영어FrenchSpanish

서버 실행 | Ubuntu > | Fedora > |


온웍스 파비콘

ipa-replica-manage - 클라우드의 온라인

Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터를 통해 OnWorks 무료 호스팅 제공업체에서 ipa-replica-manage 실행

이것은 Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 ipa-replica-manage 명령입니다.

프로그램:

이름


ipa-replica-manage - IPA 복제본 관리

개요


ipa-복제-관리 [OPTION]... [명령]

기술


IPA 서버의 복제 동의를 관리합니다.

도메인 수준 1에서 도메인의 IPA 복제 계약을 관리하려면 IPA CLI 또는 웹 UI를 사용하고,
추가 정보는 `ipa 도움말 토폴로지`를 참조하십시오.

사용 가능한 명령은 다음과 같습니다.

잇다 [SERVER_A]
- SERVER_A/localhost 및 SERVER_B 간에 새 복제 계약을 추가합니다. ~에
도메인 레벨 1은 winsync 계약에만 적용됩니다.

분리 [SERVER_A]
- SERVER_A/localhost 및 SERVER_B 간의 복제 계약을 제거합니다. ~에
도메인 레벨 1은 winsync 계약에만 적용됩니다.


- SERVER에 대한 모든 복제 계약 및 데이터를 제거합니다. 도메인 레벨 1에서는
도메인 및 ca 접미사 모두에 대한 데이터 및 계약을 제거합니다.

명부 [섬기는 사람]
- 모든 서버 또는 SERVER의 계약 목록을 나열합니다.

다시 초기화
- 서버에서 데이터를 검색하는 IPA 서버의 전체 재초기화를 강제합니다.
--from 옵션으로 지정

강제 동기화
- 지정된 서버에서 복제할 모든 데이터를 즉시 플러시합니다.
--from 옵션

목록 루브
- 이 서버의 복제 ID를 나열합니다.

깨끗한 [REPLICATION_ID]
- CLEANALLRUV 태스크를 실행하여 복제 ID를 제거하십시오.

클린 댕글링 루브
- 제거된 시스템에 남아 있는 모든 RUV 및 CS-RUV를 정리합니다.
복제본.

중단-청소-RUV [REPLICATION_ID]
- 실행 중인 CLEANALLRUV 작업을 중단합니다. --force 옵션을 사용하면 작업이 기다리지 않습니다.
이전에 작업을 중단했거나 온라인 상태인 모든 복제 서버
완료.

list-clean-ruv
- 실행 중인 모든 CLEANALLRUV를 나열하고 CLEANALLRUV 작업을 중단합니다.

dnarange-쇼 [섬기는 사람]
- DNA 범위 나열

dnarange 세트 섬기는 사람 START-END
- 마스터의 DNA 범위 설정

dnanextrange-show [섬기는 사람]
- 다음 DNA 범위 나열

dnanextrange-set 섬기는 사람 START-END
- 마스터에 DNA 다음 범위 설정

연결 및 연결 해제 옵션은 복제 토폴로지를 관리하는 데 사용됩니다. 언제
복제본이 생성되면 복제본을 생성한 마스터에만 연결됩니다. 연결
옵션을 사용하여 다른 기존 복제본에 연결할 수 있습니다.

연결 해제 옵션을 사용하여 복제본의 마지막 링크를 제거할 수 없습니다. 제거하려면
토폴로지의 복제본은 del 옵션을 사용합니다.

복제본이 삭제되었다가 짧은 시간 내에 다시 추가되면 389-ds
다시 설치하기 전에 생성한 마스터의 인스턴스를 다시 시작해야 합니다.
레플리카. 마스터에는 이전 서비스 주체가 캐시되어 있어
복제가 실패합니다.

각 IPA 마스터 서버에는 고유한 복제 ID가 있습니다. 이 ID는 다음과 같은 경우 389-ds-base에서 사용됩니다.
복제 상태에 대한 정보를 저장합니다. 출력은 마스터와 해당 마스터로 구성됩니다.
각각의 복제 ID. 보다 깨끗한

마스터가 제거되면 다른 모든 마스터는 복제 ID를 제거해야 합니다.
마스터 목록. 일반적으로 이것은 마스터가 다음으로 삭제될 때 자동으로 발생합니다.
ipa-복제-관리. ipa-replica-manage 시 하나 이상의 마스터가 작동 중지되었거나 연결할 수 없는 경우
이 복제 ID가 여전히 존재할 수 있습니다. clean-ruv 명령을 사용하여 다음을 수행할 수 있습니다.
사용하지 않는 복제 ID를 정리합니다.

노트: clean-ruv는 VERY 위험한. 잘못된 복제 ID에 대한 실행이 발생할 수 있음
해당 마스터에 대한 일관성 없는 데이터에서. 마스터는 다음과 같은 경우 다른 것에서 다시 초기화되어야 합니다.
이런 일이 발생합니다.

복제 토폴로지는 마스터가 삭제될 때 검사되며 방지를 시도합니다.
고아가 된 주인. 예를 들어 토폴로지가 A <-> B <-> C이고
마스터 B를 삭제하려고 시도하면 마스터와 A 및 C가 남게 되므로 실패합니다.
고아.

마스터 목록은 cn=masters,cn=ipa,cn=etc,dc=example,dc=com에 저장됩니다. 이것은
마스터가 삭제되면 자동으로 정리됩니다. 삭제한 경우
마스터와 모든 계약이 있지만 이러한 항목이 여전히 존재하면 다음을 수행할 수 없습니다.
IPA를 다시 설치하려면 다음과 함께 설치가 실패합니다.

IPA 마스터 호스트는 표준 명령(host-del, for
예).

분리된 마스터는 --cleanup 옵션과 함께 del 지시문을 사용하여 정리할 수 있습니다.
이것은 그렇지 않으면 host-del을 방지하는 항목을 cn=masters,cn=ipa,cn=etc에서 제거합니다.
작동, 해당 dna 프로필, s4u2proxy 구성, 서비스 주체 및 제거
기본 DUA 프로필 defaultServerList에서.

옵션


-H HOST, --주인=HOST
관리할 IPA 서버입니다. 기본값은 명령이 실행되는 시스템입니다.
re-initialize 명령이 적용되지 않습니다.

-p DM_비밀번호, --비밀번호=DM_비밀번호
인증에 사용할 디렉토리 관리자 비밀번호

-v, --말 수가 많은
추가 정보 제공

-f, --힘
일부 유형의 오류를 무시하고 마스터를 삭제할 때 메시지를 표시하지 않습니다.

-c, --조회 없음
DNS 조회 검사를 수행하지 마십시오.

-c, --대청소
--force 플래그를 사용하여 마스터를 삭제할 때
이미 삭제된 마스터입니다.

--binddn=ADMIN_DN
원격 서버와 함께 사용할 바인딩 DN(기본값: cn=Directory Manager) - 다음을 주의하십시오.
명령줄에서 이 값을 인용

--bindpw=ADMIN_PWD
원격 서버와 함께 사용할 Bind DN의 비밀번호(기본값은 위의 DM_PASSWORD임)

--윈싱크
Windows 동기화 계약을 생성/사용하도록 지정합니다.

--cacert=/경로/to/cacertfile
원격 서버에 대한 TLS/SSL과 함께 사용할 CA 인증서의 전체 경로 및 파일 이름 -
이 CA 인증서는 디렉토리 서버의 인증서에 설치됩니다.
데이터베이스

--win-하위 트리=cn=사용자,dc=예시,dc=com
동기화하려는 사용자가 포함된 Windows 하위 트리의 DN(기본값
cn=사용자, - 이것은 일반적으로 Windows AD가 기본값으로 사용하는 것입니다.
값) - 명령줄에서 이 값을 인용하도록 주의하십시오.

--passsync=PASSSYNC_PWD
Windows PassSync 플러그인이 동기화하는 데 사용하는 IPA 시스템 사용자의 암호
암호. --winsync를 사용할 때 필요합니다. 이것은 당신이 사용해야한다는 것을 의미하지는 않습니다
패스싱크 서비스.

--에서=섬기는 사람
재초기화 및 강제 동기화에 사용되는 데이터를 가져올 서버
명령.

범위


IPA는 389-ds DNA(Distributed Numeric Assignment) 플러그인을 사용하여
사용자 및 그룹. IPA가 설치되고 범위의 절반이 할당되면 범위가 생성됩니다.
할당을 위해 첫 번째 IPA 마스터에 할당합니다.

새로운 IPA 마스터는 자동으로 DNA 범위 할당을 받지 않습니다. 범위 할당은
사용자 또는 POSIX 그룹이 해당 마스터에 추가된 경우에만 수행됩니다.

DNA 플러그인은 "온덱" 또는 다음 범위 구성도 지원합니다. 기본 때
범위가 소진되면 더 많은 것을 요구하기 위해 다른 마스터에게 가는 대신
하나가 정의된 경우 갑판 범위. 각 마스터는 하나의 범위와 하나의 데크 범위만 가질 수 있습니다.
한정된.

마스터가 제거되면 해당 DNA 범위를 다른 마스터에 저장하려고 시도합니다.
온 데크 범위에서. IPA는 범위를 확장하거나 병합하지 않습니다. 없는 경우
사용 가능한 온덱 범위 슬롯이 있는 경우 사용자에게 보고됩니다. 범위는 효과적으로
다른 마스터의 범위에 수동으로 병합되지 않는 한 손실됩니다.

DNA 범위 및 온덱(다음) 값은 dnarange-set 및
dnanextrange-set 명령. 이러한 범위를 관리하기 위한 규칙은 다음과 같습니다.
- 범위는 ipa에서 정의한 로컬 범위 내에 완전히 포함되어야 합니다.
idrange 명령.

- 범위는 다른 IPA 마스터의 DNA 범위 또는 데크 범위와 겹칠 수 없습니다.

- 범위는 AD Trust의 ID 범위와 겹칠 수 없습니다.

- 프라이머리 DNA 범위는 제거할 수 없습니다.

- 갑판 위 범위 범위는 0-0으로 설정하여 제거할 수 있습니다. 가정은
범위가 수동으로 다른 곳으로 이동되거나 병합됩니다.

특정 마스터의 범위 및 다음 범위는 해당 마스터의 FQDN을 전달하여 표시할 수 있습니다.
dnarange-show 또는 dnanextrange-show 명령에 대한 마스터입니다.

위임된 관리자로 범위 변경 수행(예: 디렉토리를 사용하지 않음
관리자 암호)에는 추가 389-ds ACI가 필요합니다. 업그레이드된 마스터에 설치됩니다.
그러나 기존 것은 아닙니다. 변경 사항은 복제되지 않은 cn=config에서 이루어집니다. NS
결과는 DNA 범위를 위임된 마스터로 업그레이드되지 않은 마스터에서 관리할 수 없다는 것입니다.
관리자.

사용 예


모든 마스터 나열:
# ipa-replica-manage 목록
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com

서버의 복제 동의를 나열합니다.
# ipa-replica-manage 목록 srv1.example.com
srv2.example.com
srv3.example.com

복제본 다시 초기화:
# ipa-replica-manage re-initialize --from srv2.example.com

명령을 실행하는 서버의 데이터를 다시 초기화합니다.
srv2.example.com 복제본에서 데이터 검색

새 복제 계약 추가:
# ipa-replica-manage 연결 srv2.example.com srv4.example.com

기존 복제 계약을 제거합니다.
# ipa-replica-manage 연결 해제 srv1.example.com srv3.example.com

복제본을 완전히 제거합니다.
# ipa-replica-manage del srv4.example.com

연결/연결 해제를 사용하여 복제 토폴로지를 관리할 수 있습니다.

사용 중인 복제 ID를 나열합니다.
# ipa-replica-manage list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4

고아 및 삭제된 마스터에 대한 참조를 제거합니다.
# ipa-replica-manage del --force --cleanup master.example.com

윈싱크


Windows AD 동기화 계약 생성은 IPA 복제 생성과 유사합니다.
몇 가지 추가 단계가 있습니다.

PassSync 서비스에 대한 특수 사용자 항목이 생성됩니다. 이 항목의 DN은
uid=passsync,cn=sysaccounts,cn=etc, . 사용하기 위해 PassSync를 사용할 필요는 없습니다.
Windows 동기화 동의가 필요하지만 사용자에 대한 암호 설정이 필요합니다.

다음 예에서는 AD 관리자 계정을 동기화 사용자로 사용합니다. 이것
필수는 아니지만 사용자는 하위 트리에 대한 읽기 액세스 권한이 있어야 합니다.

1. base64로 인코딩된 Windows AD CA 인증서를 IPA 서버로 전송

2. 기존 kerberos 자격 증명을 제거합니다.
# kdestroy

3. winsync 복제 동의 추가
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-V

디렉토리 관리자의 비밀번호를 입력하라는 메시지가 표시됩니다.

winsync 복제 계약을 생성합니다.

# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com

winsync 복제 계약을 제거합니다.
# ipa-replica-manage 연결 해제 windows.ad.example.com

패스싱크


PassSync는 암호를 가로채기 위해 AD 도메인 컨트롤러에서 실행되는 Windows 서비스입니다.
변경. TLS를 통해 이러한 암호 변경 사항을 IPA LDAP 서버로 보냅니다. 이러한 비밀번호
변경 사항은 일반 IPA 암호 정책 설정을 무시하고 암호가 다음으로 설정되지 않습니다.
즉시 만료됩니다. 이는 IPA가 비밀번호 변경을 수신할 때까지
이미 AD에 의해 수락되었으므로 거절하기에는 너무 늦었습니다.

IPA는 암호 정책에서 제외되는 DN 목록을 유지 관리합니다. 특별한 사용자가 추가되었습니다.
winsync 복제 계약이 생성될 때 자동으로. 이 사용자의 DN은
항목의 passSyncManagersDN에 저장된 면제 목록에 추가됨
cn=ipa_pwd_extop,cn=플러그인,cn=구성.

EXIT 지위


명령이 성공한 경우 0

1 오류가 발생한 경우

onworks.net 서비스를 사용하여 ipa-replica-manage 온라인 사용


Ad


Ad