Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 ipa-replica-manage 명령입니다.
프로그램:
이름
ipa-replica-manage - IPA 복제본 관리
개요
ipa-복제본-관리 [OPTION]... [명령]
기술
IPA 서버의 복제 계약을 관리합니다.
도메인 레벨 1의 도메인에서 IPA 복제 계약을 관리하려면 IPA CLI 또는 웹 UI를 사용하십시오.
추가 정보는 `ipa 도움말 토폴로지`를 참조하십시오.
사용 가능한 명령은 다음과 같습니다.
잇다 [SERVER_A]
- SERVER_A/localhost와 SERVER_B 사이에 새로운 복제 계약을 추가합니다. ~에
도메인 레벨 1은 winsync 계약에만 적용 가능합니다.
분리 [SERVER_A]
- SERVER_A/localhost와 SERVER_B 간의 복제 계약을 제거합니다. ~에
도메인 레벨 1은 winsync 계약에만 적용 가능합니다.
델
- SERVER에 대한 모든 복제 계약 및 데이터를 제거합니다. 도메인 레벨 1에서는
접미사(도메인 및 ca)에 대한 데이터 및 계약을 제거합니다.
명부 [섬기는 사람]
- 모든 서버 또는 SERVER의 계약 목록을 나열합니다.
다시 초기화
- 서버에서 데이터를 검색하는 IPA 서버를 강제로 완전히 다시 초기화합니다.
--from 옵션으로 지정
강제 동기화
- 지정된 서버에서 복제할 모든 데이터를 즉시 플러시합니다.
--from 옵션
목록-ruv
- 이 서버의 복제 ID를 나열합니다.
클린루브 [복제_ID]
- CLEANALLRUV 작업을 실행하여 복제 ID를 제거합니다.
깨끗한 매달려있는 RUV
- 시스템에 남아 있는 모든 RUV 및 CS-RUV를 제거합니다.
복제본.
중단-깨끗한-ruv [복제_ID]
- 실행 중인 CLEANALLRUV 작업을 중단합니다. --force 옵션을 사용하면 작업이 기다리지 않습니다.
모든 복제 서버는 중단 작업을 보냈거나 온라인 상태여야 합니다.
완료.
목록-청소-ruv
- 실행 중인 모든 CLEANALLRUV를 나열하고 CLEANALLRUV 작업을 중단합니다.
dnarange-쇼 [섬기는 사람]
- DNA 범위 나열
dnarange-세트 섬기는 사람 시작-끝
- 마스터의 DNA 범위 설정
dnanextrange-쇼 [섬기는 사람]
- 다음 DNA 범위 나열
dnaextrange 세트 섬기는 사람 시작-끝
- 마스터의 DNA 다음 범위 설정
연결 및 연결 해제 옵션은 복제 토폴로지를 관리하는 데 사용됩니다. 언제
복제본이 생성되면 복제본을 생성한 마스터에만 연결됩니다. 연결
옵션을 사용하여 다른 기존 복제본에 연결할 수 있습니다.
연결 해제 옵션을 사용하여 복제본의 마지막 링크를 제거할 수 없습니다. 제거하려면
토폴로지의 복제본은 del 옵션을 사용합니다.
복제본이 삭제되었다가 짧은 시간 내에 다시 추가되면 389-ds
다시 설치하기 전에 생성한 마스터의 인스턴스를 다시 시작해야 합니다.
레플리카. 마스터에는 이전 서비스 주체가 캐시되어 있어
복제가 실패합니다.
각 IPA 마스터 서버에는 고유한 복제 ID가 있습니다. 이 ID는 다음과 같은 경우 389-ds-base에서 사용됩니다.
복제 상태에 대한 정보를 저장합니다. 출력은 마스터와 해당 마스터로 구성됩니다.
해당 복제 ID입니다. 보다 클린루브
마스터가 제거되면 다른 모든 마스터는 마스터에서 해당 복제 ID를 제거해야 합니다.
마스터 목록. 일반적으로 이는 마스터가 삭제되면 자동으로 발생합니다.
ipa-복제본-관리. ipa-replica-manage 시 하나 이상의 마스터가 다운되었거나 연결할 수 없는 경우
실행된 후에도 이 복제본 ID가 여전히 존재할 수 있습니다. clean-ruv 명령을 사용하여 다음을 수행할 수 있습니다.
사용되지 않은 복제 ID를 정리합니다.
주의사항: 클린루브는 VERY 위험한. 잘못된 복제 ID에 대한 실행이 발생할 수 있음
해당 마스터의 데이터가 일관되지 않습니다. 다음과 같은 경우 마스터를 다른 마스터에서 다시 초기화해야 합니다.
이런 일이 발생합니다.
마스터가 삭제되면 복제 토폴로지를 검사하여 방지를 시도합니다.
고아가 된 주인. 예를 들어 토폴로지가 A <-> B <-> C이고
마스터 B를 삭제하려고 시도하면 마스터와 A 및 C가 남게 되므로 실패합니다.
고아.
마스터 목록은 cn=masters,cn=ipa,cn=etc,dc=example,dc=com에 저장됩니다. 이것은
마스터가 삭제되면 자동으로 정리됩니다. 삭제한 경우
마스터 및 모든 계약이 있지만 이러한 항목이 여전히 존재하면 다음을 수행할 수 없습니다.
IPA를 다시 설치하려면 다음과 같이 설치가 실패합니다.
IPA 마스터 호스트는 표준 명령(host-del의 경우)을 사용하여 삭제하거나 비활성화할 수 없습니다.
예).
고아 마스터는 --cleanup 옵션과 함께 del 지시문을 사용하여 정리할 수 있습니다.
이렇게 하면 호스트 삭제를 방지하는 cn=masters,cn=ipa,cn=etc에서 항목이 제거됩니다.
작업에서 DNA 프로필, s4u2proxy 구성, 서비스 주체를 제거하고 제거합니다.
기본 DUA 프로필 defaultServerList에서.
옵션
-H HOST, --주인=HOST
관리할 IPA 서버입니다. 기본값은 명령이 실행되는 시스템입니다.
re-initialize 명령이 적용되지 않습니다.
-p DM_비밀번호, --비밀번호=DM_비밀번호
인증에 사용할 디렉토리 관리자 비밀번호
-v, --말 수가 많은
추가 정보 제공
-f, --힘
일부 유형의 오류를 무시하고 마스터 삭제 시 메시지를 표시하지 않음
-c, --조회 없음
DNS 조회 확인을 수행하지 마십시오.
-c, --대청소
--force 플래그를 사용하여 마스터를 삭제할 때 마스터에 대한 남은 참조를 제거합니다.
이미 마스터를 삭제했습니다.
--binddn=ADMIN_DN
원격 서버와 함께 사용할 바인딩 DN(기본값은 cn=Directory Manager) - 주의 사항
명령줄에서 이 값을 인용하세요.
--bindpw=ADMIN_PWD
원격 서버에 사용할 바인딩 DN의 비밀번호(기본값은 위의 DM_PASSWORD)
--winsync
Windows 동기화 계약을 생성/사용하도록 지정합니다.
--cacert=/경로/to/cacertfile
원격 서버에 대한 TLS/SSL과 함께 사용할 CA 인증서의 전체 경로 및 파일 이름 -
이 CA 인증서는 디렉터리 서버의 인증서에 설치됩니다.
데이터베이스
--win-하위 트리=cn=사용자,dc=예,dc=com
동기화하려는 사용자가 포함된 Windows 하위 트리의 DN(기본값)
cn=사용자, - 이는 일반적으로 Windows AD가 기본값으로 사용하는 것입니다.
값) - 명령줄에서 이 값을 인용해야 합니다.
--passsync=패스싱크_PWD
Windows PassSync 플러그인에서 동기화하는 데 사용되는 IPA 시스템 사용자의 비밀번호
비밀번호. --winsync를 사용할 때 필요합니다. 그렇다고 해서 반드시 다음을 사용해야 한다는 의미는 아닙니다.
패스싱크 서비스.
--에서=섬기는 사람
재초기화 및 강제 동기화에 사용되는 데이터를 가져올 서버
명령.
범위
IPA는 389-ds DNA(Distributed Numeric Assignment) 플러그인을 사용하여 POSIX ID를 할당합니다.
사용자 및 그룹. IPA가 설치되고 범위의 절반이 할당되면 범위가 생성됩니다.
할당 목적으로 첫 번째 IPA 마스터에 할당됩니다.
새로운 IPA 마스터는 자동으로 DNA 범위 할당을 받지 않습니다. 범위 할당은
해당 마스터에 사용자 또는 POSIX 그룹이 추가된 경우에만 수행됩니다.
DNA 플러그인은 "온데크" 또는 다음 범위 구성도 지원합니다. 기본 때
범위가 소진되면 다른 마스터에게 가서 더 많은 것을 요청하는 대신 해당 마스터를 사용합니다.
정의된 경우 데크 범위. 각 마스터는 하나의 범위와 하나의 온데크 범위만 가질 수 있습니다.
한정된.
마스터가 제거되면 해당 DNA 범위를 다른 마스터에 저장하려는 시도가 이루어집니다.
갑판 위 범위에서. IPA는 범위를 확장하거나 병합하려고 시도하지 않습니다. 없는 경우
데크 범위 슬롯이 사용 가능한 경우 이는 사용자에게 보고됩니다. 범위는 효과적으로
다른 마스터의 범위에 수동으로 병합되지 않는 한 손실됩니다.
DNA 범위와 온데크(다음) 값은 dnarange-set 및
dnanextrange-set 명령. 이러한 범위를 관리하는 규칙은 다음과 같습니다.
- 범위는 ipa에서 정의한 로컬 범위 내에 완전히 포함되어야 합니다.
idrange 명령.
- 범위는 다른 IPA 마스터의 DNA 범위 또는 온데크 범위와 겹칠 수 없습니다.
- 범위는 AD Trust의 ID 범위와 겹칠 수 없습니다.
- XNUMX차 DNA 범위는 제거할 수 없습니다.
- 데크 위 범위 범위를 0-0으로 설정하여 제거할 수 있습니다. 가정은
범위가 다른 곳으로 수동으로 이동되거나 병합됩니다.
특정 마스터의 범위와 다음 범위는 해당 마스터의 FQDN을 전달하여 표시할 수 있습니다.
dnarange-show 또는 dnanextrange-show 명령을 마스터하세요.
위임된 관리자로서 범위 변경 수행(예: 디렉터리를 사용하지 않음)
관리자 비밀번호)에는 추가 389-ds ACI가 필요합니다. 이는 업그레이드된 마스터에 설치됩니다.
하지만 기존 것은 아닙니다. 변경 사항은 복제되지 않는 cn=config에서 이루어집니다. 그만큼
결과적으로 업그레이드되지 않은 마스터에서는 DNA 범위를 위임된 마스터로 관리할 수 없습니다.
관리자.
사용 예
모든 마스터를 나열합니다.
# ipa-복제본-관리 목록
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
서버의 복제 동의를 나열합니다.
# ipa-replica-관리 목록 srv1.example.com
srv2.example.com
srv3.example.com
복제본 다시 초기화:
# ipa-replica-manage re-initialize --from srv2.example.com
명령을 실행하는 서버의 데이터를 다시 초기화합니다.
srv2.example.com 복제본에서 데이터 검색
새 복제 계약 추가:
# ipa-replica-manage 연결 srv2.example.com srv4.example.com
기존 복제 계약을 제거합니다.
# ipa-replica-manage 연결 해제 srv1.example.com srv3.example.com
복제본을 완전히 제거합니다.
# ipa-replica-manage del srv4.example.com
연결/연결 해제를 사용하여 복제 토폴로지를 관리할 수 있습니다.
사용 중인 복제 ID를 나열합니다.
# ipa-복제본-관리 목록-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
고아 및 삭제된 마스터에 대한 참조를 제거합니다.
# ipa-replica-manage del --force --cleanup master.example.com
윈싱크
Windows AD 동기화 계약을 만드는 것은 IPA 복제를 만드는 것과 비슷합니다.
동의하시려면 몇 가지 추가 단계만 거치면 됩니다.
PassSync 서비스에 대한 특수 사용자 항목이 생성됩니다. 이 항목의 DN은 다음과 같습니다.
uid=passsync,cn=sysaccounts,cn=etc, . PassSync를 사용하기 위해 반드시 PassSync를 사용할 필요는 없습니다.
Windows 동기화에 동의하지만 사용자의 비밀번호를 설정해야 합니다.
다음 예에서는 AD 관리자 계정을 동기화 사용자로 사용합니다. 이것
필수는 아니지만 사용자에게 하위 트리에 대한 읽기 액세스 권한이 있어야 합니다.
1. base64로 인코딩된 Windows AD CA 인증서를 IPA 서버로 전송
2. 기존 Kerberos 자격 증명을 제거합니다.
# kdestroy
3. winsync 복제 계약 추가
# ipa-replica-manage 연결 --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=관리자,cn=사용자,dc=ad,dc=예,dc=com" --bindpw
-V
디렉토리 관리자의 비밀번호를 입력하라는 메시지가 표시됩니다.
Winsync 복제 계약을 생성합니다:
# ipa-replica-manage 연결 --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=관리자,cn=사용자,dc=ad,dc=예,dc=com" --bindpw MySecret -v
windows.ad.example.com
Winsync 복제 계약을 제거합니다.
# ipa-replica-연결 끊기 windows.ad.example.com 관리
패스싱크
PassSync는 AD 도메인 컨트롤러에서 실행되어 비밀번호를 가로채는 Windows 서비스입니다.
변화. TLS를 통해 이러한 비밀번호 변경 사항을 IPA LDAP 서버로 보냅니다. 이 비밀번호
변경 사항이 일반 IPA 비밀번호 정책 설정을 우회하고 비밀번호가 다음으로 설정되지 않았습니다.
즉시 만료됩니다. 이는 IPA가 비밀번호 변경을 수신할 때까지
이미 AD에서 승인되었으므로 거부하기에는 너무 늦었습니다.
IPA는 비밀번호 정책에서 제외되는 DN 목록을 유지 관리합니다. 특별한 사용자가 추가되었습니다
winsync 복제 계약이 생성되면 자동으로. 이 사용자의 DN은 다음과 같습니다.
항목의 passSyncManagersDN에 저장된 면제 목록에 추가됨
cn=ipa_pwd_extop,cn=플러그인,cn=config.
EXIT 지위
명령이 성공한 경우 0
1 오류가 발생한 경우
onworks.net 서비스를 사용하여 온라인으로 ipa-replica-manage를 사용하세요.
