Ini ialah arahan ipa-client-install yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
ipa-client-install - Konfigurasikan klien IPA
SINOPSIS
ipa-client-install [OPTION]...
DESCRIPTION
Mengkonfigurasi mesin pelanggan untuk menggunakan IPA untuk perkhidmatan pengesahan dan identiti.
Secara lalai ini mengkonfigurasi SSSD untuk menyambung ke pelayan IPA untuk pengesahan dan
kebenaran. Secara pilihan, seseorang boleh mengkonfigurasi PAM dan NSS (Perkhidmatan Penukaran Nama)
untuk bekerja dengan pelayan IPA melalui Kerberos dan LDAP.
Pengguna yang diberi kuasa diperlukan untuk menyertai mesin klien ke IPA. Ini boleh berbentuk
prinsipal kerberos atau kata laluan sekali sahaja yang dikaitkan dengan mesin.
Alat yang sama ini digunakan untuk menyahkonfigurasi IPA dan cuba memulangkan mesin itu
keadaan sebelumnya. Sebahagian daripada proses ini adalah untuk menyahdaftar hos daripada pelayan IPA.
Penyahdaftaran terdiri daripada melumpuhkan kunci utama pada pelayan IPA supaya ia mungkin
mendaftar semula. Pengetua mesin dalam /etc/krb5.keytab (host/ @REALM) sudah biasa
mengesahkan ke pelayan IPA untuk menyahdaftar dirinya sendiri. Jika pengetua ini tidak wujud maka
penyahdaftaran akan gagal dan pentadbir perlu melumpuhkan pengetua hos (ipa
hos-lumpuhkan ).
Andaian
Skrip ipa-client-install mengandaikan bahawa mesin telah menghasilkan kunci SSH. Ia
tidak akan menjana kunci SSH mengikut kehendaknya sendiri. Jika kunci SSH tidak ada (cth. bila
menjalankan ipa-client-install dalam kickstart, sebelum menjalankan sshd), mereka tidak akan
dimuat naik ke entri hos klien pada pelayan.
nama hos Keperluan Jawatan
Pelanggan mesti menggunakan a statik nama hos. Jika nama hos mesin berubah contohnya disebabkan oleh a
tugasan nama hos dinamik oleh pelayan DHCP, pendaftaran pelanggan ke rehat pelayan IPA dan
pengguna kemudiannya tidak akan dapat melakukan pengesahan Kerberos.
--pilihan nama hos boleh digunakan untuk menentukan nama hos statik yang berterusan semasa but semula.
DNS Autopenemuan
Pemasang pelanggan secara lalai cuba mencari rekod _ldap._tcp.DOMAIN DNS SRV untuk semua
domain yang menjadi induk kepada nama hosnya. Contohnya, jika mesin pelanggan mempunyai nama hos
'client1.lab.example.com', pemasang akan cuba mendapatkan semula nama hos pelayan IPA daripada
_ldap._tcp.lab.example.com, _ldap._tcp.example.com dan _ldap._tcp.com rekod SRV DNS,
masing-masing. Domain yang ditemui kemudiannya digunakan untuk mengkonfigurasi komponen klien (cth SSSD
dan konfigurasi Kerberos 5) pada mesin.
Apabila nama hos mesin pelanggan tidak berada dalam subdomain pelayan IPA, domainnya boleh
diluluskan dengan pilihan --domain. Dalam kes itu, kedua-dua komponen SSSD dan Kerberos mempunyai
set domain dalam fail konfigurasi dan akan menggunakannya untuk menemui pelayan IPA secara automatik.
Mesin pelanggan juga boleh dikonfigurasikan tanpa autopenemuan DNS sama sekali. Apabila kedua-duanya
Pilihan --server dan --domain digunakan, pemasang klien akan menggunakan pelayan yang ditentukan dan
domain secara langsung. --pilihan pelayan menerima berbilang nama hos pelayan yang boleh digunakan untuk
mekanisme failover. Tanpa autopenemuan DNS, Kerberos dikonfigurasikan dengan senarai tetap
KDC dan pelayan Admin. SSSD masih dikonfigurasikan untuk sama ada cuba membaca SRV domain
rekod atau senarai tetap pelayan yang ditetapkan. Apabila --fixed-primary option ditentukan,
SSSD tidak akan cuba membaca rekod SRV DNS sama sekali (lihat sssd-ipa(5) untuk butiran).
. Failover Mekanisme
Apabila sesetengah pelayan IPA tidak tersedia, komponen klien boleh berundur ke
replika IPA lain dan dengan itu mengekalkan perkhidmatan yang berterusan. Apabila mesin pelanggan adalah
dikonfigurasikan untuk menggunakan autopenemuan rekod DNS SRV (tiada pelayan tetap dihantar ke
pemasang), komponen klien melakukan sandaran secara automatik, berdasarkan pelayan IPA
nama hos dan keutamaan yang ditemui daripada rekod SRV DNS.
Jika autopenemuan DNS tidak tersedia, pelanggan harus dikonfigurasikan sekurang-kurangnya dengan tetap
senarai pelayan IPA yang boleh digunakan sekiranya berlaku kegagalan. Apabila hanya satu pelayan IPA
dikonfigurasikan, perkhidmatan pelanggan IPA tidak akan tersedia sekiranya berlaku kegagalan IPA
pelayan. Sila ambil perhatian, bahawa dalam kes senarai tetap pelayan IPA, senarai pelayan tetap
dalam komponen klien perlu dikemas kini apabila pelayan IPA baharu didaftarkan atau IPA semasa
pelayan ditamatkan perkhidmatannya.
Wujud bersama Dengan lain-lain Direktori Pelayan
Pelayan direktori lain yang digunakan dalam rangkaian (cth. Microsoft Active Directory) boleh digunakan
rekod SRV DNS yang sama untuk menandakan hos dengan perkhidmatan direktori (_ldap._tcp.DOMAIN).
Rekod SRV DNS sedemikian boleh memecahkan pemasangan jika pemasang menemui DNS ini
rekod sebelum ia menemui rekod SRV DNS yang menunjuk ke pelayan IPA. Pemasang akan kemudian
gagal menemui pelayan IPA dan keluar dengan ralat.
Untuk mengelakkan isu autopenemuan DNS yang disebutkan di atas, nama hos mesin klien
harus berada dalam domain dengan rekod DNS SRV yang ditakrifkan dengan betul yang menunjuk ke pelayan IPA,
sama ada secara manual dengan pelayan DNS tersuai atau dengan penyelesaian bersepadu DNS IPA. Sesaat
pendekatan adalah untuk mengelakkan autopenemuan dan mengkonfigurasi pemasang untuk menggunakan senarai tetap
nama hos pelayan IPA menggunakan pilihan --server dan dengan pilihan --fixed-primary
melumpuhkan autopenemuan rekod SRV DNS dalam SSSD.
Pendaftaran semula of yang tuan rumah
Keperluan:
1. Hos belum dinyahdaftarkan (arahan ipa-client-install --uninstall belum
lari).
2. Entri hos belum dilumpuhkan melalui arahan ipa host-disable.
Jika ini berlaku, hos boleh didaftarkan semula menggunakan kaedah biasa.
Terdapat dua kaedah untuk mengesahkan pendaftaran semula:
1. Anda boleh menggunakan pilihan --force-join dengan arahan ipa-client-install. Ini mengesahkan
pendaftaran semula menggunakan kelayakan pentadbir yang disediakan melalui pilihan -w/--kata laluan.
2. Jika memberikan kata laluan pentadbir melalui baris arahan bukanlah satu pilihan (cth anda mahu
untuk mencipta skrip untuk mendaftar semula hos dan memastikan kata laluan pentadbir selamat), anda boleh gunakan
menyandarkan tab kekunci daripada pendaftaran hos ini sebelum ini untuk mengesahkan. Lihat --tab kekunci
pilihan.
Akibat daripada pendaftaran semula pada kemasukan hos:
1. Sijil hos baharu dikeluarkan
2. Sijil hos lama dibatalkan
3. Kekunci SSH baharu dijana
4. ipaUniqueID dipelihara
PILIHAN
ASAS PILIHAN
--domain=DOMAIN
Tetapkan nama domain kepada DOMAIN. Apabila tiada pilihan --server ditentukan, pemasang
akan cuba menemui semua pelayan yang tersedia melalui autopenemuan rekod DNS SRV (lihat
Bahagian Autopenemuan DNS untuk butiran).
--pelayan=SERVER
Tetapkan pelayan IPA untuk disambungkan. Boleh dinyatakan beberapa kali untuk menambah berbilang
pelayan ke nilai ipa_server dalam sssd.conf atau krb5.conf. Hanya nilai pertama ialah
dipertimbangkan apabila digunakan dengan --no-sssd. Apabila pilihan ini digunakan, autopenemuan DNS
untuk Kerberos dilumpuhkan dan senarai tetap pelayan KDC dan Admin dikonfigurasikan.
--alam=REALM_NAME
Tetapkan nama alam IPA kepada REALM_NAME. Dalam keadaan biasa, pilihan ini adalah
tidak diperlukan kerana nama alam diperoleh daripada pelayan IPA.
--tetap-utama
Konfigurasikan SSSD untuk menggunakan pelayan tetap sebagai pelayan IPA utama. Lalainya ialah
gunakan rekod SRV DNS untuk menentukan pelayan utama untuk digunakan dan kembali ke
pelayan yang didaftarkan oleh pelanggan. Apabila digunakan bersama --server maka tidak
Nilai _srv_ ditetapkan dalam pilihan ipa_server dalam sssd.conf.
-p, --pengetua
Pengetua kerberos yang diberi kuasa untuk digunakan untuk menyertai alam IPA.
-w KATA LALUAN, --kata laluan=KATA LALUAN
Kata laluan untuk menyertai mesin ke alam IPA. Andaikan kata laluan pukal melainkan
pengetua juga ditetapkan.
-W Minta kata laluan untuk menyertai mesin ke alam IPA.
-k, --tab kekunci
Laluan ke tab kekunci hos yang disandarkan daripada pendaftaran sebelumnya. Menyertai hos walaupun ia
sudah didaftarkan.
--mkhomedir
Konfigurasikan PAM untuk mencipta direktori rumah pengguna jika ia tidak wujud.
--nama hos
Nama hos mesin ini (FQDN). Jika dinyatakan, nama hos akan ditetapkan dan
konfigurasi sistem akan dikemas kini untuk berterusan melalui but semula. Secara lalai nama nod
keputusan dari uname(2) digunakan.
--paksa-bergabung
Sertai hos walaupun ia telah didaftarkan.
--ntp-server=NTP_SERVER
Konfigurasikan ntpd untuk menggunakan pelayan NTP ini. Pilihan ini boleh digunakan beberapa kali.
-N, --tidak-ntp
Jangan konfigurasi atau dayakan NTP.
--force-ntpd
Hentikan dan lumpuhkan sebarang perkhidmatan penyegerakan masa&tarikh selain ntpd.
--nisdomain=NIS_DOMAIN
Tetapkan nama domain NIS seperti yang ditentukan. Secara lalai, ini ditetapkan kepada domain IPA
nama.
--no-nisdomain
Jangan konfigurasikan nama domain NIS.
--ssh-trust-dns
Konfigurasikan klien OpenSSH untuk mempercayai rekod DNS SSHFP.
--tidak-ssh
Jangan konfigurasikan klien OpenSSH.
--no-sshd
Jangan konfigurasikan pelayan OpenSSH.
--no-sudo
Jangan konfigurasikan SSSD sebagai sumber data untuk sudo.
--no-dns-sshfp
Jangan buat rekod DNS SSHFP secara automatik.
--noac Jangan gunakan Authconfig untuk mengubah suai konfigurasi nsswitch.conf dan PAM.
-f, - kekuatan
Paksa tetapan walaupun ralat berlaku
--percubaan-kinit=KINIT_ATTEMPTS
Dalam kes KDC tidak bertindak balas (cth apabila mendaftarkan berbilang hos sekaligus dalam heavy
memuatkan persekitaran) ulangi permintaan untuk tiket Kerberos hos sehingga jumlah keseluruhan
of KINIT_ATTEMPTS kali sebelum menyerah dan membatalkan pemasangan pelanggan. lalai
bilangan percubaan ialah 5. Permintaan tidak diulang apabila terdapat masalah dengan
kelayakan hos itu sendiri (cth format tab kekunci yang salah atau prinsipal tidak sah) jadi
menggunakan pilihan ini tidak akan membawa kepada penguncian akaun.
-d, --nyahpepijat
Cetak maklumat penyahpepijatan ke stdout
-U, --tidak dijaga
Pemasangan tanpa pengawasan. Pengguna tidak akan digesa.
--ca-cert-file=CA_FILE
Jangan cuba memperoleh sijil IPA CA melalui cara automatik, sebaliknya gunakan
sijil CA ditemui secara tempatan di dalam CA_FILE. Yang CA_FILE mestilah mutlak
laluan ke fail sijil berformat PEM. Sijil CA ditemui dalam CA_FILE is
dianggap berwibawa dan akan dipasang tanpa menyemak untuk melihat sama ada ia
sah untuk domain IPA.
--permintaan-sijil
Minta sijil untuk mesin. Sijil akan disimpan dalam
/etc/ipa/nssdb di bawah nama panggilan "Hos IPA Tempatan".
--automount-lokasi=LOKASI
Konfigurasikan automount dengan menjalankan ipa-client-automount(1) dengan LOKASI sebagai automount
lokasi.
--configure-firefox
Konfigurasikan Firefox untuk menggunakan kelayakan domain IPA.
--firefox-dir=DIR
Tentukan direktori pemasangan Firefox. Contohnya: '/usr/lib/firefox'
--alamat IP=ALAMAT IP
Penggunaan ALAMAT IP dalam rekod DNS A/AAAA untuk hos ini. Boleh dinyatakan beberapa kali
untuk menambah berbilang rekod DNS.
--all-ip-alamat
Cipta rekod DNS A/AAAA untuk setiap alamat IP pada hos ini.
SSSD PILIHAN
--permit
Konfigurasikan SSSD untuk membenarkan semua akses. Jika tidak mesin akan dikawal oleh
Kawalan Akses berasaskan Hos (HBAC) pada pelayan IPA.
--dayakan-dns-kemas kini
Pilihan ini memberitahu SSSD untuk mengemas kini DNS secara automatik dengan alamat IP ini
pelanggan.
--tiada-krb5-luar talian-kata laluan
Konfigurasikan SSSD untuk tidak menyimpan kata laluan pengguna apabila pelayan di luar talian.
-S, --tidak-sssd
Jangan konfigurasikan klien untuk menggunakan SSSD untuk pengesahan, sebaliknya gunakan nss_ldap.
--pelihara-sssd
Dilumpuhkan secara lalai. Apabila didayakan, mengekalkan konfigurasi SSSD lama jika tidak
mungkin untuk menggabungkannya dengan yang baru. Berkesan, jika penggabungan tidak mungkin disebabkan
kepada pembaca SSSDConfig yang menghadapi pilihan yang tidak disokong, ipa-client-install tidak akan
jalankan lebih jauh dan minta betulkan konfigurasi SSSD dahulu. Apabila pilihan ini tidak dinyatakan,
ipa-client-install akan menyandarkan konfigurasi SSSD dan mencipta yang baharu. Versi sandaran
akan dipulihkan semasa menyahpasang.
NYAHPASANG PILIHAN
--Nyahpasang
Alih keluar perisian klien IPA dan pulihkan konfigurasi kepada keadaan pra-IPA.
-U, --tidak dijaga
Penyahpasangan tanpa pengawasan. Pengguna tidak akan digesa.
Gunakan ipa-client-install dalam talian menggunakan perkhidmatan onworks.net
