ນີ້ແມ່ນຄໍາສັ່ງ ipa-server-install ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
ipa-server-install - ຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ IPA
ສະຫຼຸບສັງລວມ
ipa-server-install [ທາງເລືອກ] ...
ລາຍລະອຽດ
ກຳນົດຄ່າບໍລິການທີ່ຕ້ອງການໂດຍເຊີບເວີ IPA. ນີ້ຮວມເຖິງການຕັ້ງຄ່າ Kerberos Key
ສູນແຈກຢາຍ (KDC) ແລະ daemon Kadmin ທີ່ມີ LDAP back-end, ການຕັ້ງຄ່າ Apache,
ການຕັ້ງຄ່າ NTP ແລະທາງເລືອກໃນການກໍາຫນົດຄ່າແລະການເລີ່ມຕົ້ນເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ສະຫນັບສະຫນູນ LDAP. ໂດຍ
ຄ່າເລີ່ມຕົ້ນ CA ທີ່ອີງໃສ່ dogtag ຈະຖືກຕັ້ງຄ່າໃຫ້ອອກໃບຢັ້ງຢືນເຊີບເວີ.
OPTIONS
BASIC OPTIONS
-r REALM_NAME, --ອານາຈັກ=REALM_NAME
ຊື່ Kerberos realm ສໍາລັບເຊີບເວີ IPA. ທ່ານຈະບໍ່ສາມາດສ້າງຕັ້ງຂຶ້ນ
ໄວ້ໃຈກັບ Active Directory ເວັ້ນເສຍແຕ່ວ່າຊື່ realm ແມ່ນຊື່ໂດເມນທີ່ມີຕົວພິມໃຫຍ່.
-n DOMAIN_NAME, --ໂດເມນ=DOMAIN_NAME
ຊື່ໂດເມນ DNS ຂອງທ່ານ
-p DM_PASSWORD, --ds-ລະຫັດຜ່ານ=DM_PASSWORD
ລະຫັດຜ່ານທີ່ຈະໃຊ້ໂດຍ Directory Server ສໍາລັບຜູ້ໃຊ້ Directory Manager
-a ADMIN_PASSWORD, --admin-ລະຫັດຜ່ານ=ADMIN_PASSWORD
ລະຫັດຜ່ານສໍາລັບຜູ້ໃຊ້ IPA admin
--khhomedir
ສ້າງໄດເລກະທໍລີເຮືອນສໍາລັບຜູ້ໃຊ້ໃນການເຂົ້າສູ່ລະບົບຄັ້ງທໍາອິດຂອງພວກເຂົາ
--ຊື່ເຈົ້າພາບ=HOST_NAME
ຊື່ DNS ທີ່ມີຄຸນສົມບັດຄົບຖ້ວນຂອງເຊີບເວີນີ້. ຖ້າ hostname ບໍ່ກົງກັບລະບົບ
hostname, ຊື່ເຈົ້າພາບລະບົບຈະຖືກປັບປຸງຕາມຄວາມເຫມາະສົມເພື່ອປ້ອງກັນການບໍລິການ
ຄວາມລົ້ມເຫລວ.
--ip-ທີ່ຢູ່=IP_ADDRESS
ທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍນີ້. ຖ້າທີ່ຢູ່ນີ້ບໍ່ກົງກັບທີ່ຢູ່ຂອງເຈົ້າພາບ
ແກ້ໄຂ ແລະ --setup-dns ບໍ່ໄດ້ຖືກເລືອກ ການຕິດຕັ້ງຈະລົ້ມເຫລວ. ຖ້າ
ຊື່ໂຮສເຊີບເວີບໍ່ສາມາດແກ້ໄຂໄດ້, ບັນທຶກສໍາລັບຊື່ໂຮດແລະ IP_ADDRESS ແມ່ນ
ເພີ່ມໃສ່ /etc/hosts. ຕົວເລືອກນີ້ສາມາດຖືກນໍາໃຊ້ຫຼາຍຄັ້ງເພື່ອກໍານົດເພີ່ມເຕີມ
ທີ່ຢູ່ IP ຂອງເຊີບເວີ (ເຊັ່ນ: ເຊີບເວີ multihomed ແລະ/ຫຼື dualstacked).
-N, --no-ntp
ຢ່າຕັ້ງຄ່າ NTP
--idstart=IDSTART
ຜູ້ໃຊ້ເລີ່ມຕົ້ນ ແລະໝາຍເລກໄອດີກຸ່ມ (ສຸ່ມເລີ່ມຕົ້ນ)
--idmax=IDMAX
ຜູ້ໃຊ້ສູງສຸດ ແລະໝາຍເລກ ID ກຸ່ມ (ຄ່າເລີ່ມຕົ້ນ: idstart+199999). ຖ້າຕັ້ງເປັນສູນ, the
ຄ່າເລີ່ມຕົ້ນຈະຖືກໃຊ້.
--no_hbac_allow
ຢ່າຕິດຕັ້ງກົດ allow_all HBAC. ກົດລະບຽບນີ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ຈາກເຈົ້າພາບໃດຫນຶ່ງເຂົ້າເຖິງໃດໆ
ບໍລິການຢູ່ໃນເຈົ້າພາບອື່ນໆ. ຄາດວ່າຜູ້ໃຊ້ຈະເອົາກົດລະບຽບນີ້ອອກກ່ອນ
ຍ້າຍໄປການຜະລິດ.
--ignore-topology-ຕັດການເຊື່ອມຕໍ່
ລະເລີຍຄວາມຜິດພາດທີ່ລາຍງານເມື່ອການຖອນການຕິດຕັ້ງເຊີບເວີ IPA ຈະນໍາໄປສູ່ການຕັດການເຊື່ອມຕໍ່
topology. ທາງເລືອກນີ້ສາມາດຖືກນໍາໃຊ້ພຽງແຕ່ເມື່ອລະດັບໂດເມນແມ່ນ 1 ຫຼືຫຼາຍກວ່ານັ້ນ.
--no-ui-redirect
ຢ່າປ່ຽນເສັ້ນທາງໄປຫາ Web UI ໂດຍອັດຕະໂນມັດ.
--ssh-trust-dns
ຕັ້ງຄ່າລູກຄ້າ OpenSSH ໄວ້ໃຈບັນທຶກ DNS SSHFP.
--no-ssh
ຢ່າຕັ້ງຄ່າລູກຄ້າ OpenSSH.
--no-sshd
ຢ່າຕັ້ງຄ່າເຊີບເວີ OpenSSH.
-d, --debug
ເປີດໃຊ້ການບັນທຶກການດີບັກ ເມື່ອຕ້ອງການຜົນຜະລິດ verbose ຫຼາຍຂຶ້ນ
-U, -- ບໍ່ມີຄົນຂັບ
ການຕິດຕັ້ງທີ່ບໍ່ມີການຕິດຕັ້ງທີ່ຈະບໍ່ມີການເຕືອນສໍາລັບການປ້ອນຂໍ້ມູນຂອງຜູ້ໃຊ້
--dirsrv-config-file
ເສັ້ນທາງໄປຫາໄຟລ໌ LDIF ທີ່ຈະໃຊ້ເພື່ອແກ້ໄຂການຕັ້ງຄ່າຂອງ dse.ldif ໃນລະຫວ່າງ
ການຕິດຕັ້ງເຊີບເວີຂອງໄດເລກະທໍລີຕົວຢ່າງ
CERTIFICATE SYSTEM OPTIONS
--external-ca
ສ້າງ CSR ສໍາລັບໃບຢັ້ງຢືນ IPA CA ທີ່ຈະເຊັນໂດຍ CA ພາຍນອກ.
--external-ca-type=TYPE
ປະເພດຂອງ CA ພາຍນອກ. ຄ່າທີ່ເປັນໄປໄດ້ແມ່ນ "ທົ່ວໄປ", "ms-cs". ຄ່າເລີ່ມຕົ້ນແມ່ນ
"ທົ່ວໄປ". ໃຊ້ "ms-cs" ເພື່ອລວມເອົາຊື່ແມ່ແບບທີ່ຕ້ອງການໂດຍ Microsoft Certificate
ການບໍລິການ (MS CS) ໃນ CSR ທີ່ສ້າງຂຶ້ນ.
--external-cert-file=ເອກະສານ
ໄຟລ໌ທີ່ບັນຈຸໃບຮັບຮອງ IPA CA ແລະລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນ CA ພາຍນອກ. ໄດ້
ໄຟລ໌ຖືກຍອມຮັບໃນໃບຢັ້ງຢືນ PEM ແລະ DER ແລະຮູບແບບຕ່ອງໂສ້ໃບຢັ້ງຢືນ PKCS#7.
ຕົວເລືອກນີ້ອາດຈະຖືກນໍາໃຊ້ຫຼາຍຄັ້ງ.
--no-pkinit
ປິດໃຊ້ງານຂັ້ນຕອນການຕິດຕັ້ງ pkinit
--dirsrv-cert-file=ເອກະສານ
ໄຟລ໌ທີ່ມີໃບຢັ້ງຢືນ SSL ຂອງ Directory Server ແລະລະຫັດສ່ວນຕົວ. ໄຟລ໌ແມ່ນ
ຍອມຮັບໃນໃບຢັ້ງຢືນ PEM ແລະ DER, ລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນ PKCS#7, PKCS#8 ແລະວັດຖຸດິບ
ລະຫັດສ່ວນຕົວ ແລະຮູບແບບ PKCS#12. ຕົວເລືອກນີ້ອາດຈະຖືກນໍາໃຊ້ຫຼາຍຄັ້ງ.
--http-cert-file=ເອກະສານ
ໄຟລ໌ທີ່ມີໃບຢັ້ງຢືນ SSL ຂອງ Apache Server ແລະລະຫັດສ່ວນຕົວ. ໄຟລ໌ແມ່ນ
ຍອມຮັບໃນໃບຢັ້ງຢືນ PEM ແລະ DER, ລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນ PKCS#7, PKCS#8 ແລະວັດຖຸດິບ
ລະຫັດສ່ວນຕົວ ແລະຮູບແບບ PKCS#12. ຕົວເລືອກນີ້ອາດຈະຖືກນໍາໃຊ້ຫຼາຍຄັ້ງ.
--pkinit-cert-file=ເອກະສານ
ໄຟລ໌ທີ່ມີໃບຮັບຮອງ Kerberos KDC SSL ແລະກະແຈສ່ວນຕົວ. ໄຟລ໌ແມ່ນ
ຍອມຮັບໃນໃບຢັ້ງຢືນ PEM ແລະ DER, ລະບົບຕ່ອງໂສ້ໃບຢັ້ງຢືນ PKCS#7, PKCS#8 ແລະວັດຖຸດິບ
ລະຫັດສ່ວນຕົວ ແລະຮູບແບບ PKCS#12. ຕົວເລືອກນີ້ອາດຈະຖືກນໍາໃຊ້ຫຼາຍຄັ້ງ.
--dirsrv-pin=PIN
ລະຫັດຜ່ານເພື່ອປົດລັອກກະແຈສ່ວນຕົວຂອງ Directory Server
--http-pin=PIN
ລະຫັດຜ່ານເພື່ອປົດລັອກກະແຈສ່ວນຕົວຂອງ Apache Server
--pkinit-pin=PIN
ລະຫັດຜ່ານເພື່ອປົດລັອກກະແຈສ່ວນຕົວ Kerberos KDC
--dirsrv-cert-name=NAME
ຊື່ຂອງ Directory Server SSL ໃບຢັ້ງຢືນທີ່ຈະຕິດຕັ້ງ
--http-cert-name=NAME
ຊື່ຂອງໃບຢັ້ງຢືນ Apache Server SSL ທີ່ຈະຕິດຕັ້ງ
--pkinit-cert-name=NAME
ຊື່ຂອງໃບຢັ້ງຢືນ Kerberos KDC SSL ທີ່ຈະຕິດຕັ້ງ
--ca-cert-file=ເອກະສານ
ໄຟລ໌ທີ່ບັນຈຸໃບຢັ້ງຢືນ CA ຂອງ CA ທີ່ອອກໃຫ້ Directory Server,
ເຊີບເວີ Apache ແລະໃບຢັ້ງຢືນ Kerberos KDC. ໄຟລ໌ຖືກຍອມຮັບໃນ PEM ແລະ DER
ໃບຮັບຮອງ ແລະ PKCS#7 ຮູບແບບຕ່ອງໂສ້ໃບຮັບຮອງ. ທາງເລືອກນີ້ອາດຈະຖືກນໍາໃຊ້ຫຼາຍ
ເທື່ອ. ໃຊ້ຕົວເລືອກນີ້ຖ້າໃບຢັ້ງຢືນ CA ບໍ່ມີຢູ່ໃນໃບຢັ້ງຢືນ
ໄຟລ໌.
--ວິຊາ=SUBJECT
ພື້ນຖານວິຊາໃບຢັ້ງຢືນ (ຄ່າເລີ່ມຕົ້ນ O=REALM.NAME)
--ca-signing-algorithm=ອັລເກີຣິດ
ຂັ້ນຕອນການລົງນາມຂອງໃບຢັ້ງຢືນ IPA CA. ຄ່າທີ່ເປັນໄປໄດ້ແມ່ນ SHA1withRSA,
SHA256withRSA, SHA512withRSA. ຄ່າເລີ່ມຕົ້ນແມ່ນ SHA256withRSA. ໃຊ້ທາງເລືອກນີ້ກັບ
--external-ca ຖ້າ CA ພາຍນອກບໍ່ຮອງຮັບ algorithm ການເຊັນເລີ່ມຕົ້ນ.
DNS OPTIONS
--setup-dns
ສ້າງເຂດ DNS ຖ້າມັນບໍ່ມີຢູ່ແລ້ວແລະກໍາຫນົດຄ່າ DNS server.
ທາງເລືອກນີ້ຮຽກຮ້ອງໃຫ້ທ່ານລະບຸຢ່າງຫນ້ອຍຫນຶ່ງຜູ້ສົ່ງຕໍ່ DNS ຜ່ານ
--ຜູ້ສົ່ງຕໍ່ ທາງເລືອກຫຼືການນໍາໃຊ້ --no-forwarders ທາງເລືອກ.
ໃຫ້ສັງເກດວ່າທ່ານສາມາດຕັ້ງຄ່າ DNS ໄດ້ທຸກເວລາຫຼັງຈາກເຄື່ອງແມ່ຂ່າຍ IPA ເບື້ອງຕົ້ນຕິດຕັ້ງໂດຍ
ການເຮັດວຽກ ipa-dns-ຕິດຕັ້ງ (ເບິ່ງ ipa-dns-ຕິດຕັ້ງ(1)).
--ຜູ້ສົ່ງຕໍ່=IP_ADDRESS
ເພີ່ມຕົວສົ່ງຕໍ່ DNS ໃຫ້ກັບການຕັ້ງຄ່າ DNS. ທ່ານສາມາດນໍາໃຊ້ທາງເລືອກນີ້ຫຼາຍ
ເວລາທີ່ຈະລະບຸຜູ້ສົ່ງຕໍ່ເພີ່ມເຕີມ, ແຕ່ຢ່າງຫນ້ອຍຫນຶ່ງຕ້ອງໄດ້ຮັບການສະຫນອງໃຫ້, ເວັ້ນເສຍແຕ່
--no-forwarders ທາງເລືອກແມ່ນລະບຸໄວ້.
--no-forwarders
ຢ່າເພີ່ມຕົວສົ່ງຕໍ່ DNS ໃດໆ. ຮາກ DNS servers ຈະຖືກນໍາໃຊ້ແທນ.
--ຜູ້ສົ່ງຕໍ່ອັດຕະໂນມັດ
ເພີ່ມຕົວສົ່ງຕໍ່ DNS ທີ່ຖືກຕັ້ງຄ່າໃນ /etc/resolvconf ບັນຊີລາຍຊື່ຂອງຜູ້ສົ່ງຕໍ່ທີ່ໃຊ້ໂດຍ
IPA DNS.
--reverse-zone=REVERSE_ZONE
ເຂດ DNS ກັບຄືນທີ່ຈະໃຊ້. ຕົວເລືອກນີ້ສາມາດຖືກນໍາໃຊ້ຫຼາຍຄັ້ງເພື່ອກໍານົດ
ຫຼາຍເຂດປີ້ນກັບກັນ.
--no-reverse
ຢ່າສ້າງເຂດ DNS ກັບຄືນ
--auto-reverse
ພະຍາຍາມແກ້ໄຂບັນທຶກ reverse ແລະ reverse zones ສໍາລັບທີ່ຢູ່ IP ຂອງເຄື່ອງແມ່ຂ່າຍແລະຖ້າ
ທັງສອງແມ່ນບໍ່ສາມາດແກ້ໄຂໄດ້, ສ້າງເຂດ reverse ເຫຼົ່ານີ້.
--zonemgr
ທີ່ຢູ່ອີເມວຂອງຜູ້ຈັດການເຂດ DNS. ຄ່າເລີ່ມຕົ້ນຂອງ hostmaster@DOMAIN
--no-host-dns
ຢ່າໃຊ້ DNS ສໍາລັບການຊອກຫາຊື່ໂຮດໃນລະຫວ່າງການຕິດຕັ້ງ
--no-dns-sshfp
ຢ່າສ້າງບັນທຶກ DNS SSHFP ໂດຍອັດຕະໂນມັດ.
--no-dnssec-ການກວດສອບ
ປິດໃຊ້ງານການກວດສອບ DNSSEC ໃນເຊີບເວີນີ້.
--allow-zone-overlap
ອະນຸຍາດໃຫ້ creatin ຂອງເຂດ (ປີ້ນກັນ) ເຖິງແມ່ນວ່າເຂດທີ່ຈະແກ້ໄຂໄດ້ແລ້ວ. ການນໍາໃຊ້ນີ້
ທາງເລືອກແມ່ນທໍ້ຖອຍໃຈຍ້ອນວ່າມັນເຮັດໃຫ້ເກີດບັນຫາຕໍ່ມາກັບການແກ້ໄຂຊື່ໂດເມນ.
ຖອນການຕິດຕັ້ງ OPTIONS
--ຖອນການຕິດຕັ້ງ
ຖອນການຕິດຕັ້ງ IPA ທີ່ມີຢູ່ແລ້ວ
-U, -- ບໍ່ມີຄົນຂັບ
ການຖອນການຕິດຕັ້ງທີ່ບໍ່ໄດ້ໃສ່ໃຈທີ່ຈະບໍ່ເຄີຍກະຕຸ້ນການປ້ອນຂໍ້ມູນຂອງຜູ້ໃຊ້
ປະຕິເສດ OPTIONS
-P MASTER_PASSWORD, --master-password=MASTER_PASSWORD
ລະຫັດຫຼັກຂອງ kerberos (ປົກກະຕິແມ່ນອັດຕະໂນມັດ).
ອອກ STATUS
0 ຖ້າການຕິດຕັ້ງ (un) ສໍາເລັດ
1 ຖ້າຫາກວ່າຄວາມຜິດພາດເກີດຂຶ້ນ
ໃຊ້ ipa-server-install ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net