$ SUFFIX 木。 SSSDは
ユーザーとグループの名前を小文字に正規化します。
compatツリーを介してこれらのユーザーとグループを提供することに加えて、これは
オプションは、DNが下にある信頼されたドメインユーザーのLDAPを介した認証を有効にします
互換性ツリー、つまりバインドDNを使用
uid =[メール保護]、cn = users、cn = compat、$ SUFFIX.
互換性ツリーによって実行されるLDAP認証は、PAMを介して実行されます。システム認証'
サービス。 このサービスはデフォルトでLinuxシステムに存在し、pamによって提供されます
/etc/pam.d/system-authとしてパッケージ化します。 IPAインストールにデフォルトのHBACがない場合
ルール「allow_all」を有効にしてから、IPAで特別サービスと呼ばれるものを定義してください。
'システム認証'そして、IPAでこのルールに誰でもアクセスできるようにするHBACルールを作成します
マスター。
として 'システム認証'PAMサービスは、他のアプリケーションによって直接使用されることはありません。
互換性パスを介して信頼できるドメインユーザーに安全に使用できます。
EXIT ステータス
インストールが成功した場合は0
エラーが発生した場合は1
onworks.netサービスを使用してipa-adtrust-installをオンラインで使用する
