Ini ialah arahan ipa-replica-manage yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
ipa-replica-manage - Uruskan replika IPA
SINOPSIS
ipa-replica-urus [OPTION]... [PERINTAH]
DESCRIPTION
Menguruskan perjanjian replikasi pelayan IPA.
Untuk mengurus perjanjian replikasi IPA dalam domain pada tahap domain 1, gunakan IPA CLI atau UI Web,
lihat `ipa help topology` untuk maklumat tambahan.
Perintah yang tersedia ialah:
menyambung [SERVER_A]
- Menambah perjanjian replikasi baharu antara SERVER_A/localhost dan SERVER_B. Pada
tahap domain 1 hanya terpakai untuk perjanjian winsync.
cabut [SERVER_A]
- Mengalih keluar perjanjian replikasi antara SERVER_A/localhost dan SERVER_B. Pada
tahap domain 1 hanya terpakai untuk perjanjian winsync.
yang
- Mengalih keluar semua perjanjian replikasi dan data tentang SERVER. Pada tahap domain 1 ia
mengalih keluar data dan perjanjian untuk kedua-dua akhiran - domain dan ca.
senarai [SERVER]
- Menyenaraikan semua pelayan atau senarai perjanjian SERVER
memulakan semula
- Memaksa permulaan semula penuh pelayan IPA yang mengambil data daripada pelayan
ditentukan dengan pilihan --dari
penyegerakan paksa
- Siram segera sebarang data yang akan direplikasi daripada pelayan yang ditentukan dengan
--daripada pilihan
senarai-ruv
- Senaraikan ID replikasi pada pelayan ini.
clean-ruv [REPLICATION_ID]
- Jalankan tugas CLEANALLRUV untuk mengalih keluar ID replikasi.
bersih-berjuntai-ruv
- Membersihkan semua RUV dan CS-RUV yang tertinggal dalam sistem daripada dinyahpasang
replika.
hentikan-bersih-ruv [REPLICATION_ID]
- Hentikan tugas CLEANALLRUV yang sedang dijalankan. Dengan pilihan --force tugas tidak menunggu
semua pelayan replika telah dihantar tugasan batalkan, atau berada dalam talian, sebelum ini
melengkapkan.
senarai-bersih-ruv
- Senaraikan semua CLEANALLRUV yang sedang berjalan dan batalkan tugas CLEANALLRUV.
dnarange-show [SERVER]
- Senaraikan julat DNA
dnarange-set SERVER MULA-TAMAT
- Tetapkan julat DNA pada induk
dnanextrange-show [SERVER]
- Senaraikan julat DNA seterusnya
dnanextrange-set SERVER MULA-TAMAT
- Tetapkan julat seterusnya DNA pada induk
Pilihan sambung dan putuskan sambungan digunakan untuk mengurus topologi replikasi. Apabila a
replika dicipta ia hanya disambungkan dengan tuan yang menciptanya. Sambung
pilihan boleh digunakan untuk menyambungkannya kepada replika sedia ada yang lain.
Pilihan putus sambungan tidak boleh digunakan untuk mengalih keluar pautan terakhir replika. Untuk mengeluarkan a
replika dari topologi gunakan pilihan del.
Jika replika dipadamkan dan kemudian ditambahkan semula dalam jangka masa yang singkat maka 389-ds
contoh pada induk yang menciptanya harus dimulakan semula sebelum memasang semula
replika. Tuan akan mempunyai pengetua perkhidmatan lama dicache yang akan menyebabkan
replikasi gagal.
Setiap pelayan induk IPA mempunyai ID replikasi yang unik. ID ini digunakan oleh 389-ds-base apabila
menyimpan maklumat tentang status replikasi. Keluaran terdiri daripada tuan dan mereka
ID replikasi masing-masing. Lihat clean-ruv
Apabila induk dialih keluar, semua induk lain perlu mengalih keluar ID replikasinya daripada
senarai sarjana. Biasanya ini berlaku secara automatik apabila induk dipadamkan dengan
ipa-replica-urus. Jika satu atau lebih master gagal atau tidak dapat dihubungi apabila ipa-replica-manage
telah dilaksanakan maka ID replika ini mungkin masih wujud. Perintah clean-ruv boleh digunakan untuk
bersihkan ID replikasi yang tidak digunakan.
NOTA: clean-ruv ialah SANGAT BAHAYA. Pelaksanaan terhadap ID replikasi yang salah boleh berlaku
dalam data yang tidak konsisten pada tuan itu. Tuan harus dimulakan semula daripada yang lain jika
ini berlaku.
Topologi replikasi diperiksa apabila induk dipadamkan dan akan cuba menghalang
seorang tuan daripada menjadi yatim piatu. Contohnya, jika topologi anda ialah A <-> B <-> C dan anda
cuba memadam master B ia akan gagal kerana itu akan meninggalkan master dan A dan C
yatim piatu.
Senarai induk disimpan dalam cn=masters,cn=ipa,cn=etc,dc=example,dc=com. Ini sepatutnya
dibersihkan secara automatik apabila induk dipadamkan. Jika ia berlaku bahawa anda telah memadam
tuan dan semua perjanjian tetapi entri ini masih wujud maka anda tidak akan dapat
untuk memasang semula IPA padanya, pemasangan akan gagal dengan:
Hos induk IPA tidak boleh dipadamkan atau dilumpuhkan menggunakan arahan standard (host-del, untuk
contoh).
Guru yang yatim piatu boleh dibersihkan menggunakan arahan del dengan pilihan --cleanup.
Ini akan mengalih keluar masukan daripada cn=masters,cn=ipa,cn=etc yang sebaliknya menghalang host-del
daripada berfungsi, profil dnanya, konfigurasi s4u2proxy, prinsipal perkhidmatan dan alih keluarnya
daripada lalai DUA profil lalaiServerList.
PILIHAN
-H HOST, --tuan rumah=HOST
Pelayan IPA untuk diuruskan. Lalai ialah mesin di mana arahan dijalankan
Tidak dihormati oleh perintah memulakan semula.
-p DM_PASSWORD, --kata laluan=DM_PASSWORD
Kata laluan Pengurus Direktori untuk digunakan untuk pengesahan
-v, --verbose
Berikan maklumat tambahan
-f, - kekuatan
Abaikan beberapa jenis ralat, jangan gesa semasa memadamkan induk
-c, --tiada-cari
Jangan lakukan semakan carian DNS.
-c, --bersihkan
Apabila memadamkan induk dengan bendera --force, alih keluar rujukan sisa kepada a
sudah dipadamkan tuan.
--binddn=ADMIN_DN
Ikat DN untuk digunakan dengan pelayan jauh (lalai ialah cn=Pengurus Direktori) - Berhati-hati untuk
petikan nilai ini pada baris arahan
--bindpw=ADMIN_PWD
Kata laluan untuk Bind DN untuk digunakan dengan pelayan jauh (lalai ialah DM_PASSWORD di atas)
--winsync
Menentukan untuk membuat/menggunakan Perjanjian Penyegerakan Windows
--cacert=/path/to/cacertfile
Laluan penuh dan nama fail sijil CA untuk digunakan dengan TLS/SSL ke pelayan jauh -
sijil CA ini akan dipasang dalam sijil pelayan direktori
pangkalan data
--menang-subtree=cn=Pengguna,dc=contoh,dc=com
DN subtree Windows yang mengandungi pengguna yang anda mahu segerakkan (default
cn=Pengguna, - ini biasanya yang digunakan oleh Windows AD sebagai lalai
value) - Berhati-hati untuk memetik nilai ini pada baris arahan
--passsync=PASSSYNC_PWD
Kata laluan untuk pengguna sistem IPA yang digunakan oleh pemalam Windows PassSync untuk disegerakkan
kata laluan. Diperlukan apabila menggunakan --winsync. Ini tidak bermakna anda perlu menggunakan
Perkhidmatan PassSync.
--dari=SERVER
Pelayan untuk menarik data daripada, digunakan oleh permulaan semula dan penyegerakan paksa
menyuruh.
PERINGKAT
IPA menggunakan 389-ds Distributed Numeric Assignment (DNA) Plugin untuk memperuntukkan id POSIX untuk
pengguna dan kumpulan. Julat dibuat apabila IPA dipasang dan separuh julat ditetapkan
kepada sarjana IPA pertama untuk tujuan peruntukan.
Sarjana IPA baharu tidak mendapat tugasan julat DNA secara automatik. Tugasan julat ialah
dilakukan hanya apabila pengguna atau kumpulan POSIX ditambahkan pada induk itu.
Pemalam DNA juga menyokong konfigurasi "on-deck" atau julat seterusnya. Apabila primer
julat habis, daripada pergi ke tuan lain untuk meminta lebih banyak, ia akan menggunakannya
julat atas dek jika satu ditakrifkan. Setiap induk boleh mempunyai hanya satu julat dan satu julat di atas dek
ditakrifkan.
Apabila tuan dialih keluar percubaan dibuat untuk menyelamatkan julat DNAnya ke tuan lain
dalam julat atas geladaknya. IPA tidak akan cuba untuk melanjutkan atau menggabungkan julat. Jika tiada
tersedia slot julat atas dek maka ini dilaporkan kepada pengguna. Julat itu berkesan
hilang melainkan ia digabungkan secara manual ke dalam julat induk lain.
Julat DNA dan nilai pada dek (seterusnya) boleh diurus menggunakan set-dnarange dan
arahan dnanextrange-set. Peraturan untuk mengurus julat ini ialah:
- Julat mesti terkandung sepenuhnya dalam julat setempat seperti yang ditakrifkan oleh ipa
arahan idrange.
- Julat tidak boleh bertindih julat DNA atau julat atas dek pada induk IPA lain.
- Julat tidak boleh bertindih julat ID Amanah AD.
- Julat DNA utama tidak boleh dialih keluar.
- Julat julat di atas dek boleh dialih keluar dengan menetapkannya kepada 0-0. Andaian adalah
bahawa julat akan dialihkan secara manual atau digabungkan ke tempat lain.
Julat dan julat seterusnya bagi induk tertentu boleh dipaparkan dengan melepasi FQDN itu
induk kepada arahan dnarange-show atau dnanextrange-show.
Melakukan perubahan julat sebagai pentadbir yang diwakilkan (cth tidak menggunakan Direktori
Kata laluan pengurus) memerlukan ACI 389-ds tambahan. Ini dipasang dalam induk yang dinaik taraf
tetapi bukan yang sedia ada. Perubahan dibuat dalam cn=config yang tidak direplikasi. The
Hasilnya ialah julat DNA tidak boleh diuruskan pada tuan yang tidak dinaik taraf sebagai diwakilkan
pentadbir.
CONTOH
Senaraikan semua sarjana:
# ipa-replica-urus senarai
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Senaraikan perjanjian replikasi pelayan.
# ipa-replica-urus senarai srv1.example.com
srv2.example.com
srv3.example.com
Mulakan semula replika:
# ipa-replica-uruskan semula mulakan --daripada srv2.example.com
Ini akan memulakan semula data pada pelayan tempat anda melaksanakan arahan,
mendapatkan semula data daripada replika srv2.example.com
Tambahkan perjanjian replikasi baharu:
# ipa-replica-urus sambungkan srv2.example.com srv4.example.com
Alih keluar perjanjian replikasi sedia ada:
# ipa-replica-urus putuskan sambungan srv1.example.com srv3.example.com
Alih keluar replika sepenuhnya:
# ipa-replica-manage del srv4.example.com
Menggunakan sambung/putuskan sambungan anda boleh menguruskan topologi replikasi.
Senaraikan ID replikasi yang digunakan:
# ipa-replica-urus senarai-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
Alih keluar rujukan kepada tuan yang yatim piatu dan dipadamkan:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Mencipta perjanjian Penyegerakan AD Windows adalah serupa dengan mencipta replikasi IPA
persetujuan, hanya terdapat beberapa langkah tambahan.
Entri pengguna khas dibuat untuk perkhidmatan PassSync. DN entri ini ialah
uid=passsync,cn=sysaccounts,cn=etc, . Anda tidak perlu menggunakan PassSync untuk menggunakan a
Perjanjian penyegerakan Windows tetapi menetapkan kata laluan untuk pengguna diperlukan.
Contoh berikut menggunakan akaun pentadbir AD sebagai pengguna penyegerakan. ini
tidak wajib tetapi pengguna mesti mempunyai akses baca kepada subpokok.
1. Pindahkan Sijil Windows AD CA yang dikodkan base64 ke Pelayan IPA anda
2. Alih keluar sebarang bukti kelayakan kerberos sedia ada
# kdestroy
3. Tambahkan perjanjian replikasi winsync
# ipa-replica-urus sambung --winsync --passsync=
akan_digunakan_untuk_perjanjian> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v
Anda akan digesa untuk membekalkan kata laluan Pengurus Direktori.
Buat perjanjian replikasi winsync:
# ipa-replica-urus sambung --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
Alih keluar perjanjian replikasi winsync:
# ipa-replica-urus putuskan sambungan windows.ad.example.com
PASSSYNC
PassSync ialah perkhidmatan Windows yang dijalankan pada Pengawal Domain AD untuk memintas kata laluan
perubahan. Ia menghantar perubahan kata laluan ini kepada pelayan LDAP IPA melalui TLS. Kata laluan ini
menukar pintasan tetapan dasar kata laluan IPA biasa dan kata laluan tidak ditetapkan kepada
serta-merta tamat tempoh. Ini kerana pada masa IPA menerima perubahan kata laluan yang dimilikinya
sudah diterima oleh AD jadi sudah terlambat untuk menolaknya.
IPA mengekalkan senarai DN yang dikecualikan daripada dasar kata laluan. Pengguna khas ditambah
secara automatik apabila perjanjian replikasi winsync dibuat. DN pengguna ini ialah
ditambahkan pada senarai pengecualian yang disimpan dalam passSyncManagersDNs dalam entri
cn=ipa_pwd_extop,cn=plugins,cn=config.
EXIT STATUS
0 jika arahan itu berjaya
1 jika ralat berlaku
Gunakan ipa-replica-manage dalam talian menggunakan perkhidmatan onworks.net
