Dit is de opdracht ipa-adtrust-install die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
ipa-adtrust-install - Bereid een IPA-server voor om vertrouwensrelaties tot stand te kunnen brengen
met AD-domeinen
KORTE INHOUD
ipa-adtrust-installatie [OPTIE] ...
PRODUCTBESCHRIJVING
Voegt alle benodigde objecten en configuratie toe zodat een IPA-server een vertrouwensrelatie kan creëren om
een Active Directory-domein. Dit vereist dat de IPA-server al is geïnstalleerd en
geconfigureerd.
Houd er rekening mee dat u geen vertrouwensrelatie met een Active Directory-domein tot stand kunt brengen
tenzij de realm-naam van de IPA-server overeenkomt met de domeinnaam.
ipa-adtrust-install kan meerdere keren worden uitgevoerd om verwijderde objecten opnieuw te installeren of kapot te gaan
configuratie bestanden. Bijv. een nieuwe samba-configuratie (smb.conf-bestand en register gebaseerd
configuratie kan worden gemaakt. Andere items zoals bijv. de configuratie van het lokale bereik
kan niet worden gewijzigd door ipa-adtrust-install een tweede keer uit te voeren, omdat met wijzigingen hier
andere objecten kunnen ook worden beïnvloed.
Firewall Voorwaarden
Naast de vereisten voor de firewall van de IPA-server, vereist ipa-adtrust-install het volgende:
volgende poorten moeten open zijn om IPA en Active Directory met elkaar te laten communiceren:
TCP poorten
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft DS
· 1024/tcp tot 1300/tcp om EPMAP op poort 135/tcp toe te staan een TCP-listener te maken
op basis van een binnenkomend verzoek.
UDP poorten
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp-LDAP
OPTIES
-d, --debuggen
Logboekregistratie voor foutopsporing inschakelen wanneer meer uitgebreide uitvoer nodig is
--netbios-naam=NETBIOS_NAME
De NetBIOS-naam voor het IPA-domein. Indien niet verstrekt, wordt dit bepaald op basis van
op de leidende component van de DNS-domeinnaam. ipa-adtrust-install uitvoeren voor a
tweede keer met een andere NetBIOS-naam zal de naam veranderen. Houd er rekening mee dat:
het wijzigen van de NetBIOS-naam kan bestaande vertrouwensrelaties met andere verbreken
domeinen.
--no-msdcs
Maak geen DNS-servicerecords voor Windows in een beheerde DNS-server. sinds die
DNS-servicerecords zijn de enige manier om domeincontrollers van andere te ontdekken
domeinen moeten ze handmatig worden toegevoegd aan een andere DNS-server om vertrouwen toe te staan
realisaties werken naar behoren. Alle benodigde onderhoudsgegevens worden weergegeven wanneer:
ipa-adtrust-install is voltooid en ofwel --no-msdcs werd gegeven of geen IPA DNS-service
is geconfigureerd. Doorgaans zijn servicerecords nodig voor de volgende servicenamen:
voor het IPA-domein dat naar alle IPA-servers moet verwijzen:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Standaard-eerste-sitenaam._sites.dc._msdcs
· _kerberos._tcp.Standaard-eerste-sitenaam._sites.dc._msdcs
· _kerberos._udp.Standaard-eerste-sitenaam._sites.dc._msdcs
--add-zijkanten
Voeg SID's toe aan bestaande gebruikers en groepen als een van de laatste stappen van de
ipa-adtrust-install uitvoeren. Als er veel bestaande gebruikers en groepen zijn en een paar
replica's in de omgeving deze bewerking kan leiden tot veel replicatieverkeer
en een prestatievermindering van alle IPA-servers in de omgeving. Om dit te voorkomen
de SID-generatie kan worden uitgevoerd nadat ipa-adtrust-install is uitgevoerd en gepland
onafhankelijk. Om deze taak te starten, moet u een bewerkte versie van ipa-sidgen-
task-run.ldif met de opdracht ldapmodify info de directoryserver.
--add-agenten
Voeg IPA-masters toe aan de lijst die het mogelijk maakt om informatie over gebruikers weer te geven van
vertrouwde bossen. Vanaf FreeIPA 4.2 kan een reguliere IPA-master dit bieden
informatie aan SSSD-clients. IPA-masters worden niet automatisch aan de lijst toegevoegd als
herstart van de LDAP-service op elk van hen is vereist. De gastheer waar
ipa-adtrust-install wordt uitgevoerd, wordt automatisch toegevoegd.
Merk op dat IPA-masters waar ipa-adtrust-install niet werd uitgevoerd, informatie kunnen verstrekken
alleen over gebruikers van vertrouwde forests als ze zijn ingeschakeld via ipa-adtrust-install
draaien op een andere IPA-master. Minimaal SSSD-versie 1.13 op IPA-master is vereist
om als trust agent te kunnen optreden.
-U, --onbeheerd
Een installatie zonder toezicht die nooit om gebruikersinvoer zal vragen
-U, --rid-basis=RID_BASE
Eerste RID-waarde van het lokale domein. De eerste Posix-ID van het lokale domein is:
toegewezen aan deze RID, de tweede aan RID+1 enz. Zie de online help van de idrange
CLI voor meer informatie.
-U, --secundaire-rid-base=SECONDARY_RID_BASE
Startwaarde van het secundaire RID-bereik, dat alleen wordt gebruikt in het geval een gebruiker en a
groep delen numeriek dezelfde Posix ID. Zie de online help van de idrange CLI
voor meer info.
-A, --admin-naam=ADMIN_NAME
De naam van de gebruiker met beheerdersrechten voor deze IPA-server. Standaardinstellingen
naar 'beheer'.
-a, --administrator wachtwoord=wachtwoord
Het wachtwoord van de gebruiker met beheerdersrechten voor deze IPA-server. Zullen
interactief worden gevraagd of -U is niet gespecificeerd.
De inloggegevens van de admin-gebruiker worden eerder gebruikt om een Kerberos-ticket te verkrijgen
het configureren van ondersteuning voor cross-realm trusts en daarna, om ervoor te zorgen dat het ticket bevat:
MS-PAC-informatie vereist om daadwerkelijk een vertrouwensrelatie met Active Directory-domein toe te voegen via 'ipa'
trust-add --type=ad' commando.
--enable-compatibel
Maakt ondersteuning mogelijk voor gebruikers van vertrouwde domeinen voor oude clients via Schema
Compatibiliteit plug-in. SSSD ondersteunt vertrouwde domeinen die standaard beginnen met versie
1.9. Voor platforms die geen SSSD hebben of een oudere SSSD-versie gebruiken, moet u dit gebruiken
optie. Indien ingeschakeld, moet het slapi-nis-pakket worden geïnstalleerd en
schema-compat-plugin zal worden geconfigureerd om gebruikers en groepen op te zoeken van
vertrouwde domeinen via SSSD op IPA-server. Deze gebruikers en groepen zullen beschikbaar zijn
voor cn=gebruikers,cn=compat,$SUFFIX en cn=groepen,cn=compat,$SUFFIX bomen. SSSD zal
normaliseer namen van gebruikers en groepen naar kleine letters.
Naast het aanbieden van deze gebruikers en groepen via de compatstructuur, biedt dit
optie maakt authenticatie via LDAP mogelijk voor vertrouwde domeingebruikers met DN onder
compat-boom, dat wil zeggen met behulp van bind DN
ui=[e-mail beveiligd],cn=gebruikers,cn=compat,$SUFFIX.
LDAP-authenticatie uitgevoerd door de compat-boom gebeurt via PAM 'systeem-authenticatie'
onderhoud. Deze service bestaat standaard op Linux-systemen en wordt geleverd door pam
pakket als /etc/pam.d/system-auth. Als uw IPA-installatie geen standaard HBAC heeft
regel 'allow_all' ingeschakeld, zorg er dan voor dat u in IPA de speciale service met de naam definieert
'systeem-authenticatie' en maak een HBAC-regel om iedereen toegang te geven tot deze regel op IPA
meesters.
Als 'systeem-authenticatie' PAM-service wordt niet rechtstreeks door een andere applicatie gebruikt, het is
veilig om het te gebruiken voor vertrouwde domeingebruikers via het compatibiliteitspad.
EXIT STATUS
0 als de installatie is gelukt
1 als er een fout is opgetreden
Gebruik ipa-adtrust-install online met onworks.net-services
