이것은 Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 ipa-client-install 명령입니다.
프로그램:
이름
ipa-client-install - IPA 클라이언트 구성
개요
ipa 클라이언트 설치 [OPTION] ...
기술
인증 및 ID 서비스에 IPA를 사용하도록 클라이언트 시스템을 구성합니다.
기본적으로 이것은 인증을 위해 IPA 서버에 연결하도록 SSSD를 구성하고
권한 부여. 선택적으로 PAM 및 NSS(이름 교환 서비스)를 대신 구성할 수 있습니다.
Kerberos 및 LDAP를 통해 IPA 서버와 함께 작동합니다.
클라이언트 시스템을 IPA에 가입시키려면 승인된 사용자가 필요합니다. 이것은 다음과 같은 형태를 취할 수 있습니다.
kerberos 주체 또는 시스템과 연결된 일회용 암호.
이 동일한 도구를 사용하여 IPA를 구성 해제하고 시스템을 원래 상태로 되돌리려고 시도합니다.
이전 상태. 이 프로세스의 일부는 IPA 서버에서 호스트 등록을 취소하는 것입니다.
등록 취소는 IPA 서버에서 기본 키를 비활성화하여
재등록. /etc/krb5.keytab(호스트/ @REALM)을 사용하는 데
IPA 서버에 인증하여 등록을 취소합니다. 이 주체가 존재하지 않는 경우
등록 취소가 실패하고 관리자는 호스트 보안 주체(ipa
호스트 비활성화 ).
가정
ipa-client-install 스크립트는 시스템이 이미 SSH 키를 생성했다고 가정합니다. 그것
자체적으로 SSH 키를 생성하지 않습니다. SSH 키가 없는 경우(예:
sshd를 실행하기 전에 킥스타트에서 ipa-client-install을 실행하면
서버의 클라이언트 호스트 항목에 업로드됩니다.
호스트 이름 요구조건 니즈
클라이언트는 다음을 사용해야 합니다. 정적 인 호스트 이름. 예를 들어 다음과 같은 이유로 시스템 호스트 이름이 변경된 경우
DHCP 서버에 의한 동적 호스트 이름 할당, IPA 서버에 대한 클라이언트 등록 중단 및
그러면 사용자는 Kerberos 인증을 수행할 수 없습니다.
--hostname 옵션은 재부팅 후에도 지속되는 정적 호스트 이름을 지정하는 데 사용할 수 있습니다.
DNS 자동 검색
클라이언트 설치 프로그램은 기본적으로 모든 항목에 대해 _ldap._tcp.DOMAIN DNS SRV 레코드 검색을 시도합니다.
호스트 이름의 상위 도메인입니다. 예를 들어 클라이언트 시스템에 호스트 이름이 있는 경우
'client1.lab.example.com'인 경우 설치 프로그램은 IPA 서버 호스트 이름을 검색하려고 시도합니다.
_ldap._tcp.lab.example.com, _ldap._tcp.example.com 및 _ldap._tcp.com DNS SRV 레코드,
각기. 그런 다음 검색된 도메인을 사용하여 클라이언트 구성 요소(예: SSSD
및 Kerberos 5 구성).
클라이언트 시스템 호스트 이름이 IPA 서버의 하위 도메인에 없는 경우 해당 도메인은
--domain 옵션과 함께 전달됩니다. 이 경우 SSSD 및 Kerberos 구성 요소는 모두
구성 파일에 설정된 도메인을 사용하여 IPA 서버를 자동 검색합니다.
DNS 자동 검색 없이 클라이언트 시스템을 구성할 수도 있습니다. 둘 다 때
--server 및 --domain 옵션이 사용되면 클라이언트 설치 프로그램은 지정된 서버를 사용하고
직접 도메인. --server 옵션은 다음에 사용할 수 있는 여러 서버 호스트 이름을 허용합니다.
장애 조치 메커니즘. DNS 자동 검색이 없으면 Kerberos는 고정 목록으로 구성됩니다.
KDC 및 관리 서버. SSSD는 여전히 도메인의 SRV 읽기를 시도하도록 구성되어 있습니다.
레코드 또는 지정된 고정 서버 목록. --fixed-primary 옵션이 지정되면,
SSSD는 DNS SRV 레코드 읽기를 전혀 시도하지 않습니다(참조 SSD-IPA(5) 자세한 내용은).
XNUMXD덴탈의 장애 조치 기구
일부 IPA 서버를 사용할 수 없는 경우 클라이언트 구성 요소는 다음으로 폴백할 수 있습니다.
다른 IPA 복제본을 생성하여 지속적인 서비스를 유지합니다. 클라이언트 머신이
DNS SRV 레코드 자동 검색을 사용하도록 구성됨(고정 서버가
설치 프로그램), 클라이언트 구성 요소는 IPA 서버를 기반으로 자동으로 대체 수행
DNS SRV 레코드에서 검색된 호스트 이름 및 우선 순위.
DNS 자동 검색을 사용할 수 없는 경우 클라이언트는 최소한 고정된
장애가 발생한 경우 사용할 수 있는 IPA 서버 목록입니다. IPA 서버가 하나만 있는 경우
구성된 IPA 클라이언트 서비스는 IPA에 장애가 발생할 경우 사용할 수 없습니다.
섬기는 사람. IPA 서버의 고정 목록의 경우 고정 서버 목록은
새 IPA 서버가 등록되거나 현재 IPA가 있을 때 클라이언트 구성 요소를 업데이트해야 합니다.
서버가 폐기되었습니다.
공존 와 기타 명부 담당 서버
네트워크에 배포된 다른 디렉터리 서버(예: Microsoft Active Directory)는 다음을 사용할 수 있습니다.
동일한 DNS SRV 레코드를 사용하여 디렉터리 서비스(_ldap._tcp.DOMAIN)가 있는 호스트를 나타냅니다.
설치 프로그램이 이러한 DNS를 발견하면 이러한 DNS SRV 레코드로 인해 설치가 중단될 수 있습니다.
IPA 서버를 가리키는 DNS SRV 레코드를 찾기 전에 레코드를 검색합니다. 그러면 설치 프로그램이
IPA 서버 검색에 실패하고 오류와 함께 종료됩니다.
앞서 언급한 DNS 자동 검색 문제를 피하기 위해 클라이언트 시스템 호스트 이름은
IPA 서버를 가리키는 적절하게 정의된 DNS SRV 레코드가 있는 도메인에 있어야 합니다.
사용자 지정 DNS 서버 또는 IPA DNS 통합 솔루션을 사용하여 수동으로. XNUMX초
접근 방식은 자동 검색을 피하고 고정 목록을 사용하도록 설치 프로그램을 구성하는 것입니다.
--server 옵션과 --fixed-primary 옵션을 사용하는 IPA 서버 호스트 이름
SSSD에서 DNS SRV 레코드 자동 검색을 비활성화합니다.
재 등록 of 전에, 주인
요구 사항:
1. 호스트가 등록 취소되지 않았습니다(ipa-client-install --uninstall 명령이
운영).
2. 호스트 항목이 ipa host-disable 명령을 통해 비활성화되지 않았습니다.
이 경우 호스트는 일반적인 방법을 사용하여 다시 등록할 수 있습니다.
재등록을 인증하는 두 가지 방법이 있습니다.
1. ipa-client-install 명령과 함께 --force-join 옵션을 사용할 수 있습니다. 이것은 인증
-w/--password 옵션을 통해 제공된 관리자 자격 증명을 사용하여 재등록합니다.
2. 명령줄을 통해 관리자 암호를 제공하는 것이 옵션이 아닌 경우(예:
호스트를 재등록하고 관리자의 비밀번호를 안전하게 유지하는 스크립트를 작성하려면 다음을 사용할 수 있습니다.
인증을 위해 이 호스트의 이전 등록에서 keytab을 백업했습니다. --keytab 참조
옵션을 선택합니다.
호스트 항목에 대한 재등록 결과:
1. 새로운 호스트 인증서 발급
2. 기존 호스트 인증서 해지
3. 새로운 SSH 키 생성
4. ipaUniqueID는 보존됩니다.
옵션
BASIC 옵션
--도메인=DOMAIN
도메인 이름을 DOMAIN으로 설정합니다. --server 옵션을 지정하지 않으면 설치 프로그램이
DNS SRV 레코드 자동 검색을 통해 사용 가능한 모든 서버 검색을 시도합니다(참조
자세한 내용은 DNS 자동 검색 섹션 참조).
--섬기는 사람=섬기는 사람
연결할 IPA 서버를 설정합니다. 여러 번 추가하여 여러 번 지정할 수 있습니다.
서버를 sssd.conf 또는 krb5.conf의 ipa_server 값으로 변경합니다. 첫 번째 값만
--no-sssd와 함께 사용할 때 고려됩니다. 이 옵션을 사용하면 DNS 자동 검색
Kerberos용이 비활성화되고 KDC 및 관리 서버의 고정 목록이 구성됩니다.
--왕국=REALM_NAME
IPA 영역 이름을 REALM_NAME으로 설정합니다. 정상적인 상황에서 이 옵션은
IPA 서버에서 영역 이름을 검색하므로 필요하지 않습니다.
--고정-기본
고정 서버를 기본 IPA 서버로 사용하도록 SSSD를 구성합니다. 기본값은
DNS SRV 레코드를 사용하여 사용할 기본 서버를 결정하고
클라이언트가 등록된 서버. --server와 함께 사용하면
_srv_ 값은 sssd.conf의 ipa_server 옵션에서 설정됩니다.
-p, --주요한
IPA 영역에 가입하는 데 사용할 승인된 kerberos 주체입니다.
-w PASSWORD, --비밀번호=PASSWORD
시스템을 IPA 영역에 가입하기 위한 암호입니다. 다음을 제외하고 대량 암호를 가정합니다.
교장도 설정합니다.
-W 시스템을 IPA 영역에 가입하기 위한 암호를 묻는 메시지를 표시합니다.
-k, --키탭
이전 등록에서 백업된 호스트 keytab의 경로입니다. 다음 경우에도 호스트에 참여합니다.
이미 등록되어 있습니다.
--mkhomedir
존재하지 않는 경우 사용자 홈 디렉토리를 작성하도록 PAM을 구성하십시오.
--호스트 이름
이 시스템의 호스트 이름(FQDN)입니다. 지정된 경우 호스트 이름이 설정되고
재부팅 후에도 유지되도록 시스템 구성이 업데이트됩니다. 기본적으로 노드 이름
결과 uname(2)이 사용됩니다.
--강제 가입
호스트가 이미 등록된 경우에도 호스트에 참여하십시오.
--ntp-서버=NTP_서버
이 NTP 서버를 사용하도록 ntpd를 구성합니다. 이 옵션은 여러 번 사용할 수 있습니다.
-N, --no-ntp
NTP를 구성하거나 활성화하지 마십시오.
--force-ntpd
ntpd를 제외한 모든 시간 및 날짜 동기화 서비스를 중지 및 비활성화합니다.
--니스도메인=NIS_DOMAIN
NIS 도메인 이름을 지정된 대로 설정합니다. 기본적으로 IPA 도메인으로 설정됩니다.
이름입니다.
--no-nis도메인
NIS 도메인 이름을 구성하지 마십시오.
--ssh-신뢰-dns
DNS SSHFP 레코드를 신뢰하도록 OpenSSH 클라이언트를 구성합니다.
--no-ssh
OpenSSH 클라이언트를 구성하지 마십시오.
--no-sshd
OpenSSH 서버를 구성하지 마십시오.
--no-sudo
SSSD를 sudo의 데이터 소스로 구성하지 마십시오.
--no-dns-sshfp
DNS SSHFP 레코드를 자동으로 생성하지 마십시오.
--노악 Authconfig를 사용하여 nsswitch.conf 및 PAM 구성을 수정하지 마십시오.
-f, --힘
오류가 발생하더라도 강제로 설정
--kinit-시도=KINIT_ATTEMPTS
KDC가 응답하지 않는 경우(예: 많은 호스트에 한 번에 여러 호스트를 등록하는 경우)
로드 환경) 호스트 Kerberos 티켓에 대한 요청을 총 개수까지 반복합니다.
of KINIT_ATTEMPTS 클라이언트 설치를 포기하고 중단하기 전에 기본
시도 횟수는 5입니다. 문제가 있는 경우 요청이 반복되지 않습니다.
호스트 자격 증명 자체(예: 잘못된 keytab 형식 또는 잘못된 보안 주체)
이 옵션을 사용하면 계정 잠금이 발생하지 않습니다.
-d, -디버그
디버깅 정보를 stdout에 인쇄
-U, --무인
무인 설치. 사용자에게 메시지가 표시되지 않습니다.
--ca-cert-파일=CA_FILE
자동화된 수단을 통해 IPA CA 인증서를 얻으려고 시도하지 말고 대신 다음을 사용하십시오.
에서 로컬로 찾은 CA 인증서 CA_FILE. 그만큼 CA_FILE 절대적이어야 한다
PEM 형식의 인증서 파일에 대한 경로입니다. 에서 찾은 CA 인증서 CA_FILE is
신뢰할 수 있는 것으로 간주되며 확인하지 않고 설치됩니다.
IPA 도메인에 유효합니다.
--요청 인증서
기계에 대한 인증서를 요청하십시오. 인증서는 다음 위치에 저장됩니다.
/etc/ipa/nssdb "로컬 IPA 호스트" 닉네임 아래.
--자동 마운트 위치=주소
실행하여 자동 마운트 구성 ipa 클라이언트 자동 마운트(1) 와 주소 자동 마운트로
위치.
--구성-파이어폭스
IPA 도메인 자격 증명을 사용하도록 Firefox를 구성합니다.
--파이어폭스 디렉토리=DIR
Firefox 설치 디렉토리를 지정하십시오. 예: '/usr/lib/firefox'
--IP 주소=IP 주소
IP 주소 이 호스트에 대한 DNS A/AAAA 레코드에 있습니다. 여러 번 지정할 수 있음
여러 DNS 레코드를 추가합니다.
--모든 IP 주소
이 호스트의 각 IP 주소에 대해 DNS A/AAAA 레코드를 만듭니다.
SSSD 옵션
--허용하다
모든 액세스를 허용하도록 SSSD를 구성합니다. 그렇지 않으면 기계는
IPA 서버의 HBAC(호스트 기반 액세스 제어).
--활성화-DNS-업데이트
이 옵션은 SSSD가 이 IP 주소로 DNS를 자동으로 업데이트하도록 지시합니다.
고객.
--no-krb5-offline-암호
서버가 오프라인일 때 사용자 암호를 저장하지 않도록 SSSD를 구성합니다.
-S, --no-sssd
인증에 SSSD를 사용하도록 클라이언트를 구성하지 말고 대신 nss_ldap을 사용하십시오.
--보존-SSD
기본적으로 비활성화되어 있습니다. 활성화되면 이전 SSSD 구성이 유지되지 않는 경우 유지합니다.
새 것으로 병합하는 것이 가능합니다. 효과적으로 병합이 불가능한 경우
지원되지 않는 옵션이 있는 SSSDConfig 리더에 ipa 클라이언트 설치 안
더 실행하고 먼저 SSSD 구성을 수정하도록 요청하십시오. 이 옵션을 지정하지 않으면
ipa 클라이언트 설치 SSSD 구성을 백업하고 새 구성을 만듭니다. 백업 버전
제거하는 동안 복원됩니다.
제거 옵션
--제거
IPA 클라이언트 소프트웨어를 제거하고 구성을 IPA 이전 상태로 복원합니다.
-U, --무인
무인 제거. 사용자에게 메시지가 표시되지 않습니다.
onworks.net 서비스를 사용하여 온라인으로 ipa-client-install 사용
