Ini ialah arahan ipa-adtrust-install yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS
JADUAL:
NAMA
ipa-adtrust-install - Sediakan pelayan IPA untuk dapat mewujudkan hubungan kepercayaan
dengan domain AD
SINOPSIS
ipa-adtrust-install [OPTION]...
DESCRIPTION
Menambah semua objek dan konfigurasi yang diperlukan untuk membolehkan pelayan IPA membuat amanah
domain Active Directory. Ini memerlukan pelayan IPA telah dipasang dan
dikonfigurasikan.
Sila ambil perhatian bahawa anda tidak akan dapat menstabilkan kepercayaan kepada domain Active Directory
melainkan nama alam pelayan IPA sepadan dengan nama domainnya.
ipa-adtrust-install boleh dijalankan beberapa kali untuk memasang semula objek yang dipadam atau rosak
fail konfigurasi. Cth konfigurasi samba baru (fail smb.conf dan berasaskan pendaftaran
konfigurasi boleh dibuat. Item lain seperti cth konfigurasi julat setempat
tidak boleh ditukar dengan menjalankan ipa-adtrust-install untuk kali kedua kerana dengan perubahan di sini
objek lain mungkin terjejas juga.
Firewall Keperluan Jawatan
Sebagai tambahan kepada keperluan tembok api pelayan IPA, ipa-adtrust-install memerlukan
port berikut dibuka untuk membolehkan IPA dan Active Directory berkomunikasi bersama:
TCP pelabuhan
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp hingga 1300/tcp untuk membenarkan EPMAP pada port 135/tcp mencipta pendengar TCP
berdasarkan permintaan masuk.
UDP pelabuhan
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· LDAP 389/udp
PILIHAN
-d, --nyahpepijat
Dayakan pengelogan nyahpepijat apabila lebih banyak output verbose diperlukan
--netbios-nama=NETBIOS_NAME
Nama NetBIOS untuk domain IPA. Jika tidak disediakan maka ini ditentukan berdasarkan
pada komponen utama nama domain DNS. Menjalankan ipa-adtrust-install untuk a
kali kedua dengan nama NetBIOS yang berbeza akan menukar nama. Sila ambil perhatian bahawa
menukar nama NetBIOS mungkin memutuskan hubungan kepercayaan sedia ada kepada yang lain
domain.
--no-msdcs
Jangan cipta rekod perkhidmatan DNS untuk Windows dalam pelayan DNS terurus. Sejak itu
Rekod perkhidmatan DNS adalah satu-satunya cara untuk menemui pengawal domain yang lain
domain mereka mesti ditambahkan secara manual ke pelayan DNS yang berbeza untuk membenarkan kepercayaan
perhubungan berfungsi dengan baik. Semua rekod perkhidmatan yang diperlukan disenaraikan apabila
ipa-adtrust-install selesai dan sama ada --no-msdcs diberikan atau tiada perkhidmatan DNS IPA
dikonfigurasikan. Biasanya rekod perkhidmatan untuk nama perkhidmatan berikut diperlukan
untuk domain IPA yang sepatutnya menunjuk ke semua pelayan IPA:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--tambah-sid
Tambahkan SID kepada pengguna dan kumpulan sedia ada pada langkah akhir
ipa-adtrust-install dijalankan. Jika terdapat banyak pengguna dan kumpulan sedia ada dan beberapa
replika dalam persekitaran operasi ini mungkin membawa kepada trafik replikasi yang tinggi
dan kemerosotan prestasi semua pelayan IPA dalam persekitaran. Untuk mengelakkan ini
penjanaan SID boleh dijalankan selepas ipa-adtrust-install dijalankan dan dijadualkan
secara bebas. Untuk memulakan tugas ini anda perlu memuatkan versi ipa-sidgen- yang telah diedit
task-run.ldif dengan maklumat arahan ldapmodify pelayan direktori.
--tambah-ejen
Tambahkan induk IPA ke senarai yang membolehkan untuk menyampaikan maklumat tentang pengguna dari
hutan yang dipercayai. Bermula dengan FreeIPA 4.2, master IPA biasa boleh menyediakan ini
maklumat kepada pelanggan SSSD. Sarjana IPA tidak ditambahkan pada senarai secara automatik sebagai
memulakan semula perkhidmatan LDAP pada setiap perkhidmatan tersebut diperlukan. Tuan rumah di mana
ipa-adtrust-install sedang dijalankan ditambah secara automatik.
Ambil perhatian bahawa induk IPA yang ipa-adtrust-install tidak dijalankan, boleh menyampaikan maklumat
tentang pengguna dari hutan yang dipercayai hanya jika mereka didayakan melalui ipa-adtrust-install
dijalankan pada mana-mana master IPA lain. Sekurang-kurangnya SSSD versi 1.13 pada induk IPA diperlukan
boleh bertindak sebagai ejen amanah.
-U, --tidak dijaga
Pemasangan tanpa pengawasan yang tidak akan meminta input pengguna
-U, --rid-base=RID_BASE
Nilai RID pertama domain tempatan. ID Posix pertama domain tempatan ialah
diberikan kepada RID ini, yang kedua kepada RID+1 dsb. Lihat bantuan dalam talian bagi idrange
CLI untuk butiran.
-U, --secondary-rid-base=SECONDARY_RID_BASE
Nilai mula julat RID sekunder, yang hanya digunakan dalam kes pengguna dan a
kumpulan berkongsi ID Posix yang sama secara numerik. Lihat bantuan dalam talian CLI idrange
untuk maklumat lanjut.
-A, --nama-admin=ADMIN_NAME
Nama pengguna dengan keistimewaan pentadbiran untuk pelayan IPA ini. Lalai
kepada 'admin'.
-a, --admin-kata laluan=kata laluan
Kata laluan pengguna dengan keistimewaan pentadbiran untuk pelayan IPA ini. akan
ditanya secara interaktif jika -U tidak dinyatakan.
Bukti kelayakan pengguna pentadbir akan digunakan untuk mendapatkan tiket Kerberos sebelum ini
mengkonfigurasi sokongan kepercayaan rentas alam dan selepas itu, untuk memastikan tiket itu mengandungi
Maklumat MS-PAC diperlukan untuk benar-benar menambah kepercayaan dengan domain Active Directory melalui 'ipa
perintah trust-add --type=ad'.
--dayakan-compat
Mendayakan sokongan untuk pengguna domain yang dipercayai untuk pelanggan lama melalui Skema
Plugin keserasian. SSSD menyokong domain yang dipercayai secara asal bermula dengan versi
1.9. Untuk platform yang tidak mempunyai SSSD atau menjalankan versi SSSD yang lebih lama, seseorang perlu menggunakan ini
pilihan. Apabila didayakan, pakej slapi-nis perlu dipasang dan
schema-compat-plugin akan dikonfigurasikan untuk menyediakan carian pengguna dan kumpulan daripada
domain yang dipercayai melalui SSSD pada pelayan IPA. Pengguna dan kumpulan ini akan tersedia
di bawah cn=pengguna,cn=compat,$SUFFIX and cn=kumpulan,cn=compat,$SUFFIX pokok. SSSD akan
normalkan nama pengguna dan kumpulan kepada huruf kecil.
Selain menyediakan pengguna dan kumpulan ini melalui pokok kompat, ini
pilihan membolehkan pengesahan melalui LDAP untuk pengguna domain yang dipercayai dengan DN di bawah
pokok kompat, iaitu menggunakan bind DN
uid=[e-mel dilindungi],cn=pengguna,cn=compat,$SUFFIX.
Pengesahan LDAP yang dilakukan oleh pepohon compat dilakukan melalui PAM 'pengesahan sistem'
perkhidmatan. Perkhidmatan ini wujud secara lalai pada sistem Linux dan disediakan oleh pam
pakej sebagai /etc/pam.d/system-auth. Jika pemasangan IPA anda tidak mempunyai HBAC lalai
peraturan 'allow_all' didayakan, kemudian pastikan untuk mentakrifkan dalam perkhidmatan khas IPA yang dipanggil
'pengesahan sistem' dan cipta peraturan HBAC untuk membenarkan akses kepada sesiapa sahaja kepada peraturan ini di IPA
tuan.
sebagai 'pengesahan sistem' Perkhidmatan PAM tidak digunakan secara langsung oleh mana-mana aplikasi lain, ia adalah
selamat untuk menggunakannya untuk pengguna domain yang dipercayai melalui laluan keserasian.
EXIT STATUS
0 jika pemasangan berjaya
1 jika ralat berlaku
Gunakan ipa-adtrust-install dalam talian menggunakan perkhidmatan onworks.net
