ipa-replica-manage - ອອນລາຍໃນຄລາວ

ໂຄງການ:

NAME

ipa-replica-manage - ຈັດການ IPA replica

ສະຫຼຸບສັງລວມ

ipa-replica-manage [ທາງເລືອກ] ... [ຄໍາສັ່ງ]

ລາຍລະອຽດ

ຈັດການຂໍ້ຕົກລົງການຈຳລອງຂອງເຊີບເວີ IPA.

ເພື່ອຈັດການຂໍ້ຕົກລົງການຈໍາລອງ IPA ໃນໂດເມນໃນລະດັບໂດເມນ 1, ໃຊ້ IPA CLI ຫຼື Web UI,
ເບິ່ງ 'ipa help topology' ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.

ຄໍາສັ່ງທີ່ມີຢູ່ແມ່ນ:

ເຊື່ອມຕໍ່ [SERVER_A]
- ເພີ່ມຂໍ້ຕົກລົງການຈຳລອງໃໝ່ລະຫວ່າງ SERVER_A/localhost ແລະ SERVER_B. ທີ່
ໂດເມນລະດັບ 1 ສາມາດໃຊ້ໄດ້ກັບຂໍ້ຕົກລົງ winsync ເທົ່ານັ້ນ.

ປິດການເຊື່ອມຕໍ່ [SERVER_A]
- ເອົາຂໍ້ຕົກລົງການຈໍາລອງລະຫວ່າງ SERVER_A/localhost ແລະ SERVER_B. ທີ່
ໂດເມນລະດັບ 1 ສາມາດໃຊ້ໄດ້ກັບຂໍ້ຕົກລົງ winsync ເທົ່ານັ້ນ.

ໄດ້
- ເອົາຂໍ້ຕົກລົງການຈຳລອງທັງໝົດ ແລະຂໍ້ມູນກ່ຽວກັບ SERVER. ໃນລະດັບໂດເມນ 1 ມັນ
ເອົາຂໍ້ມູນແລະຂໍ້ຕົກລົງສໍາລັບທັງສອງ suffixes - domain and ca .

ບັນຊີລາຍຊື່ [ເຊີບເວີ]
- ລາຍຊື່ເຄື່ອງແມ່ຂ່າຍທັງຫມົດຫຼືບັນຊີລາຍຊື່ຂອງຂໍ້ຕົກລົງຂອງ SERVER

ເລີ່ມຕົ້ນໃຫມ່
- ບັງຄັບໃຫ້ມີການເລີ່ມຕົ້ນໃຫມ່ຢ່າງເຕັມທີ່ຂອງເຄື່ອງແມ່ຂ່າຍ IPA ດຶງຂໍ້ມູນຈາກເຄື່ອງແມ່ຂ່າຍ
ລະບຸດ້ວຍຕົວເລືອກ --from

ບັງຄັບ sync
- ທັນທີ flush ຂໍ້ມູນໃດໆທີ່ຈະ replicated ຈາກເຄື່ອງແມ່ຂ່າຍທີ່ລະບຸໄວ້ກັບ
-- ຈາກ​ທາງ​ເລືອກ​

list-ruv
- ລາຍຊື່ IDs replication ຢູ່ໃນເຄື່ອງແມ່ຂ່າຍນີ້.

ສະອາດ-ruv [REPLICATION_ID]
- ດໍາເນີນວຽກງານ CLEANALLRUV ເພື່ອເອົາ ID ການຈໍາລອງອອກ.

ສະອາດ-dangling-ruv
- ເຮັດຄວາມສະອາດ RUVs ແລະ CS-RUVs ທັງໝົດທີ່ເຫຼືອຢູ່ໃນລະບົບຈາກການຖອນການຕິດຕັ້ງ
ການຈຳລອງ.

abort-clean-ruv [REPLICATION_ID]
- ຍົກ​ເລີກ​ວຽກ CLEANALLRUV ແລ່ນ​. ດ້ວຍທາງເລືອກ --force ວຽກງານບໍ່ລໍຖ້າ
ເຊີບເວີ replica ທັງໝົດທີ່ຖືກສົ່ງໄປວຽກທີ່ເອົາລູກອອກ, ຫຼືອອນລາຍກ່ອນ
ສໍາເລັດ.

list-clean-ruv
- ບອກທັງໝົດທີ່ແລ່ນ CLEANALLRUV ແລະຍົກເລີກໜ້າວຽກ CLEANALLRUV.

dnarange-ສະແດງ [ເຊີບເວີ]
- ບອກ​ໄລ​ຍະ DNA​

dnarange-ຊຸດ ຜູ້ໃຫ້ບໍລິການ ເລີ່ມ-END
- ກໍານົດຂອບເຂດ DNA ຢູ່ໃນຕົ້ນສະບັບ

dnanextrange-show [ເຊີບເວີ]
- ບອກໄລຍະ DNA ຕໍ່ໄປ

dnanextrange-ຊຸດ ຜູ້ໃຫ້ບໍລິການ ເລີ່ມ-END
- ກໍານົດລະດັບ DNA ຕໍ່ໄປໃນແມ່ບົດ

ທາງເລືອກການເຊື່ອມຕໍ່ແລະຕັດການເຊື່ອມຕໍ່ແມ່ນຖືກນໍາໃຊ້ເພື່ອຈັດການ topology replication. ເມື່ອ ກ
replica ແມ່ນຖືກສ້າງຂຶ້ນມັນພຽງແຕ່ເຊື່ອມຕໍ່ກັບແມ່ບົດທີ່ສ້າງມັນ. ການ​ເຊື່ອມ​ຕໍ່
ທາງເລືອກອາດຈະຖືກນໍາໃຊ້ເພື່ອເຊື່ອມຕໍ່ມັນກັບ replicas ທີ່ມີຢູ່ແລ້ວອື່ນໆ.

ທາງ​ເລືອກ​ການ​ຕັດ​ການ​ເຊື່ອມ​ຕໍ່​ບໍ່​ສາ​ມາດ​ຖືກ​ນໍາ​ໃຊ້​ເພື່ອ​ເອົາ​ການ​ເຊື່ອມ​ຕໍ່​ສຸດ​ທ້າຍ​ຂອງ replica ໄດ້​. ເພື່ອເອົາ ກ
replica ຈາກ topology ໃຊ້ທາງເລືອກ del.

ຖ້າການຈໍາລອງຖືກລຶບອອກແລະຫຼັງຈາກນັ້ນເພີ່ມໃຫມ່ພາຍໃນໄລຍະເວລາສັ້ນໆຫຼັງຈາກນັ້ນ 389-ds
ຕົວຢ່າງໃນແມ່ບົດທີ່ສ້າງມັນຄວນຈະຖືກເລີ່ມຕົ້ນໃຫມ່ກ່ອນທີ່ຈະຕິດຕັ້ງໃຫມ່
ແບບຈຳລອງ. ແມ່ບົດຈະມີຫຼັກການບໍລິການເກົ່າທີ່ເກັບໄວ້ໃນຖານຄວາມຈໍາເຊິ່ງຈະເຮັດໃຫ້
replication ລົ້ມເຫລວ.

ແຕ່ລະເຊີບເວີຫຼັກຂອງ IPA ມີ ID ການຈຳລອງທີ່ເປັນເອກະລັກ. ID ນີ້ຖືກນໍາໃຊ້ໂດຍ 389-ds-base ເມື່ອ
ການເກັບຮັກສາຂໍ້ມູນກ່ຽວກັບສະຖານະການຈໍາລອງ. ຜົນຜະລິດປະກອບດ້ວຍແມ່ບົດແລະຂອງເຂົາເຈົ້າ
ID ການຈຳລອງຕາມລໍາດັບ. ເບິ່ງ ສະອາດ-ruv

ເມື່ອແມ່ບົດຖືກໂຍກຍ້າຍ, ແມ່ບົດອື່ນໆທັງຫມົດຈໍາເປັນຕ້ອງເອົາ ID replication ຂອງມັນອອກຈາກ
ບັນຊີລາຍຊື່ຂອງແມ່ບົດ. ໂດຍປົກກະຕິແລ້ວ ອັນນີ້ເກີດຂຶ້ນໂດຍອັດຕະໂນມັດເມື່ອແມ່ບົດຖືກລຶບດ້ວຍ
ipa-replica-manage. ຖ້າຫນຶ່ງຫຼືຫຼາຍກວ່າຕົ້ນສະບັບໄດ້ຫຼຸດລົງຫຼືບໍ່ສາມາດຕິດຕໍ່ໄດ້ໃນເວລາທີ່ ipa-replica-manage
ໄດ້ຖືກປະຕິບັດຫຼັງຈາກນັ້ນ ID ແບບຈໍາລອງນີ້ອາດຈະຍັງມີຢູ່. ຄໍາສັ່ງ clean-ruv ອາດຈະຖືກນໍາໃຊ້ເພື່ອ
ເຮັດຄວາມສະອາດ ID ການຈໍາລອງທີ່ບໍ່ໄດ້ໃຊ້.

ຫມາຍ​ເຫດ​: clean-ruv ແມ່ນ VERY ອັນຕະລາຍ. ການປະຕິບັດຕໍ່ກັບ ID replication ທີ່ບໍ່ຖືກຕ້ອງສາມາດສົ່ງຜົນ
ໃນຂໍ້ມູນທີ່ບໍ່ສອດຄ່ອງຂອງແມ່ບົດນັ້ນ. ແມ່ບົດຄວນໄດ້ຮັບການເລີ່ມຕົ້ນໃຫມ່ຈາກຄົນອື່ນຖ້າ
ນີ້ເກີດຂຶ້ນ.

topology replication ໄດ້ຖືກກວດສອບເມື່ອແມ່ບົດຖືກລຶບແລະຈະພະຍາຍາມປ້ອງກັນ
ຕົ້ນສະບັບຈາກການເປັນເດັກກໍາພ້າ. ຕົວຢ່າງ, ຖ້າ topology ຂອງທ່ານແມ່ນ A <-> B <-> C ແລະທ່ານ
ພະຍາຍາມລຶບແມ່ບົດ B ມັນຈະລົ້ມເຫລວເພາະວ່າມັນຈະປ່ອຍໃຫ້ແມ່ບົດ A ແລະ C
ເດັກກຳພ້າ.

ບັນຊີລາຍຊື່ຂອງແມ່ບົດຖືກເກັບໄວ້ໃນ cn=masters,cn=ipa,cn=etc,dc=example,dc=com. ອັນນີ້ຄວນ
ຈະຖືກອະນາໄມໂດຍອັດຕະໂນມັດເມື່ອແມ່ແບບຖືກລຶບ. ຖ້າ​ຫາກ​ວ່າ​ມັນ​ເກີດ​ຂຶ້ນ​ທີ່​ທ່ານ​ໄດ້​ລົບ​
ແມ່ບົດແລະຂໍ້ຕົກລົງທັງຫມົດແຕ່ການເຂົ້າເຫຼົ່ານີ້ຍັງມີຢູ່ຫຼັງຈາກນັ້ນທ່ານຈະບໍ່ສາມາດເຮັດໄດ້
ເພື່ອຕິດຕັ້ງ IPA ຄືນໃໝ່, ການຕິດຕັ້ງຈະລົ້ມເຫລວກັບ:

ໂຮສຫຼັກຂອງ IPA ບໍ່ສາມາດຖືກລຶບ ຫຼືປິດການນຳໃຊ້ຄຳສັ່ງມາດຕະຖານ (host-del, for
ຕົວຢ່າງ).

ແມ່ບົດທີ່ເດັກກຳພ້າອາດຈະຖືກອະນາໄມໂດຍໃຊ້ del directive ດ້ວຍຕົວເລືອກ --cleanup.
ນີ້ຈະເອົາລາຍການອອກຈາກ cn=masters,cn=ipa,cn=etc ທີ່ປ້ອງກັນບໍ່ໃຫ້ host-del
ຈາກການເຮັດວຽກ, ໂປຼໄຟລ໌ dna ຂອງມັນ, ການຕັ້ງຄ່າ s4u2proxy, ຜູ້ອໍານວຍການບໍລິການແລະເອົາມັນອອກ
ຈາກຄ່າເລີ່ມຕົ້ນ DUA profile defaultServerList.

OPTIONS

-H ທີ່ສຸດ, -ເຈົ້າພາບ=ທີ່ສຸດ
ເຊີບເວີ IPA ເພື່ອຈັດການ. ຄ່າເລີ່ມຕົ້ນແມ່ນເຄື່ອງທີ່ຄຳສັ່ງຖືກແລ່ນ
ບໍ່ໄດ້ຮັບກຽດໂດຍຄໍາສັ່ງ re-initialize.

-p DM_PASSWORD, -ລະຫັດຜ່ານ=DM_PASSWORD
ລະ​ຫັດ​ຜ່ານ Directory Manager ທີ່​ຈະ​ນໍາ​ໃຊ້​ສໍາ​ລັບ​ການ​ກວດ​ສອບ

-v, -- verbose
ໃຫ້ຂໍ້ມູນເພີ່ມເຕີມ

-f, --ກຳລັງ
ບໍ່ສົນໃຈບາງປະເພດຂອງຄວາມຜິດພາດ, ຢ່າເຕືອນເມື່ອລຶບແມ່ແບບ

-c, --ບໍ່ຊອກຫາ
ຢ່າເຮັດການກວດສອບ DNS ຊອກຫາ.

-c, --ທໍາ​ຄວາມ​ສະ​ອາດ​
ເມື່ອລຶບແມ່ແບບທີ່ມີທຸງ --force, ເອົາການອ້າງອີງທີ່ເຫຼືອໄປໃສ່
ລຶບຕົ້ນສະບັບແລ້ວ.

--binddn=ADMIN_DN
ຜູກມັດ DN ເພື່ອໃຊ້ກັບເຊີບເວີທາງໄກ (ຄ່າເລີ່ມຕົ້ນແມ່ນ cn=Directory Manager) - ລະວັງ
ອ້າງເຖິງຄ່ານີ້ຢູ່ໃນເສັ້ນຄໍາສັ່ງ

--bindpw=ADMIN_PWD
ລະຫັດຜ່ານສໍາລັບ Bind DN ເພື່ອໃຊ້ກັບເຊີບເວີທາງໄກ (ຄ່າເລີ່ມຕົ້ນແມ່ນ DM_PASSWORD ຂ້າງເທິງ)

--winsync
ລະບຸເພື່ອສ້າງ/ໃຊ້ຂໍ້ຕົກລົງ Windows Sync

--cacert=/path/to/cacertfile
ເສັ້ນທາງເຕັມແລະຊື່ໄຟລ໌ຂອງໃບຢັ້ງຢືນ CA ທີ່ຈະໃຊ້ກັບ TLS/SSL ກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກ -
ໃບຮັບຮອງ CA ນີ້ຈະຖືກຕິດຕັ້ງຢູ່ໃນໃບຢັ້ງຢືນຂອງເຊີບເວີຂອງໄດເລກະທໍລີ
ຖານຂໍ້ມູນ

--win-subtree=cn=ຜູ້ໃຊ້,dc=ຕົວຢ່າງ,dc=com
DN ຂອງຕົ້ນໄມ້ຍ່ອຍ Windows ທີ່ບັນຈຸຜູ້ໃຊ້ທີ່ທ່ານຕ້ອງການ sync (ຄ່າເລີ່ມຕົ້ນ
cn=ຜູ້ໃຊ້, - ນີ້ແມ່ນສິ່ງທີ່ Windows AD ໂດຍທົ່ວໄປໃຊ້ເປັນຄ່າເລີ່ມຕົ້ນ
value) - ຈົ່ງລະມັດລະວັງໃນການອ້າງເຖິງຄ່ານີ້ຢູ່ໃນເສັ້ນຄໍາສັ່ງ

--passsync=PASSSYNC_PWD
ລະຫັດຜ່ານສໍາລັບຜູ້ໃຊ້ລະບົບ IPA ທີ່ໃຊ້ໂດຍ plugin Windows PassSync ເພື່ອ synchronize
ລະຫັດຜ່ານ. ຕ້ອງການເມື່ອໃຊ້ --winsync. ນີ້ບໍ່ໄດ້ຫມາຍຄວາມວ່າທ່ານຕ້ອງໃຊ້
ບໍລິການ PassSync.

--ຈາກ=ຜູ້ໃຫ້ບໍລິການ
ເຊີບເວີທີ່ຈະດຶງຂໍ້ມູນຈາກ, ໃຊ້ໂດຍການເລີ່ມຕົ້ນໃໝ່ ແລະບັງຄັບໃຫ້ຊິ້ງ
ຄຳ ສັ່ງ.

ຫາຍາກ

IPA ໃຊ້ປລັກອິນ 389-ds Distributed Numeric Assignment (DNA) ເພື່ອຈັດສັນ POSIX ids ສໍາລັບ
ຜູ້ໃຊ້ແລະກຸ່ມ. ໄລຍະຖືກສ້າງຂື້ນເມື່ອ IPA ຖືກຕິດຕັ້ງ ແລະເຄິ່ງໜຶ່ງແມ່ນກຳນົດຂອບເຂດ
ກັບແມ່ບົດ IPA ທໍາອິດສໍາລັບຈຸດປະສົງຂອງການຈັດສັນ.

ແມ່ບົດ IPA ໃຫມ່ບໍ່ໄດ້ຮັບການກໍານົດຂອບເຂດ DNA ໂດຍອັດຕະໂນມັດ. ການກຳນົດຂອບເຂດແມ່ນ
ເຮັດໄດ້ເມື່ອຜູ້ໃຊ້ ຫຼືກຸ່ມ POSIX ຖືກເພີ່ມໃສ່ໃນແມ່ແບບນັ້ນເທົ່ານັ້ນ.

plugin DNA ຍັງສະຫນັບສະຫນູນ "on-deck" ຫຼືການຕັ້ງຄ່າໄລຍະຕໍ່ໄປ. ເມື່ອປະຖົມ
ຂອບເຂດແມ່ນຫມົດໄປ, ແທນທີ່ຈະໄປຫາແມ່ບົດອື່ນເພື່ອຮ້ອງຂໍເພີ່ມເຕີມ, ມັນຈະໃຊ້ມັນ
ຊ່ວງເທິງດາດຟ້າຖ້າອັນໃດຖືກກຳນົດ. ແມ່ບົດແຕ່ລະຄົນສາມາດມີພຽງໜຶ່ງຊ່ວງ ແລະ ໄລຍະໜຶ່ງຢູ່ເທິງດາດຟ້າ
ກໍານົດ.

ເມື່ອແມ່ບົດຖືກໂຍກຍ້າຍອອກ, ຄວາມພະຍາຍາມແມ່ນເຮັດເພື່ອຊ່ວຍປະຢັດຂອບເຂດ DNA ຂອງມັນໃສ່ກັບແມ່ແບບອື່ນ
ຢູ່​ໃນ​ຂອບ​ເຂດ​ຂອງ​ຕົນ​. IPA ຈະບໍ່ພະຍາຍາມຂະຫຍາຍ ຫຼືລວມຂອບເຂດ. ຖ້າບໍ່ມີ
ຊ່ອງຫວ່າງທີ່ມີຢູ່ເທິງດາດຟ້າຫຼັງຈາກນັ້ນອັນນີ້ຈະຖືກລາຍງານໃຫ້ຜູ້ໃຊ້. ຂອບເຂດປະສິດທິພາບ
ສູນເສຍເວັ້ນເສຍແຕ່ວ່າມັນຖືກລວມເຂົ້າກັບລະດັບຂອງຕົ້ນສະບັບອື່ນ.

ຊ່ວງ DNA ແລະຄ່າເທິງດາດ (ຕໍ່ໄປ) ສາມາດຈັດການໄດ້ໂດຍໃຊ້ dnarange-set ແລະ
dnanextrange-ຊຸດຄໍາສັ່ງ. ກົດ​ລະ​ບຽບ​ການ​ຄຸ້ມ​ຄອງ​ໄລ​ຍະ​ເຫຼົ່າ​ນີ້​ແມ່ນ​:
- ໄລຍະຈະຕ້ອງຖືກບັນຈຸຢ່າງສົມບູນພາຍໃນຂອບເຂດທ້ອງຖິ່ນຕາມທີ່ໄດ້ກໍານົດໂດຍ ipa
idrange ຄໍາສັ່ງ.

- ຊ່ວງດັ່ງກ່າວບໍ່ສາມາດທັບຊ້ອນກັນໄລຍະ DNA ຫຼືລະດັບເທິງດາດຟ້າໃນແມ່ບົດ IPA ອື່ນໄດ້.

- ໄລຍະບໍ່ສາມາດທັບຊ້ອນ ID ຂອງ AD Trust ໄດ້.

- ຊ່ວງ DNA ຫຼັກບໍ່ສາມາດເອົາອອກໄດ້.

- ລະດັບລະດັບເທິງດາດຟ້າສາມາດເອົາອອກໄດ້ໂດຍການຕັ້ງມັນເປັນ 0-0. ສົມມຸດຕິຖານແມ່ນ
ວ່າໄລຍະຈະຖືກຍ້າຍດ້ວຍຕົນເອງ ຫຼືຖືກຮວມຢູ່ບ່ອນອື່ນ.

ໄລຍະແລະລະດັບຕໍ່ໄປຂອງແມ່ບົດສະເພາະສາມາດສະແດງໄດ້ໂດຍການຖ່າຍທອດ FQDN ຂອງສິ່ງນັ້ນ
master ກັບຄໍາສັ່ງ dnarange-show ຫຼື dnanextrange-show.

ການປະຕິບັດການປ່ຽນແປງຂອບເຂດເປັນຜູ້ຄຸ້ມຄອງທີ່ໄດ້ຮັບມອບຫມາຍ (ເຊັ່ນ: ບໍ່ໄດ້ໃຊ້ Directory
ລະຫັດຜ່ານຜູ້ຈັດການ) ຕ້ອງການ 389-ds ACIs ເພີ່ມເຕີມ. ເຫຼົ່ານີ້ແມ່ນໄດ້ຕິດຕັ້ງຢູ່ໃນແມ່ບົດຍົກລະດັບ
ແຕ່ບໍ່ແມ່ນທີ່ມີຢູ່ແລ້ວ. ການປ່ຽນແປງແມ່ນເຮັດໃນ cn=config ເຊິ່ງບໍ່ໄດ້ເຮັດຊ້ຳ. ໄດ້
ຜົນໄດ້ຮັບແມ່ນວ່າຂອບເຂດ DNA ບໍ່ສາມາດຖືກຄຸ້ມຄອງຢູ່ໃນແມ່ບົດທີ່ບໍ່ໄດ້ຮັບການຍົກລະດັບເປັນຕົວແທນ
ຜູ້​ບໍ​ລິ​ຫານ.

ຕົວຢ່າງ

ລາຍ​ຊື່​ແມ່​ບົດ​ທັງ​ຫມົດ​:
# ipa-replica-manage list
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com

ລາຍຊື່ຂໍ້ຕົກລົງການຈຳລອງຂອງເຊີບເວີ.
# ipa-replica-manage list srv1.example.com
srv2.example.com
srv3.example.com

ເລີ່ມຕົ້ນການຈຳລອງຄືນໃໝ່:
# ipa-replica-manage re-initialize --from srv2.example.com

ນີ້ຈະເລີ່ມຕົ້ນໃຫມ່ຂໍ້ມູນໃນເຄື່ອງແມ່ຂ່າຍທີ່ທ່ານປະຕິບັດຄໍາສັ່ງ,
ດຶງຂໍ້ມູນຈາກ srv2.example.com replica

ເພີ່ມຂໍ້ຕົກລົງການຈຳລອງໃໝ່:
# ipa-replica-manage ເຊື່ອມຕໍ່ srv2.example.com srv4.example.com

ເອົາຂໍ້ຕົກລົງການຈໍາລອງທີ່ມີຢູ່ແລ້ວອອກ:
# ipa-replica-manage disconnect srv1.example.com srv3.example.com

ເອົາແບບຈໍາລອງອອກຢ່າງສົມບູນ:
# ipa-replica-manage del srv4.example.com

ການ​ນໍາ​ໃຊ້​ການ​ເຊື່ອມ​ຕໍ່ / ຕັດ​ການ​ເຊື່ອມ​ຕໍ່​ທ່ານ​ສາ​ມາດ​ຈັດ​ການ topology ການ​ຈໍາ​ລອງ​ໄດ້​.

ບອກ IDs ການຈຳລອງທີ່ໃຊ້ຢູ່:
# ipa-replica-manage list-ruv
srv1.example.com:389:7
srv2.example.com:389:4

ເອົາການອ້າງອີງເຖິງແມ່ບົດທີ່ກຳພ້າ ແລະຖືກລຶບຖິ້ມ:
# ipa-replica-manage del --force --cleanup master.example.com

WINSYNC

ການສ້າງຂໍ້ຕົກລົງການຊິງໂຄໄນຂອງ Windows AD ແມ່ນຄ້າຍຄືກັນກັບການສ້າງແບບຈໍາລອງ IPA
ຂໍ້ຕົກລົງ, ມີພຽງແຕ່ສອງສາມຂັ້ນຕອນເພີ່ມເຕີມ.

ການເຂົ້າຜູ້ໃຊ້ພິເສດແມ່ນຖືກສ້າງຂຶ້ນສໍາລັບການບໍລິການ PassSync. DN ຂອງລາຍການນີ້ແມ່ນ
uid=passsync,cn=sysaccounts,cn=etc, . ທ່ານບໍ່ຈໍາເປັນຕ້ອງໃຊ້ PassSync ເພື່ອໃຊ້ a
ຂໍ້​ຕົກ​ລົງ synchronization Windows ແຕ່​ການ​ຕັ້ງ​ລະ​ຫັດ​ຜ່ານ​ສໍາ​ລັບ​ຜູ້​ໃຊ້​ແມ່ນ​ຕ້ອງ​ການ​.

ຕົວຢ່າງຕໍ່ໄປນີ້ໃຊ້ບັນຊີຜູ້ບໍລິຫານ AD ເປັນຜູ້ໃຊ້ synchronization. ນີ້
ບໍ່ແມ່ນການບັງຄັບແຕ່ຜູ້ໃຊ້ຕ້ອງມີການເຂົ້າເຖິງການອ່ານຕໍ່ຕົ້ນໄມ້ຍ່ອຍ.

1. ໂອນໃບຢັ້ງຢືນ Windows AD CA ທີ່ໄດ້ເຂົ້າລະຫັດ base64 ໄປຍັງເຊີບເວີ IPA ຂອງທ່ານ

2. ເອົາຂໍ້ມູນປະຈໍາຕົວ kerberos ທີ່ມີຢູ່ແລ້ວອອກ
# kdestroy

3. ເພີ່ມຂໍ້ຕົກລົງການຈໍາລອງ winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v

ທ່ານຈະຖືກເຕືອນໃຫ້ສະໜອງລະຫັດຜ່ານຂອງ Directory Manager.

ສ້າງຂໍ້ຕົກລົງການຈໍາລອງ winsync:

# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com

ເອົາຂໍ້ຕົກລົງການຈໍາລອງ winsync:
# ipa-replica-manage disconnect windows.ad.example.com

PASSSYNC

PassSync ເປັນບໍລິການ Windows ທີ່ເຮັດວຽກຢູ່ໃນ AD Domain Controllers ເພື່ອສະກັດລະຫັດຜ່ານ
ການປ່ຽນແປງ. ມັນສົ່ງການປ່ຽນແປງລະຫັດຜ່ານເຫຼົ່ານີ້ໄປຫາເຊີບເວີ IPA LDAP ຜ່ານ TLS. ລະຫັດຜ່ານເຫຼົ່ານີ້
ການປ່ຽນແປງຂ້າມການຕັ້ງຄ່ານະໂຍບາຍລະຫັດຜ່ານ IPA ປົກກະຕິ ແລະລະຫັດຜ່ານບໍ່ໄດ້ຕັ້ງເປັນ
ໝົດອາຍຸທັນທີ. ນີ້ແມ່ນຍ້ອນວ່າໃນເວລາທີ່ IPA ໄດ້ຮັບການປ່ຽນແປງລະຫັດຜ່ານທີ່ມັນມີ
AD ໄດ້ຮັບການຍອມຮັບແລ້ວ, ສະນັ້ນມັນຊ້າເກີນໄປທີ່ຈະປະຕິເສດມັນ.

IPA ຮັກສາບັນຊີລາຍຊື່ຂອງ DNs ທີ່ໄດ້ຮັບການຍົກເວັ້ນຈາກນະໂຍບາຍລະຫັດຜ່ານ. ເພີ່ມຜູ້ໃຊ້ພິເສດ
ອັດຕະໂນມັດເມື່ອຂໍ້ຕົກລົງການຈໍາລອງ winsync ຖືກສ້າງຂຶ້ນ. DN ຂອງຜູ້ໃຊ້ນີ້ແມ່ນ
ເພີ່ມໃສ່ລາຍຊື່ການຍົກເວັ້ນທີ່ເກັບໄວ້ໃນ passSyncManagersDNs ໃນການເຂົ້າ
cn=ipa_pwd_extop,cn=plugins,cn=config.

ອອກ STATUS

0 ຖ້າຄໍາສັ່ງປະສົບຜົນສໍາເລັດ

1 ຖ້າ​ຫາກ​ວ່າ​ຄວາມ​ຜິດ​ພາດ​ເກີດ​ຂຶ້ນ​

ໃຊ້ ipa-replica-manage ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net