これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド ipa-replica-manage です。
プログラム:
NAME
ipa-replica-manage - IPA レプリカを管理する
SYNOPSIS
ipa-レプリカ-管理 [オプション]... [指示]
DESCRIPTION
IPA サーバーのレプリケーション契約を管理します。
ドメイン内の IPA レプリケーション合意をドメイン レベル 1 で管理するには、IPA CLI または Web UI を使用します。
詳細については、「ipa ヘルプ トポロジ」を参照してください。
使用可能なコマンドは次のとおりです。
接続する [サーバー_A]
- SERVER_A/localhost と SERVER_B の間に新しいレプリケーション合意を追加します。 で
ドメイン レベル 1 は winsync 契約にのみ適用されます。
切断 [サーバー_A]
- SERVER_A/localhost と SERVER_B の間のレプリケーション合意を削除します。 で
ドメイン レベル 1 は winsync 契約にのみ適用されます。
インクルード
- すべてのレプリケーション合意とサーバーに関するデータを削除します。 ドメインレベル1では、
両方のサフィックス (ドメインと ca) のデータと合意を削除します。
リスト [サーバ]
- すべてのサーバーまたは SERVER の契約のリストを表示します
再初期化する
- サーバーからデータを取得する IPA サーバーの完全な再初期化を強制します。
--from オプションで指定
強制同期
- で指定されたサーバーからレプリケートされるデータを即座にフラッシュします。
--from オプション
リストruv
- このサーバー上のレプリケーション ID をリストします。
クリーンラブ [複製_ID]
- CLEANALLRUV タスクを実行して、レプリケーション ID を削除します。
クリーンダングリング-ruv
- アンインストールされてシステム内に残っているすべての RUV および CS-RUV をクリーンアップします。
レプリカ。
アボート-クリーン-RUV [複製_ID]
- 実行中の CLEANALLRUV タスクを中止します。 --force オプションを使用すると、タスクは待機しません。
すべてのレプリカ サーバーが中止タスクを送信されるか、オンラインになる前に
完了すること。
リストクリーンruv
- 実行中のすべての CLEANALLRUV をリストし、CLEANALLRUV タスクを中止します。
dnarange ショー [サーバ]
- DNA 範囲をリストする
dnarange セット サーバ 始まりと終わり
- マスター上の DNA 範囲を設定します
dnanextrange-ショー [サーバ]
- 次の DNA 範囲をリストします。
dnanextrange セット サーバ 始まりと終わり
- マスター上で DNA の次の範囲を設定します
接続および切断のオプションは、レプリケーション トポロジを管理するために使用されます。 とき
レプリカが作成されると、それを作成したマスターとのみ接続されます。 コネクト
オプションを使用して、他の既存のレプリカに接続できます。
切断オプションを使用して、レプリカの最後のリンクを削除することはできません。 を削除するには
トポロジからのレプリカには、del オプションを使用します。
レプリカが削除され、短期間に再追加された場合、389-ds
を再インストールする前に、作成したマスター上のインスタンスを再起動する必要があります。
レプリカ。 マスターには古いサービス プリンシパルがキャッシュされるため、
レプリケーションが失敗します。
各 IPA マスター サーバーには一意のレプリケーション ID があります。 この ID は、次の場合に 389-ds-base によって使用されます。
レプリケーションステータスに関する情報を保存します。 出力はマスターとそのマスターで構成されます。
それぞれのレプリケーション ID。 見る クリーンラブ
マスターが削除されると、他のすべてのマスターはそのレプリケーション ID を
マスターのリスト。 通常、これはマスターが次のように削除されると自動的に行われます。
ipa-レプリカ-管理。 ipa-replica-manage のときに XNUMX つ以上のマスターがダウンしているか到達不能だった場合
が実行された場合、このレプリカ ID はまだ存在している可能性があります。 clean-ruv コマンドは次の目的で使用できます。
未使用のレプリケーション ID をクリーンアップします。
注意: クリーンルブは VERY 危険な。 間違ったレプリケーション ID に対して実行すると、結果が生じる可能性があります
そのマスター上のデータに一貫性がありません。 次の場合、マスターを別のマスターから再初期化する必要があります。
これが起こります。
マスターが削除されると、レプリケーション トポロジが検査され、防止が試行されます。
孤児からのマスター。 たとえば、トポロジが A <-> B <-> C で、
マスター B を削除しようとすると、マスターと A と C が残るため失敗します。
孤児になった。
マスターのリストは、cn=masters,cn=ipa,cn=etc,dc=example,dc=com に保存されます。 これは、
マスターが削除されると自動的にクリーンアップされます。 削除してしまった場合
マスターとすべての契約が存在するが、これらのエントリがまだ存在している場合は、次のことはできません。
IPA を再インストールすると、インストールは次のように失敗します。
IPA マスター ホストは、標準コマンド (host-del、
例)。
孤立したマスターは、 --cleanup オプションを指定した del ディレクティブを使用してクリーンアップできます。
これにより、host-del を妨げるエントリが cn=masters,cn=ipa,cn=etc から削除されます。
動作、その DNA プロファイル、s4u2proxy 構成、サービス プリンシパルを停止し、削除します
デフォルトの DUA プロファイルdefaultServerList から。
OPTIONS
-H HOST, - ホスト=HOST
管理する IPA サーバー。 デフォルトは、コマンドが実行されるマシンです。
再初期化コマンドは受け付けられません。
-p DM_パスワード, - パスワード=DM_パスワード
認証に使用するディレクトリ マネージャのパスワード
-v, -詳細
追加情報を提供する
-f, - 力
一部の種類のエラーを無視し、マスターを削除するときにプロンプトを表示しません
-c, --ルックアップなし
DNS ルックアップ チェックを実行しません。
-c, - 掃除
--force フラグを使用してマスターを削除する場合、マスターへの残りの参照を削除します。
マスターはすでに削除されています。
--binddn=ADMIN_DN
リモート サーバーで使用するバインド DN (デフォルトは cn=Directory Manager) - 注意してください。
コマンドラインでこの値を引用符で囲みます
--bindpw=ADMIN_PWD
リモートサーバーで使用するバインドDNのパスワード(デフォルトは上記のDM_PASSWORD)
--winsync
Windows 同期契約を作成/使用するように指定します
--cacert=/パス/to/cacertfile
リモート サーバーへの TLS/SSL で使用する CA 証明書のフル パスとファイル名 -
この CA 証明書はディレクトリ サーバーの証明書にインストールされます
データベース
--win-サブツリー=cn=ユーザー,dc=例,dc=com
同期するユーザーを含む Windows サブツリーの DN (デフォルト)
cn=ユーザー、 - これは通常、Windows AD がデフォルトとして使用するものです
value) - コマンドラインではこの値を引用符で囲むように注意してください
--passsync=PASSSYNC_PWD
Windows PassSync プラグインが同期に使用する IPA システム ユーザーのパスワード
パスワード。 --winsync を使用する場合は必須です。 これは、次のものを使用する必要があるという意味ではありません。
PassSync サービス。
- から=サーバ
データの取得元のサーバー。再初期化と強制同期によって使用されます。
コマンド。
範囲
IPA は、389-ds 分散数値割り当て (DNA) プラグインを使用して、POSIX ID を割り当てます。
ユーザーとグループ。 IPA がインストールされ、範囲の半分が割り当てられると範囲が作成されます。
割り当てのために最初の IPA マスターに送信されます。
新しい IPA マスターは、DNA 範囲の割り当てを自動的に取得しません。 範囲の割り当ては、
ユーザーまたは POSIX グループがそのマスターに追加された場合にのみ実行されます。
DNA プラグインは、「オンデッキ」または次の範囲の構成もサポートしています。 プライマリーのとき
範囲が使い果たされた場合、別のマスターにアクセスして追加を要求するのではなく、そのマスターの範囲を使用します。
オンデッキ範囲が定義されている場合。 各マスターは XNUMX つのレンジと XNUMX つのオンデッキレンジのみを持つことができます
定義された。
マスターが削除されると、その DNA 範囲を別のマスターに保存しようとします。
デッキ上の範囲内で。 IPA は範囲の拡張または結合を試みません。 ない場合
利用可能なオンデッキ範囲スロットがあれば、これがユーザーに報告されます。 有効範囲は
別のマスターの範囲に手動でマージしない限り、失われます。
DNA 範囲とオンデッキ (次の) 値は、dnarange-set と
dnanextrange-set コマンド。 これらの範囲を管理するためのルールは次のとおりです。
- 範囲は、ipa で定義されているローカル範囲内に完全に含まれている必要があります。
idrange コマンド。
- 範囲は、別の IPA マスターの DNA 範囲またはデッキ上の範囲と重複することはできません。
- この範囲は、AD トラストの ID 範囲と重複することはできません。
- プライマリ DNA 範囲は削除できません。
- デッキ上の射程範囲は0-0に設定することで削除できます。 仮定は次のとおりです
範囲が手動で移動または他の場所にマージされることを示します。
特定のマスターの範囲と次の範囲は、その FQDN を渡すことで表示できます。
マスターを dnarange-show または dnanextrange-show コマンドに送信します。
委任された管理者として範囲変更を実行する (例: ディレクトリを使用しない)
Manager パスワード) には追加の 389-ds ACI が必要です。 これらはアップグレードされたマスターにインストールされます
しかし、既存のものではありません。 変更は cn=config で行われ、複製されません。 の
その結果、アップグレードされていないマスターでは DNA 範囲を委任されたマスターとして管理できなくなります。
管理者。
例
すべてのマスターをリストします。
# ipa-レプリカ管理リスト
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
サーバーのレプリケーション合意をリストします。
# ipa-replica-manage リスト srv1.example.com
srv2.example.com
srv3.example.com
レプリカを再初期化します。
# ipa-replica-manage の再初期化 --from srv2.example.com
これにより、コマンドを実行するサーバー上のデータが再初期化されます。
srv2.example.com レプリカからのデータの取得
新しいレプリケーション アグリーメントを追加します。
# ipa-replica-manage 接続 srv2.example.com srv4.example.com
既存のレプリケーション合意を削除します。
# ipa-replica-manage 切断 srv1.example.com srv3.example.com
レプリカを完全に削除します。
# ipa-replica-manage del srv4.example.com
接続/切断を使用すると、レプリケーション トポロジを管理できます。
使用中のレプリケーション ID をリストします。
# ipa-レプリカ-管理リスト-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
孤立して削除されたマスターへの参照を削除します。
# ipa-replica-manage del --force --cleanup master.example.com
ウィンシンク
Windows AD 同期アグリーメントの作成は、IPA レプリケーションの作成と似ています。
合意に達した場合は、追加の手順がいくつかあるだけです。
PassSync サービス用に特別なユーザー エントリが作成されます。 このエントリの DN は、
uid=passsync、cn=sysaccounts、cn=etc、 。 を使用するために PassSync を使用する必要はありません。
Windows 同期契約は必要ですが、ユーザーのパスワードの設定が必要です。
次の例では、AD 管理者アカウントを同期ユーザーとして使用します。 これ
必須ではありませんが、ユーザーはサブツリーへの読み取りアクセス権を持っている必要があります。
1.base64 でエンコードされた Windows AD CA 証明書を IPA サーバーに転送します。
2. 既存の Kerberos 資格情報を削除します。
#kdestroy
3. winsync レプリケーション契約を追加します
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=管理者、cn=ユーザー、dc=ad、dc=example、dc=com" --bindpw
-v
ディレクトリ マネージャーのパスワードを入力するよう求められます。
winsync レプリケーション アグリーメントを作成します。
# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
winsync レプリケーション契約を削除します。
# ipa-replica-manage 切断 windows.ad.example.com
パスシンク
PassSync は、AD ドメイン コントローラー上で実行され、パスワードを傍受する Windows サービスです。
変化します。 これらのパスワード変更は、TLS 経由で IPA LDAP サーバーに送信されます。 これらのパスワード
変更は通常の IPA パスワード ポリシー設定をバイパスし、パスワードは設定されません
すぐに期限切れになります。 これは、IPA がパスワード変更を受け取るまでに、パスワードが変更されているためです。
すでに AD によって承認されているため、拒否するには遅すぎます。
IPA は、パスワード ポリシーから除外される DN のリストを管理します。 特別なユーザーが追加されました
winsync レプリケーション契約が作成されると自動的に行われます。 このユーザーの DN は次のとおりです
エントリの passSyncManagersDNs に保存されている除外リストに追加されます
cn=ipa_pwd_extop、cn=プラグイン、cn=config。
EXIT ステータス
コマンドが成功した場合は0
エラーが発生した場合は1
onworks.net サービスを使用してオンラインで ipa-replica-manage を使用する
