ພາສາອັງກິດພາສາຝຣັ່ງແອສປາໂຍນ

ແລ່ນເຊີບເວີ | Ubuntu > | Fedora > |


OnWorks favicon

ipa-adtrust-install - ອອນລາຍໃນຄລາວ

ເປີດໃຊ້ ipa-adtrust-install ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີຜ່ານ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator

ນີ້ແມ່ນຄໍາສັ່ງ ipa-adtrust-install ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator

ໂຄງການ:

NAME


ipa-adtrust-install - ກະກຽມເຄື່ອງແມ່ຂ່າຍ IPA ເພື່ອໃຫ້ສາມາດສ້າງຄວາມສໍາພັນຄວາມໄວ້ວາງໃຈ
ກັບໂດເມນ AD

ສະຫຼຸບສັງລວມ


ipa-adtrust-ຕິດຕັ້ງ [ທາງເລືອກ] ...

ລາຍລະອຽດ


ເພີ່ມວັດຖຸ ແລະການຕັ້ງຄ່າທີ່ຈໍາເປັນທັງໝົດເພື່ອອະນຸຍາດໃຫ້ເຊີບເວີ IPA ສ້າງຄວາມໄວ້ວາງໃຈໃຫ້ກັບ
ໂດເມນ Active Directory. ອັນນີ້ຮຽກຮ້ອງໃຫ້ເຊີບເວີ IPA ຖືກຕິດຕັ້ງແລ້ວ ແລະ
ຕັ້ງຄ່າ.

ກະລຸນາຮັບຊາບວ່າເຈົ້າຈະບໍ່ສາມາດສ້າງຄວາມເຊື່ອໝັ້ນໃຫ້ກັບໂດເມນ Active Directory ໄດ້
ເວັ້ນເສຍແຕ່ຊື່ realm ຂອງເຄື່ອງແມ່ຂ່າຍ IPA ກົງກັບຊື່ໂດເມນຂອງມັນ.

ipa-adtrust-install ສາມາດດໍາເນີນການຫຼາຍຄັ້ງເພື່ອຕິດຕັ້ງວັດຖຸທີ່ຖືກລົບຫຼືແຕກຫັກ
ໄຟລ​໌​ການ​ຕັ້ງ​ຄ່າ​. ເຊັ່ນ: ການຕັ້ງຄ່າ samba ສົດ (ໄຟລ໌ smb.conf ແລະອີງໃສ່ການລົງທະບຽນ
ສາມາດສ້າງການຕັ້ງຄ່າໄດ້. ລາຍການອື່ນໆເຊັ່ນ: ການຕັ້ງຄ່າຂອບເຂດທ້ອງຖິ່ນ
ບໍ່ສາມາດປ່ຽນແປງໄດ້ໂດຍການແລ່ນ ipa-adtrust-install ເປັນຄັ້ງທີສອງເພາະວ່າມີການປ່ຽນແປງຢູ່ທີ່ນີ້
ວັດຖຸອື່ນໆອາດຈະໄດ້ຮັບຜົນກະທົບເຊັ່ນດຽວກັນ.

Firewall ຄວາມຕ້ອງການ
ນອກເໜືອໄປຈາກຄວາມຕ້ອງການໄຟວໍຂອງເຊີບເວີ IPA, ipa-adtrust-install ຮຽກຮ້ອງໃຫ້ມີ
ພອດຕໍ່ໄປນີ້ຈະເປີດເພື່ອໃຫ້ IPA ແລະ Active Directory ສາມາດສື່ສານຮ່ວມກັນໄດ້:

TCP ພອດ

· 135/tcp EPMAP

· 138/tcp NetBIOS-DGM

· 139/tcp NetBIOS-SSN

· 445/tcp Microsoft-DS

· 1024/tcp ຜ່ານ 1300/tcp ເພື່ອອະນຸຍາດໃຫ້ EPMAP ໃນພອດ 135/tcp ເພື່ອສ້າງຕົວຟັງ TCP
ອີງຕາມການຮ້ອງຂໍທີ່ເຂົ້າມາ.

UDP ພອດ

· 138/udp NetBIOS-DGM

· 139/udp NetBIOS-SSN

· 389/udp LDAP

OPTIONS


-d, --debug
ເປີດໃຊ້ການບັນທຶກການດີບັກ ເມື່ອຕ້ອງການຜົນຜະລິດ verbose ຫຼາຍຂຶ້ນ

--netbios-ຊື່=NETBIOS_NAME
ຊື່ NetBIOS ສໍາລັບໂດເມນ IPA. ຖ້າບໍ່ໄດ້ສະຫນອງໃຫ້, ນີ້ຖືກກໍານົດໂດຍອີງໃສ່
ໃນອົງປະກອບຊັ້ນນໍາຂອງຊື່ໂດເມນ DNS. ແລ່ນ ipa-adtrust-install ສໍາລັບ a
ຄັ້ງທີສອງທີ່ມີຊື່ NetBIOS ທີ່ແຕກຕ່າງກັນຈະປ່ຽນຊື່. ກະລຸນາສັງເກດວ່າ
ການປ່ຽນແປງຊື່ NetBIOS ອາດຈະທໍາລາຍຄວາມໄວ້ວາງໃຈທີ່ມີຢູ່ແລ້ວກັບຄົນອື່ນ
ໂດເມນ.

--no-msdcs
ຢ່າສ້າງບັນທຶກການບໍລິການ DNS ສໍາລັບ Windows ໃນເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ຖືກຄຸ້ມຄອງ. ນັບຕັ້ງແຕ່ນັ້ນ
ບັນທຶກການບໍລິການ DNS ແມ່ນວິທີດຽວທີ່ຈະຄົ້ນພົບຕົວຄວບຄຸມໂດເມນຂອງຄົນອື່ນ
ໂດເມນທີ່ພວກເຂົາຕ້ອງຖືກເພີ່ມດ້ວຍຕົນເອງກັບເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ແຕກຕ່າງກັນເພື່ອໃຫ້ຄວາມໄວ້ວາງໃຈ
realationships ເຮັດວຽກຢ່າງຖືກຕ້ອງ. ບັນທຶກການບໍລິການທີ່ຈໍາເປັນທັງຫມົດແມ່ນລະບຸໄວ້ໃນເວລາທີ່
ipa-adtrust-install ສຳເລັດແລ້ວ ແລະບໍ່ວ່າຈະ --no-msdcs ໄດ້ຮັບ ຫຼືບໍ່ມີບໍລິການ DNS DNS
ຖືກ​ຕັ້ງ​ຄ່າ​. ໂດຍປົກກະຕິບັນທຶກການບໍລິການສໍາລັບຊື່ການບໍລິການຕໍ່ໄປນີ້ແມ່ນຈໍາເປັນ
ສໍາລັບໂດເມນ IPA ທີ່ຄວນຊີ້ໃຫ້ເຫັນເຖິງເຄື່ອງແມ່ຂ່າຍ IPA ທັງຫມົດ:

· _ldap._tcp

· _kerberos._tcp

· _kerberos._udp

· _ldap._tcp.dc._msdcs

· _kerberos._tcp.dc._msdcs

· _kerberos._udp.dc._msdcs

· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs

--ຕື່ມ-ຂ້າງ
ເພີ່ມ SIDs ໃຫ້ກັບຜູ້ໃຊ້ແລະກຸ່ມທີ່ມີຢູ່ແລ້ວຕາມຂັ້ນຕອນສຸດທ້າຍຂອງ
ipa-adtrust-install run. ຖ້າ​ຫາກ​ວ່າ​ມີ​ຜູ້​ຊົມ​ໃຊ້​ທີ່​ມີ​ຢູ່​ແລ້ວ​ຈໍາ​ນວນ​ຫຼາຍ​ແລະ​ກຸ່ມ​ແລະ​ຄູ່​ຜົວ​ເມຍ​ຂອງ​
replicas ໃນສະພາບແວດລ້ອມການດໍາເນີນງານນີ້ອາດຈະນໍາໄປສູ່ການຈະລາຈອນ replication ສູງ
ແລະການເສື່ອມໂຊມປະສິດທິພາບຂອງເຄື່ອງແມ່ຂ່າຍ IPA ທັງຫມົດໃນສະພາບແວດລ້ອມ. ເພື່ອຫຼີກເວັ້ນການນີ້
ການຜະລິດ SID ສາມາດດໍາເນີນການໄດ້ຫຼັງຈາກ ipa-adtrust-install ຖືກດໍາເນີນການແລະກໍານົດເວລາ
ເປັນເອກະລາດ. ເພື່ອເລີ່ມຕົ້ນວຽກງານນີ້, ທ່ານຕ້ອງໂຫລດສະບັບດັດແກ້ຂອງ ipa-sidgen-
task-run.ldif ກັບຄໍາສັ່ງ ldapmodify ຂໍ້ມູນເຄື່ອງແມ່ຂ່າຍຂອງໄດເລກະທໍລີ.

--add-ຕົວແທນ
ເພີ່ມແມ່ບົດ IPA ໃນບັນຊີລາຍຊື່ທີ່ອະນຸຍາດໃຫ້ໃຫ້ບໍລິການຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ຈາກ
ປ່າ​ໄມ້​ທີ່​ເຊື່ອ​ຖື​ໄດ້​. ເລີ່ມຕົ້ນດ້ວຍ FreeIPA 4.2, ແມ່ບົດ IPA ປົກກະຕິສາມາດສະຫນອງສິ່ງນີ້
ຂໍ້ມູນໃຫ້ແກ່ລູກຄ້າ SSSD. ແມ່ບົດ IPA ບໍ່ໄດ້ຖືກເພີ່ມເຂົ້າໃນບັນຊີລາຍຊື່ອັດຕະໂນມັດເປັນ
ເລີ່ມຕົ້ນການບໍລິການ LDAP ຄືນໃໝ່ໃນແຕ່ລະພວກມັນແມ່ນຕ້ອງການ. ເຈົ້າພາບຢູ່ໃສ
ipa-adtrust-install ກໍາລັງດໍາເນີນການຖືກເພີ່ມໂດຍອັດຕະໂນມັດ.

ໃຫ້ສັງເກດວ່າ IPA masters ທີ່ ipa-adtrust-install ບໍ່ໄດ້ດໍາເນີນການ, ສາມາດໃຫ້ບໍລິການຂໍ້ມູນ
ກ່ຽວກັບຜູ້ໃຊ້ຈາກປ່າທີ່ເຊື່ອຖືໄດ້ພຽງແຕ່ຖ້າພວກເຂົາຖືກເປີດໃຊ້ຜ່ານ ipa-adtrust-install
ດໍາເນີນການກັບແມ່ບົດ IPA ອື່ນໆ. ຕ້ອງມີຢ່າງໜ້ອຍ SSSD ເວີຊັ່ນ 1.13 ເທິງ IPA master
ເພື່ອໃຫ້ສາມາດປະຕິບັດເປັນຕົວແທນທີ່ເຊື່ອຖືໄດ້.

-U, -- ບໍ່​ມີ​ຄົນ​ຂັບ​
ການ​ຕິດ​ຕັ້ງ​ທີ່​ບໍ່​ມີ​ການ​ຕິດ​ຕັ້ງ​ທີ່​ຈະ​ບໍ່​ມີ​ການ​ເຕືອນ​ສໍາ​ລັບ​ການ​ປ້ອນ​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​

-U, --rid-base=RID_BASE
ມູນຄ່າ RID ທໍາອິດຂອງໂດເມນທ້ອງຖິ່ນ. Posix ID ທໍາອິດຂອງໂດເມນທ້ອງຖິ່ນຈະເປັນ
ມອບໝາຍໃຫ້ RID ນີ້, ອັນທີສອງໃຫ້ RID+1 ແລະອື່ນໆ. ເບິ່ງການຊ່ວຍເຫຼືອທາງອອນໄລນ໌ຂອງ idrange
CLI ສໍາລັບລາຍລະອຽດ.

-U, --secondary-rid-base=SECONDARY_RID_BASE
ຄ່າເລີ່ມຕົ້ນຂອງໄລຍະ RID ທີສອງ, ເຊິ່ງຖືກນໍາໃຊ້ພຽງແຕ່ໃນກໍລະນີຂອງຜູ້ໃຊ້ແລະ a
ກຸ່ມແບ່ງປັນຕົວເລກ Posix ID ດຽວກັນ. ເບິ່ງການຊ່ວຍເຫຼືອອອນໄລນ໌ຂອງ idrange CLI
ສໍາລັບລາຍລະອຽດ.

-A, --admin-ຊື່=ADMIN_NAME
ຊື່ຂອງຜູ້ໃຊ້ທີ່ມີສິດທິໃນການບໍລິຫານສໍາລັບເຄື່ອງແມ່ຂ່າຍ IPA ນີ້. ຄ່າເລີ່ມຕົ້ນ
ກັບ 'admin'.

-a, --admin-ລະຫັດຜ່ານ=ລະຫັດຜ່ານ
ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ທີ່ມີສິດທິໃນການບໍລິຫານສໍາລັບເຄື່ອງແມ່ຂ່າຍ IPA ນີ້. ຈະ
ຈະຖືກຖາມແບບໂຕ້ຕອບຖ້າ -U ບໍ່ໄດ້ລະບຸ.

ຂໍ້ມູນປະຈຳຕົວຂອງຜູ້ໃຊ້ admin ຈະຖືກໃຊ້ເພື່ອຮັບປີ້ Kerberos ກ່ອນ
configing cross-realm trusts support ແລະຫຼັງຈາກນັ້ນ, ເພື່ອຮັບປະກັນວ່າປີ້ມີ
ຂໍ້ມູນ MS-PAC ຕ້ອງການເພື່ອເພີ່ມຄວາມໄວ້ວາງໃຈກັບ Active Directory domain ຜ່ານ 'ipa
trust-add --type=ad' ຄໍາສັ່ງ.

--enable-compat
ເປີດໃຊ້ການສະຫນັບສະຫນູນຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ສໍາລັບລູກຄ້າເກົ່າຜ່ານ Schema
ປລັກອິນເຂົ້າກັນໄດ້. SSSD ສະຫນັບສະຫນູນໂດເມນທີ່ເຊື່ອຖືໄດ້ໂດຍພື້ນຖານເລີ່ມຕົ້ນດ້ວຍສະບັບ
1.9. ສໍາລັບແພລະຕະຟອມທີ່ຂາດ SSSD ຫຼືແລ່ນ SSSD ຮຸ່ນເກົ່າ, ຫນຶ່ງຈໍາເປັນຕ້ອງໃຊ້ມັນ
ທາງເລືອກ. ເມື່ອເປີດໃຊ້ງານ, ຊຸດ slapi-nis ຈໍາເປັນຕ້ອງໄດ້ຕິດຕັ້ງແລະ
schema-compat-plugin ຈະຖືກຕັ້ງຄ່າໃຫ້ຊອກຫາຜູ້ໃຊ້ ແລະກຸ່ມຈາກ
ໂດເມນທີ່ເຊື່ອຖືໄດ້ຜ່ານ SSSD ໃນເຊີບເວີ IPA. ຜູ້ໃຊ້ ແລະກຸ່ມເຫຼົ່ານີ້ຈະສາມາດໃຊ້ໄດ້
ພາຍໃຕ້ການ cn=users,cn=compat,$SUFFIX ແລະ cn=groups,cn=compat,$SUFFIX ຕົ້ນໄມ້. SSSD ຈະ
normalize ຊື່ຜູ້ໃຊ້ ແລະກຸ່ມໃຫ້ເປັນຕົວພິມນ້ອຍ.

ນອກເຫນືອຈາກການສະຫນອງຜູ້ໃຊ້ເຫຼົ່ານີ້ແລະກຸ່ມຜ່ານຕົ້ນໄມ້ compat, ນີ້
ທາງເລືອກເຮັດໃຫ້ການກວດສອບຄວາມຖືກຕ້ອງຜ່ານ LDAP ສໍາລັບຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ທີ່ມີ DN ພາຍໃຕ້
compat tree, ie ການນໍາໃຊ້ bind DN
uid=administrator@ad.domain,cn=users,cn=compat,$SUFFIX.

ການກວດສອບຄວາມຖືກຕ້ອງ LDAP ທີ່ປະຕິບັດໂດຍຕົ້ນໄມ້ compat ແມ່ນເຮັດຜ່ານ PAM 'ການກວດສອບລະບົບ'
ການບໍລິການ. ການບໍລິການນີ້ມີຢູ່ຕາມຄ່າເລີ່ມຕົ້ນໃນລະບົບ Linux ແລະສະໜອງໃຫ້ໂດຍ pam
ຊຸດເປັນ /etc/pam.d/system-auth. ຖ້າການຕິດຕັ້ງ IPA ຂອງທ່ານບໍ່ມີ HBAC ເລີ່ມຕົ້ນ
ເປີດໃຊ້ກົດລະບຽບ 'allow_all', ຈາກນັ້ນໃຫ້ແນ່ໃຈວ່າໄດ້ກໍານົດໃນການບໍລິການພິເສດ IPA ເອີ້ນວ່າ
'ການກວດສອບລະບົບ' ແລະສ້າງກົດລະບຽບ HBAC ເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງກົດລະບຽບນີ້ໃນ IPA
ແມ່ບົດ.

ໃນຖານະເປັນ 'ການກວດສອບລະບົບ' ການບໍລິການ PAM ບໍ່ໄດ້ຖືກນໍາໃຊ້ໂດຍກົງໂດຍຄໍາຮ້ອງສະຫມັກອື່ນໆ, ມັນແມ່ນ
ປອດໄພທີ່ຈະໃຊ້ມັນສໍາລັບຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ຜ່ານທາງເຂົ້າກັນໄດ້.

ອອກ STATUS
0 ຖ້າການຕິດຕັ້ງປະສົບຜົນສໍາເລັດ

1 ຖ້າ​ຫາກ​ວ່າ​ຄວາມ​ຜິດ​ພາດ​ເກີດ​ຂຶ້ນ​

ໃຊ້ ipa-adtrust-install ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net


Ad


Ad