ນີ້ແມ່ນຄໍາສັ່ງ ipa-adtrust-install ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
ipa-adtrust-install - ກະກຽມເຄື່ອງແມ່ຂ່າຍ IPA ເພື່ອໃຫ້ສາມາດສ້າງຄວາມສໍາພັນຄວາມໄວ້ວາງໃຈ
ກັບໂດເມນ AD
ສະຫຼຸບສັງລວມ
ipa-adtrust-ຕິດຕັ້ງ [ທາງເລືອກ] ...
ລາຍລະອຽດ
ເພີ່ມວັດຖຸ ແລະການຕັ້ງຄ່າທີ່ຈໍາເປັນທັງໝົດເພື່ອອະນຸຍາດໃຫ້ເຊີບເວີ IPA ສ້າງຄວາມໄວ້ວາງໃຈໃຫ້ກັບ
ໂດເມນ Active Directory. ອັນນີ້ຮຽກຮ້ອງໃຫ້ເຊີບເວີ IPA ຖືກຕິດຕັ້ງແລ້ວ ແລະ
ຕັ້ງຄ່າ.
ກະລຸນາຮັບຊາບວ່າເຈົ້າຈະບໍ່ສາມາດສ້າງຄວາມເຊື່ອໝັ້ນໃຫ້ກັບໂດເມນ Active Directory ໄດ້
ເວັ້ນເສຍແຕ່ຊື່ realm ຂອງເຄື່ອງແມ່ຂ່າຍ IPA ກົງກັບຊື່ໂດເມນຂອງມັນ.
ipa-adtrust-install ສາມາດດໍາເນີນການຫຼາຍຄັ້ງເພື່ອຕິດຕັ້ງວັດຖຸທີ່ຖືກລົບຫຼືແຕກຫັກ
ໄຟລ໌ການຕັ້ງຄ່າ. ເຊັ່ນ: ການຕັ້ງຄ່າ samba ສົດ (ໄຟລ໌ smb.conf ແລະອີງໃສ່ການລົງທະບຽນ
ສາມາດສ້າງການຕັ້ງຄ່າໄດ້. ລາຍການອື່ນໆເຊັ່ນ: ການຕັ້ງຄ່າຂອບເຂດທ້ອງຖິ່ນ
ບໍ່ສາມາດປ່ຽນແປງໄດ້ໂດຍການແລ່ນ ipa-adtrust-install ເປັນຄັ້ງທີສອງເພາະວ່າມີການປ່ຽນແປງຢູ່ທີ່ນີ້
ວັດຖຸອື່ນໆອາດຈະໄດ້ຮັບຜົນກະທົບເຊັ່ນດຽວກັນ.
Firewall ຄວາມຕ້ອງການ
ນອກເໜືອໄປຈາກຄວາມຕ້ອງການໄຟວໍຂອງເຊີບເວີ IPA, ipa-adtrust-install ຮຽກຮ້ອງໃຫ້ມີ
ພອດຕໍ່ໄປນີ້ຈະເປີດເພື່ອໃຫ້ IPA ແລະ Active Directory ສາມາດສື່ສານຮ່ວມກັນໄດ້:
TCP ພອດ
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp ຜ່ານ 1300/tcp ເພື່ອອະນຸຍາດໃຫ້ EPMAP ໃນພອດ 135/tcp ເພື່ອສ້າງຕົວຟັງ TCP
ອີງຕາມການຮ້ອງຂໍທີ່ເຂົ້າມາ.
UDP ພອດ
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
OPTIONS
-d, --debug
ເປີດໃຊ້ການບັນທຶກການດີບັກ ເມື່ອຕ້ອງການຜົນຜະລິດ verbose ຫຼາຍຂຶ້ນ
--netbios-ຊື່=NETBIOS_NAME
ຊື່ NetBIOS ສໍາລັບໂດເມນ IPA. ຖ້າບໍ່ໄດ້ສະຫນອງໃຫ້, ນີ້ຖືກກໍານົດໂດຍອີງໃສ່
ໃນອົງປະກອບຊັ້ນນໍາຂອງຊື່ໂດເມນ DNS. ແລ່ນ ipa-adtrust-install ສໍາລັບ a
ຄັ້ງທີສອງທີ່ມີຊື່ NetBIOS ທີ່ແຕກຕ່າງກັນຈະປ່ຽນຊື່. ກະລຸນາສັງເກດວ່າ
ການປ່ຽນແປງຊື່ NetBIOS ອາດຈະທໍາລາຍຄວາມໄວ້ວາງໃຈທີ່ມີຢູ່ແລ້ວກັບຄົນອື່ນ
ໂດເມນ.
--no-msdcs
ຢ່າສ້າງບັນທຶກການບໍລິການ DNS ສໍາລັບ Windows ໃນເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ຖືກຄຸ້ມຄອງ. ນັບຕັ້ງແຕ່ນັ້ນ
ບັນທຶກການບໍລິການ DNS ແມ່ນວິທີດຽວທີ່ຈະຄົ້ນພົບຕົວຄວບຄຸມໂດເມນຂອງຄົນອື່ນ
ໂດເມນທີ່ພວກເຂົາຕ້ອງຖືກເພີ່ມດ້ວຍຕົນເອງກັບເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ແຕກຕ່າງກັນເພື່ອໃຫ້ຄວາມໄວ້ວາງໃຈ
realationships ເຮັດວຽກຢ່າງຖືກຕ້ອງ. ບັນທຶກການບໍລິການທີ່ຈໍາເປັນທັງຫມົດແມ່ນລະບຸໄວ້ໃນເວລາທີ່
ipa-adtrust-install ສຳເລັດແລ້ວ ແລະບໍ່ວ່າຈະ --no-msdcs ໄດ້ຮັບ ຫຼືບໍ່ມີບໍລິການ DNS DNS
ຖືກຕັ້ງຄ່າ. ໂດຍປົກກະຕິບັນທຶກການບໍລິການສໍາລັບຊື່ການບໍລິການຕໍ່ໄປນີ້ແມ່ນຈໍາເປັນ
ສໍາລັບໂດເມນ IPA ທີ່ຄວນຊີ້ໃຫ້ເຫັນເຖິງເຄື່ອງແມ່ຂ່າຍ IPA ທັງຫມົດ:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--ຕື່ມ-ຂ້າງ
ເພີ່ມ SIDs ໃຫ້ກັບຜູ້ໃຊ້ແລະກຸ່ມທີ່ມີຢູ່ແລ້ວຕາມຂັ້ນຕອນສຸດທ້າຍຂອງ
ipa-adtrust-install run. ຖ້າຫາກວ່າມີຜູ້ຊົມໃຊ້ທີ່ມີຢູ່ແລ້ວຈໍານວນຫຼາຍແລະກຸ່ມແລະຄູ່ຜົວເມຍຂອງ
replicas ໃນສະພາບແວດລ້ອມການດໍາເນີນງານນີ້ອາດຈະນໍາໄປສູ່ການຈະລາຈອນ replication ສູງ
ແລະການເສື່ອມໂຊມປະສິດທິພາບຂອງເຄື່ອງແມ່ຂ່າຍ IPA ທັງຫມົດໃນສະພາບແວດລ້ອມ. ເພື່ອຫຼີກເວັ້ນການນີ້
ການຜະລິດ SID ສາມາດດໍາເນີນການໄດ້ຫຼັງຈາກ ipa-adtrust-install ຖືກດໍາເນີນການແລະກໍານົດເວລາ
ເປັນເອກະລາດ. ເພື່ອເລີ່ມຕົ້ນວຽກງານນີ້, ທ່ານຕ້ອງໂຫລດສະບັບດັດແກ້ຂອງ ipa-sidgen-
task-run.ldif ກັບຄໍາສັ່ງ ldapmodify ຂໍ້ມູນເຄື່ອງແມ່ຂ່າຍຂອງໄດເລກະທໍລີ.
--add-ຕົວແທນ
ເພີ່ມແມ່ບົດ IPA ໃນບັນຊີລາຍຊື່ທີ່ອະນຸຍາດໃຫ້ໃຫ້ບໍລິການຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ຈາກ
ປ່າໄມ້ທີ່ເຊື່ອຖືໄດ້. ເລີ່ມຕົ້ນດ້ວຍ FreeIPA 4.2, ແມ່ບົດ IPA ປົກກະຕິສາມາດສະຫນອງສິ່ງນີ້
ຂໍ້ມູນໃຫ້ແກ່ລູກຄ້າ SSSD. ແມ່ບົດ IPA ບໍ່ໄດ້ຖືກເພີ່ມເຂົ້າໃນບັນຊີລາຍຊື່ອັດຕະໂນມັດເປັນ
ເລີ່ມຕົ້ນການບໍລິການ LDAP ຄືນໃໝ່ໃນແຕ່ລະພວກມັນແມ່ນຕ້ອງການ. ເຈົ້າພາບຢູ່ໃສ
ipa-adtrust-install ກໍາລັງດໍາເນີນການຖືກເພີ່ມໂດຍອັດຕະໂນມັດ.
ໃຫ້ສັງເກດວ່າ IPA masters ທີ່ ipa-adtrust-install ບໍ່ໄດ້ດໍາເນີນການ, ສາມາດໃຫ້ບໍລິການຂໍ້ມູນ
ກ່ຽວກັບຜູ້ໃຊ້ຈາກປ່າທີ່ເຊື່ອຖືໄດ້ພຽງແຕ່ຖ້າພວກເຂົາຖືກເປີດໃຊ້ຜ່ານ ipa-adtrust-install
ດໍາເນີນການກັບແມ່ບົດ IPA ອື່ນໆ. ຕ້ອງມີຢ່າງໜ້ອຍ SSSD ເວີຊັ່ນ 1.13 ເທິງ IPA master
ເພື່ອໃຫ້ສາມາດປະຕິບັດເປັນຕົວແທນທີ່ເຊື່ອຖືໄດ້.
-U, -- ບໍ່ມີຄົນຂັບ
ການຕິດຕັ້ງທີ່ບໍ່ມີການຕິດຕັ້ງທີ່ຈະບໍ່ມີການເຕືອນສໍາລັບການປ້ອນຂໍ້ມູນຂອງຜູ້ໃຊ້
-U, --rid-base=RID_BASE
ມູນຄ່າ RID ທໍາອິດຂອງໂດເມນທ້ອງຖິ່ນ. Posix ID ທໍາອິດຂອງໂດເມນທ້ອງຖິ່ນຈະເປັນ
ມອບໝາຍໃຫ້ RID ນີ້, ອັນທີສອງໃຫ້ RID+1 ແລະອື່ນໆ. ເບິ່ງການຊ່ວຍເຫຼືອທາງອອນໄລນ໌ຂອງ idrange
CLI ສໍາລັບລາຍລະອຽດ.
-U, --ຮອງ-ກໍາຈັດ-ຖານ=SECONDARY_RID_BASE
ຄ່າເລີ່ມຕົ້ນຂອງໄລຍະ RID ທີສອງ, ເຊິ່ງຖືກນໍາໃຊ້ພຽງແຕ່ໃນກໍລະນີຂອງຜູ້ໃຊ້ແລະ a
ກຸ່ມແບ່ງປັນຕົວເລກ Posix ID ດຽວກັນ. ເບິ່ງການຊ່ວຍເຫຼືອອອນໄລນ໌ຂອງ idrange CLI
ສໍາລັບລາຍລະອຽດ.
-A, --admin-ຊື່=ADMIN_NAME
ຊື່ຂອງຜູ້ໃຊ້ທີ່ມີສິດທິໃນການບໍລິຫານສໍາລັບເຄື່ອງແມ່ຂ່າຍ IPA ນີ້. ຄ່າເລີ່ມຕົ້ນ
ກັບ 'admin'.
-a, --admin-ລະຫັດຜ່ານ=ລະຫັດຜ່ານ
ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ທີ່ມີສິດທິໃນການບໍລິຫານສໍາລັບເຄື່ອງແມ່ຂ່າຍ IPA ນີ້. ຈະ
ຈະຖືກຖາມແບບໂຕ້ຕອບຖ້າ -U ບໍ່ໄດ້ລະບຸ.
ຂໍ້ມູນປະຈຳຕົວຂອງຜູ້ໃຊ້ admin ຈະຖືກໃຊ້ເພື່ອຮັບປີ້ Kerberos ກ່ອນ
configing cross-realm trusts support ແລະຫຼັງຈາກນັ້ນ, ເພື່ອຮັບປະກັນວ່າປີ້ມີ
ຂໍ້ມູນ MS-PAC ຕ້ອງການເພື່ອເພີ່ມຄວາມໄວ້ວາງໃຈກັບ Active Directory domain ຜ່ານ 'ipa
trust-add --type=ad' ຄໍາສັ່ງ.
--enable-compat
ເປີດໃຊ້ການສະຫນັບສະຫນູນຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ສໍາລັບລູກຄ້າເກົ່າຜ່ານ Schema
ປລັກອິນເຂົ້າກັນໄດ້. SSSD ສະຫນັບສະຫນູນໂດເມນທີ່ເຊື່ອຖືໄດ້ໂດຍພື້ນຖານເລີ່ມຕົ້ນດ້ວຍສະບັບ
1.9. ສໍາລັບແພລະຕະຟອມທີ່ຂາດ SSSD ຫຼືແລ່ນ SSSD ຮຸ່ນເກົ່າ, ຫນຶ່ງຈໍາເປັນຕ້ອງໃຊ້ມັນ
ທາງເລືອກ. ເມື່ອເປີດໃຊ້ງານ, ຊຸດ slapi-nis ຈໍາເປັນຕ້ອງໄດ້ຕິດຕັ້ງແລະ
schema-compat-plugin ຈະຖືກຕັ້ງຄ່າໃຫ້ຊອກຫາຜູ້ໃຊ້ ແລະກຸ່ມຈາກ
ໂດເມນທີ່ເຊື່ອຖືໄດ້ຜ່ານ SSSD ໃນເຊີບເວີ IPA. ຜູ້ໃຊ້ ແລະກຸ່ມເຫຼົ່ານີ້ຈະສາມາດໃຊ້ໄດ້
ພາຍໃຕ້ການ cn=users,cn=compat,$SUFFIX ແລະ cn=groups,cn=compat,$SUFFIX ຕົ້ນໄມ້. SSSD ຈະ
normalize ຊື່ຜູ້ໃຊ້ ແລະກຸ່ມໃຫ້ເປັນຕົວພິມນ້ອຍ.
ນອກເຫນືອຈາກການສະຫນອງຜູ້ໃຊ້ເຫຼົ່ານີ້ແລະກຸ່ມຜ່ານຕົ້ນໄມ້ compat, ນີ້
ທາງເລືອກເຮັດໃຫ້ການກວດສອບຄວາມຖືກຕ້ອງຜ່ານ LDAP ສໍາລັບຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ທີ່ມີ DN ພາຍໃຕ້
compat tree, ie ການນໍາໃຊ້ bind DN
uid=[email protected],cn=users,cn=compat,$SUFFIX.
ການກວດສອບຄວາມຖືກຕ້ອງ LDAP ທີ່ປະຕິບັດໂດຍຕົ້ນໄມ້ compat ແມ່ນເຮັດຜ່ານ PAM 'ການກວດສອບລະບົບ'
ການບໍລິການ. ການບໍລິການນີ້ມີຢູ່ຕາມຄ່າເລີ່ມຕົ້ນໃນລະບົບ Linux ແລະສະໜອງໃຫ້ໂດຍ pam
ຊຸດເປັນ /etc/pam.d/system-auth. ຖ້າການຕິດຕັ້ງ IPA ຂອງທ່ານບໍ່ມີ HBAC ເລີ່ມຕົ້ນ
ເປີດໃຊ້ກົດລະບຽບ 'allow_all', ຈາກນັ້ນໃຫ້ແນ່ໃຈວ່າໄດ້ກໍານົດໃນການບໍລິການພິເສດ IPA ເອີ້ນວ່າ
'ການກວດສອບລະບົບ' ແລະສ້າງກົດລະບຽບ HBAC ເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງກົດລະບຽບນີ້ໃນ IPA
ແມ່ບົດ.
ໃນຖານະເປັນ 'ການກວດສອບລະບົບ' ການບໍລິການ PAM ບໍ່ໄດ້ຖືກນໍາໃຊ້ໂດຍກົງໂດຍຄໍາຮ້ອງສະຫມັກອື່ນໆ, ມັນແມ່ນ
ປອດໄພທີ່ຈະໃຊ້ມັນສໍາລັບຜູ້ໃຊ້ໂດເມນທີ່ເຊື່ອຖືໄດ້ຜ່ານທາງເຂົ້າກັນໄດ້.
ອອກ STATUS
0 ຖ້າການຕິດຕັ້ງປະສົບຜົນສໍາເລັດ
1 ຖ້າຫາກວ່າຄວາມຜິດພາດເກີດຂຶ້ນ
ໃຊ້ ipa-adtrust-install ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
