これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド ipa-client-install です。
プログラム:
NAME
ipa-client-install - IPA クライアントを構成する
SYNOPSIS
ipa-クライアント-インストール [オプション] ...
DESCRIPTION
認証およびアイデンティティ サービスに IPA を使用するようにクライアント マシンを構成します。
デフォルトでは、認証のために IPA サーバーに接続するように SSSD が設定され、
認可。 オプションで、代わりに PAM および NSS (名前スイッチング サービス) を構成できます。
Kerberos および LDAP を介して IPA サーバーと連携します。
クライアント マシンを IPA に参加させるには、許可されたユーザーが必要です。 これは次のような形式を取ることができます
マシンに関連付けられた Kerberos プリンシパルまたはワンタイム パスワード。
これと同じツールを使用して IPA の構成を解除し、マシンを元の状態に戻そうとします。
以前の状態。 このプロセスの一部として、IPA サーバーからホストを登録解除します。
登録解除では、IPA サーバー上のプリンシパル キーを無効にして、
再登録されました。 /etc/krb5.keytab のマシンプリンシパル (host/ @REALM) は、
IPA サーバーに対して認証して、自身の登録を解除します。 このプリンシパルが存在しない場合は、
登録解除は失敗するため、管理者はホスト プリンシパル (ipa) を無効にする必要があります。
ホスト無効化)。
仮定
ipa-client-install スクリプトは、マシンがすでに SSH キーを生成していることを前提としています。 それ
SSH キーは自発的に生成されません。 SSH キーが存在しない場合 (例:
sshd を実行する前に、キックスタートで ipa-client-install を実行すると、それらは実行されません。
サーバー上のクライアント ホスト エントリにアップロードされます。
ホスト名 要件
クライアントは、 静的な hostname。 たとえば、マシンのホスト名が変更された場合、
DHCP サーバーによる動的ホスト名の割り当て、IPA サーバーへのクライアント登録の中断、および
その場合、ユーザーは Kerberos 認証を実行できなくなります。
--hostname オプションを使用すると、再起動後も保持される静的ホスト名を指定できます。
DNS 自動検出
クライアント インストーラーはデフォルトで、すべての _ldap._tcp.DOMAIN DNS SRV レコードを検索しようとします。
そのホスト名の親であるドメイン。 たとえば、クライアント マシンにホスト名がある場合、
「client1.lab.example.com」、インストーラーは IPA サーバーのホスト名を取得しようとします。
_ldap._tcp.lab.example.com、_ldap._tcp.example.com、および _ldap._tcp.com DNS SRV レコード、
それぞれ。 検出されたドメインは、クライアント コンポーネント (SSSD など) を構成するために使用されます。
および Kerberos 5 構成)をマシン上で実行します。
クライアント マシンのホスト名が IPA サーバーのサブドメインにない場合、そのドメインは
--domain オプションで渡されます。 その場合、SSSD コンポーネントと Kerberos コンポーネントの両方に、
構成ファイルに設定されたドメインを使用して、IPA サーバーを自動検出します。
クライアント マシンは、DNS 自動検出をまったく使用しないように構成することもできます。 両方のとき
--server および --domain オプションが使用されると、クライアント インストーラーは指定されたサーバーを使用し、
ドメインを直接。 --server オプションは、複数のサーバーのホスト名を受け入れます。
フェイルオーバーメカニズム。 DNS 自動検出を使用しない場合、Kerberos は次の固定リストで構成されます。
KDC サーバーと管理サーバー。 SSSD は依然としてドメインの SRV の読み取りを試行するように構成されています
レコードまたはサーバーの指定された固定リスト。 --fixed-primary オプションを指定した場合、
SSSD は DNS SRV レコードをまったく読み取ろうとしません (「 sssd-ipa(5)詳細)。
フェイルオーバー メカニズム
一部の IPA サーバーが利用できない場合、クライアント コンポーネントは次のサーバーにフォールバックできます。
他の IPA レプリカを作成し、継続的なサービスを維持します。 クライアントマシンが
DNS SRV レコードの自動検出を使用するように構成されています (固定サーバーは
インストーラー)、クライアント コンポーネントは IPA サーバーに基づいて自動的にフォールバックを実行します。
DNS SRV レコードから検出されたホスト名と優先度。
DNS 自動検出が利用できない場合は、クライアントを少なくとも固定の設定で構成する必要があります。
障害時に使用できる IPA サーバーのリスト。 IPAサーバーがXNUMX台の場合
構成されている場合、IPA に障害が発生した場合、IPA クライアント サービスは利用できなくなります。
サーバ。 IPA サーバーの固定リストの場合、固定サーバーのリストは
新しい IPA サーバーが登録されるとき、または現在の IPA が登録されるときに、クライアント コンポーネントを更新する必要がある
サーバーは廃止されました。
共存 その他 ディレクトリ サーバー
ネットワーク内に展開されている他のディレクトリ サーバー (Microsoft Active Directory など) は、
同じ DNS SRV レコードで、ディレクトリ サービス (_ldap._tcp.DOMAIN) を持つホストを示します。
インストーラーがこれらの DNS を検出すると、このような DNS SRV レコードがインストールを中断する可能性があります。
IPA サーバーを指す DNS SRV レコードを見つける前にレコードを削除します。 インストーラーは次のようにします。
IPA サーバーの検出に失敗し、エラーで終了します。
前述の DNS 自動検出の問題を回避するために、クライアント マシンのホスト名
IPA サーバーを指す適切に定義された DNS SRV レコードを持つドメイン内にある必要があります。
カスタム DNS サーバーを使用して手動で行うか、IPA DNS 統合ソリューションを使用してください。 XNUMX番目
アプローチとしては、自動検出を回避し、固定リストを使用するようにインストーラーを構成することになります。
--server オプションと --fixed-primary オプションを使用した IPA サーバーのホスト名の
SSSD での DNS SRV レコードの自動検出を無効にします。
再登録 of host
認定要件:
1. ホストが登録解除されていない (ipa-client-install --uninstall コマンドが登録されていない)
走る)。
2. ホスト エントリが ipa host-disable コマンドによって無効になっていない。
この場合、ホストは通常の方法を使用して再登録できます。
再登録を認証するには XNUMX つの方法があります。
1. ipa-client-install コマンドで --force-join オプションを使用できます。 これにより、
-w/--password オプションで指定された管理者の資格情報を使用した再登録。
2. コマンドライン経由で管理者のパスワードを入力することができない場合 (例:
ホストを再登録し、管理者のパスワードを安全に保つためのスクリプトを作成するには)、次のように使用できます。
認証のためにこのホストの以前の登録から keytab をバックアップしました。 --keytab を参照してください。
オプションを選択します。
ホスト エントリでの再登録の結果:
1. 新しいホスト証明書が発行されます
2. 古いホスト証明書が失効する
3. 新しい SSH キーが生成されます
4. ipaUniqueID は保存されます
OPTIONS
BASIC OPTIONS
- ドメイン=DOMAIN
ドメイン名を DOMAIN に設定します。 --server オプションが指定されていない場合、インストーラーは
DNS SRV レコードの自動検出を介して、利用可能なすべてのサーバーを検出しようとします (「
詳細については、「DNS 自動検出」セクションを参照してください)。
- サーバ=サーバ
接続するIPAサーバーを設定します。 複数を追加するには複数回指定できます
サーバーを sssd.conf または krb5.conf の ipa_server 値に変更します。 最初の値のみが
--no-sssd と一緒に使用する場合に考慮されます。 このオプションを使用すると、DNS 自動検出が行われます。
Kerberos の機能は無効になっており、KDC サーバーと管理サーバーの固定リストが構成されています。
-レルム=REALM_NAME
IPA レルム名を REALM_NAME に設定します。 通常の状況では、このオプションは
レルム名は IPA サーバーから取得されるため、必要ありません。
--固定プライマリ
固定サーバーをプライマリ IPA サーバーとして使用するように SSSD を構成します。 デフォルトは次のとおりです
DNS SRV レコードを使用して、使用するプライマリ サーバーを決定し、そのサーバーにフォールバックします。
クライアントが登録されているサーバー。 --server と組み合わせて使用すると、いいえ
_srv_ 値は、sssd.conf の ipa_server オプションに設定されます。
-p, - 主要な
IPA レルムに参加するために使用する認可された Kerberos プリンシパル。
-w PASSWORD, - パスワード=PASSWORD
マシンを IPA レルムに参加させるためのパスワード。 そうでない限り、一括パスワードを想定します
プリンシパルも設定されています。
-W マシンを IPA レルムに参加させるためのパスワードの入力を求めます。
-k, --キータブ
以前の登録からバックアップされたホスト キータブへのパス。 たとえホストに参加しても
はすでに登録されています。
--mkhomedir
ユーザーのホーム ディレクトリが存在しない場合は、それを作成するように PAM を構成します。
-ホスト名
このマシンのホスト名 (FQDN)。 指定した場合、ホスト名が設定され、
システム設定は再起動後も維持されるように更新されます。 デフォルトではノード名
生じる uname(2)を使用します。
--強制参加
ホストがすでに登録されている場合でもホストに参加します。
--ntp サーバー=NTP_サーバー
この NTP サーバーを使用するように ntpd を構成します。 このオプションは複数回使用できます。
-N, --no-ntp
NTP を構成または有効にしないでください。
--force-ntpd
ntpd 以外の時刻と日付の同期サービスを停止して無効にします。
--nisdomain=NIS_ドメイン
NIS ドメイン名を指定どおりに設定します。 デフォルトでは、これは IPA ドメインに設定されます
名前。
--no-nisdomain
NIS ドメイン名を構成しないでください。
--ssh-trust-dns
DNS SSHFP レコードを信頼するように OpenSSH クライアントを構成します。
--ssh なし
OpenSSH クライアントを構成しないでください。
--sshd なし
OpenSSH サーバーを構成しないでください。
--no-sudo
SSSD を sudo のデータソースとして構成しないでください。
--no-dns-sshfp
DNS SSHFP レコードを自動的に作成しません。
--ノアック Authconfig を使用して nsswitch.conf および PAM 構成を変更しないでください。
-f, - 力
エラーが発生しても設定を強制する
--kinit-試行=KINIT_ATTEMPTS
KDC が応答しない場合 (たとえば、負荷の高い環境で一度に複数のホストを登録する場合)
負荷環境) 合計数までホスト Kerberos チケットのリクエストを繰り返します
of KINIT_ATTEMPTS クライアントのインストールをあきらめて中止するまでの時間。 デフォルト
試行回数は 5 です。問題がある場合、リクエストは繰り返されません。
ホスト資格情報自体 (間違った keytab 形式または無効なプリンシパルなど)
このオプションを使用しても、アカウントがロックアウトされることはありません。
-d, - デバッグ
デバッグ情報を標準出力に出力します。
-U, -無人
無人インストール。 ユーザーにはプロンプトは表示されません。
--ca-cert-ファイル=CA_ファイル
自動化された手段で IPA CA 証明書を取得しようとせず、代わりに次を使用してください。
ローカルで見つかった CA 証明書 CA_ファイルを選択します。 CA_ファイル 絶対でなければなりません
PEM 形式の証明書ファイルへのパス。 CA 証明書は次の場所にあります。 CA_ファイル is
権限があると見なされ、それが正しいかどうかを確認せずにインストールされます。
IPA ドメインに有効です。
--リクエスト証明書
マシンの証明書を要求します。 証明書は次の場所に保存されます
/etc/ipa/nssdb ニックネーム「ローカル IPA ホスト」。
--自動マウントの場所=ロケーション
実行して自動マウントを構成します ipa-クライアント-自動マウント(1)と ロケーション 自動マウントとして
場所。
--configure-firefox
IPA ドメイン認証情報を使用するように Firefox を設定します。
--firefox-dir=DIR
Firefoxのインストールディレクトリを指定します。 例: 「/usr/lib/firefox」
- IPアドレス=IPアドレス
IPアドレス このホストの DNS A/AAAA レコード内。 複数回指定できる
複数の DNS レコードを追加します。
--すべての IP アドレス
このホスト上の IP アドレスごとに DNS A/AAAA レコードを作成します。
SSSD OPTIONS
- 許可
すべてのアクセスを許可するように SSSD を構成します。 そうしないと、マシンは次のように制御されます。
IPA サーバー上のホストベースのアクセス制御 (HBAC)。
--enable-dns-updates
このオプションは、この IP アドレスで DNS を自動的に更新するように SSSD に指示します。
クライアント。
--no-krb5-オフラインパスワード
サーバーがオフラインのときにユーザーのパスワードを保存しないように SSSD を構成します。
-S, --sssd なし
認証に SSSD を使用するようにクライアントを構成せず、代わりに nss_ldap を使用してください。
--preserve-sssd
デフォルトでは無効になっています。 有効にすると、古い SSSD 設定が保存されない場合は保存されます。
新しいものと結合することが可能です。 事実上、マージが不可能な場合は、
SSSDConfig リーダーがサポートされていないオプションに遭遇した場合、 ipa クライアントのインストール ないでしょう
さらに実行して、最初に SSSD 構成を修正するように依頼します。 このオプションを指定しない場合、
ipa クライアントのインストール SSSD 構成をバックアップし、新しい構成を作成します。 バックアップバージョン
アンインストール中に復元されます。
アンインストール OPTIONS
- アンインストール
IPA クライアント ソフトウェアを削除し、構成を IPA 前の状態に復元します。
-U, -無人
無人アンインストール。 ユーザーにはプロンプトは表示されません。
onworks.net サービスを使用してオンラインで ipa-client-install を使用する
