Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 공급자에서 실행할 수 있는 ipa-adtrust-install 명령입니다.
프로그램:
이름
ipa-adtrust-install - 트러스트 관계를 설정할 수 있도록 IPA 서버를 준비합니다.
AD 도메인 포함
개요
ipa-adtrust-설치 [OPTION] ...
기술
IPA 서버가 트러스트를 생성할 수 있도록 필요한 모든 개체 및 구성을 추가합니다.
Active Directory 도메인. 이렇게 하려면 IPA 서버가 이미 설치되어 있고
구성되었습니다.
Active Directory 도메인에 대한 트러스트를 설정할 수 없습니다.
IPA 서버의 영역 이름이 해당 도메인 이름과 일치하지 않는 한.
ipa-adtrust-install을 여러 번 실행하여 삭제된 객체 또는 손상된 객체를 다시 설치할 수 있습니다.
구성 파일. 예: 새로운 삼바 구성(smb.conf 파일 및 레지스트리 기반
구성을 만들 수 있습니다. 예를 들어 로컬 범위 구성과 같은 기타 항목
ipa-adtrust-install을 두 번째로 실행하여 변경할 수 없습니다.
다른 개체도 영향을 받을 수 있습니다.
방화벽 요구조건 니즈
IPA 서버 방화벽 요구 사항 외에도 ipa-adtrust-install에는 다음이 필요합니다.
IPA와 Active Directory가 함께 통신할 수 있도록 다음 포트를 열어야 합니다.
TCP 포트
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp 마이크로소프트-DS
· 1024/tcp ~ 1300/tcp - 포트 135/tcp에서 EPMAP이 TCP 수신기를 만들 수 있도록 허용
들어오는 요청을 기반으로 합니다.
UDP 포트
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
옵션
-d, -디버그
더 자세한 출력이 필요할 때 디버그 로깅 활성화
--netbios-이름=NETBIOS_NAME
IPA 도메인의 NetBIOS 이름입니다. 제공되지 않은 경우 다음을 기준으로 결정됩니다.
DNS 도메인 이름의 주요 구성 요소에 있습니다. ipa-adtrust-install 실행
다른 NetBIOS 이름을 두 번째로 사용하면 이름이 변경됩니다. 점에 유의하시기 바랍니다
NetBIOS 이름을 변경하면 다른 NetBIOS와의 기존 트러스트 관계가 깨질 수 있습니다.
도메인.
--no-msdcs
관리되는 DNS 서버에서 Windows용 DNS 서비스 레코드를 생성하지 마십시오. 그 이후로
DNS 서비스 레코드는 다른 도메인 컨트롤러를 검색하는 유일한 방법입니다.
트러스트를 허용하려면 다른 DNS 서버에 수동으로 추가해야 하는 도메인
관계가 제대로 작동합니다. 필요한 모든 서비스 기록은 다음과 같은 경우 나열됩니다.
ipa-adtrust-install이 완료되고 --no-msdcs가 제공되었거나 IPA DNS 서비스가 제공되지 않았습니다.
구성됩니다. 일반적으로 다음 서비스 이름에 대한 서비스 레코드가 필요합니다.
모든 IPA 서버를 가리켜야 하는 IPA 도메인의 경우:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--추가 시드
의 마지막 단계에서 기존 사용자 및 그룹에 SID를 추가합니다.
ipa-adtrust-install 실행. 기존 사용자 및 그룹이 많고
이 작업으로 인해 높은 복제 트래픽이 발생할 수 있는 환경의 복제본
환경에 있는 모든 IPA 서버의 성능 저하. 이것을 피하려면
ipa-adtrust-install이 실행되고 예약된 후에 SID 생성을 실행할 수 있습니다.
독립적으로. 이 작업을 시작하려면 편집된 ipa-sidgen 버전을 로드해야 합니다.
ldapmodify 명령이 포함된 task-run.ldif는 디렉토리 서버에 정보를 제공합니다.
--추가-에이전트
에서 사용자에 대한 정보를 제공할 수 있는 목록에 IPA 마스터를 추가합니다.
신뢰할 수 있는 숲. FreeIPA 4.2부터 일반 IPA 마스터가 이를 제공할 수 있습니다.
SSSD 클라이언트에 대한 정보. IPA 마스터는 목록에 자동으로 추가되지 않습니다.
각각에서 LDAP 서비스를 다시 시작해야 합니다. 호스트
ipa-adtrust-install is being running이 자동으로 추가됩니다.
ipa-adtrust-install이 실행되지 않은 IPA 마스터는 정보를 제공할 수 있습니다.
ipa-adtrust-install을 통해 활성화된 경우에만 신뢰할 수 있는 포리스트의 사용자 정보
다른 IPA 마스터에서 실행하십시오. IPA 마스터에 SSSD 버전 1.13 이상이 필요합니다.
트러스트 에이전트 역할을 할 수 있습니다.
-U, --무인
사용자 입력을 요구하지 않는 무인 설치
-U, --rid-base=RID_BASE
로컬 도메인의 첫 번째 RID 값입니다. 로컬 도메인의 첫 번째 Posix ID는
이 RID에 할당되고 두 번째는 RID+1 등에 할당됩니다. idrange의 온라인 도움말을 참조하십시오.
자세한 내용은 CLI를 참조하세요.
-U, --보조-rid-베이스=SECONDARY_RID_BASE
사용자와
그룹은 숫자적으로 동일한 Posix ID를 공유합니다. idrange CLI의 온라인 도움말을 참조하십시오.
자세한 내용은.
-A, --관리자 이름=ADMIN_NAME
이 IPA 서버에 대한 관리 권한이 있는 사용자의 이름입니다. 기본값
'관리자'에게.
-a, --관리자 비밀번호=암호
이 IPA 서버에 대한 관리 권한이 있는 사용자의 암호입니다. 할 것이다
다음과 같은 경우 대화식으로 질문 -U 지정되지 않았습니다.
관리 사용자의 자격 증명은 이전에 Kerberos 티켓을 얻는 데 사용됩니다.
교차 영역 트러스트 지원을 구성하고 이후에 티켓에 다음이 포함되도록 합니다.
'ipa'를 통해 Active Directory 도메인과 트러스트를 실제로 추가하는 데 필요한 MS-PAC 정보
trust-add --type=ad' 명령.
--enable-compat
스키마를 통해 이전 클라이언트의 신뢰할 수 있는 도메인 사용자 지원 가능
호환성 플러그인. SSSD는 기본적으로 버전부터 신뢰할 수 있는 도메인을 지원합니다.
1.9. SSSD가 없거나 이전 SSSD 버전을 실행하는 플랫폼의 경우 이를 사용해야 합니다.
옵션. 활성화되면 slapi-nis 패키지를 설치하고
schema-compat-plugin은 다음에서 사용자 및 그룹 조회를 제공하도록 구성됩니다.
IPA 서버의 SSSD를 통해 신뢰할 수 있는 도메인. 이 사용자 및 그룹을 사용할 수 있습니다.
아래에 cn=사용자,cn=compat,$SUFFIX 과 cn=그룹,cn=compat,$SUFFIX 나무. SSSD는
사용자 및 그룹의 이름을 소문자로 정규화합니다.
컴포지트 트리를 통해 이러한 사용자 및 그룹을 제공하는 것 외에도 이
옵션은 DN이 있는 신뢰할 수 있는 도메인 사용자에 대해 LDAP를 통한 인증을 활성화합니다.
비교 트리, 즉 바인드 DN 사용
유체=[이메일 보호],cn=사용자,cn=compat,$SUFFIX.
호환성 트리에 의해 수행되는 LDAP 인증은 PAM '을 통해 수행됩니다.시스템 인증'
서비스. 이 서비스는 Linux 시스템에 기본적으로 존재하며 pam에서 제공합니다.
/etc/pam.d/system-auth로 패키지합니다. IPA 설치에 기본 HBAC가 없는 경우
규칙 'allow_all'을 활성화한 다음 IPA 특수 서비스에서 정의해야 합니다.
'시스템 인증' IPA에서 이 규칙에 대한 모든 사람의 액세스를 허용하는 HBAC 규칙을 만듭니다.
석사.
처럼 '시스템 인증' PAM 서비스는 다른 응용 프로그램에서 직접 사용하지 않습니다.
호환 경로를 통해 신뢰할 수 있는 도메인 사용자가 안전하게 사용할 수 있습니다.
EXIT 지위
설치가 성공적이면 0
1 오류가 발생한 경우
onworks.net 서비스를 사용하여 온라인에서 ipa-adtrust-install 사용
