EngelsFransSpaans

Ubuntu | Fedora | VPN | File sharing

Ad


OnWorks-favicon

ipa-client-install - Online in de cloud

Voer ipa-client-install uit in OnWorks gratis hostingprovider via Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator

Dit is de opdracht ipa-client-install die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator

PROGRAMMA:

NAAM


ipa-client-install - Configureer een IPA-client

KORTE INHOUD


ipa-client-installatie [OPTIE] ...

PRODUCTBESCHRIJVING


Configureert een clientcomputer om IPA te gebruiken voor authenticatie- en identiteitsservices.

Standaard configureert dit SSSD om verbinding te maken met een IPA-server voor authenticatie en
machtiging. Optioneel kan men in plaats daarvan PAM en NSS (Name Switching Service) configureren
om te werken met een IPA-server via Kerberos en LDAP.

Een geautoriseerde gebruiker is vereist om een ​​clientcomputer aan te sluiten bij IPA. Dit kan de vorm aannemen van
een kerberos-principal of een eenmalig wachtwoord dat aan de machine is gekoppeld.

Deze zelfde tool wordt gebruikt om IPA te deconfigureren en probeert de machine terug te zetten naar zijn
vorige staat. Een deel van dit proces is om de host uit te schrijven van de IPA-server.
Uitschrijven bestaat uit het uitschakelen van de hoofdsleutel op de IPA-server, zodat deze
opnieuw ingeschreven. De machine-principal in /etc/krb5.keytab (host/ @REALM) wordt gebruikt om
authenticeren bij de IPA-server om zichzelf uit te schrijven. Als dit principe niet bestaat,
uitschrijven mislukt en een beheerder moet de host-principal uitschakelen (ipa
host-uitschakelen ).

Veronderstellingen
Het ipa-client-install script gaat ervan uit dat de machine al SSH-sleutels heeft gegenereerd. Het
genereert zelf geen SSH-sleutels. Als SSH-sleutels niet aanwezig zijn (bijv. wanneer
het uitvoeren van de ipa-client-install in een kickstart, voordat sshd ooit wordt uitgevoerd), zullen ze dat niet zijn
geüpload naar het clienthostitem op de server.

hostname Voorwaarden
Klant moet een statisch hostname. Als de hostnaam van de machine verandert, bijvoorbeeld door a
dynamische hostnaamtoewijzing door een DHCP-server, client-inschrijving bij IPA-server breekt en
gebruiker zou dan geen Kerberos-verificatie kunnen uitvoeren.

--hostname optie kan worden gebruikt om een ​​statische hostnaam op te geven die blijft bestaan ​​na opnieuw opstarten.

DNS Automatische ontdekking
Client-installatieprogramma probeert standaard te zoeken naar _ldap._tcp.DOMAIN DNS SRV-records voor alle
domeinen die bovenliggend zijn aan de hostnaam. Als een clientcomputer bijvoorbeeld een hostnaam heeft
'client1.lab.example.com', zal het installatieprogramma proberen een IPA-serverhostnaam op te halen van
_ldap._tcp.lab.example.com, _ldap._tcp.example.com en _ldap._tcp.com DNS SRV-records,
respectievelijk. Het ontdekte domein wordt vervolgens gebruikt om clientcomponenten te configureren (bijv. SSSD
en Kerberos 5-configuratie) op de machine.

Als de hostnaam van de clientcomputer zich niet in een subdomein van een IPA-server bevindt, kan het domein ervan zijn:
doorgegeven met --domain optie. In dat geval hebben zowel SSSD- als Kerberos-componenten de
domein ingesteld in de configuratiebestanden en zal het gebruiken om IPA-servers automatisch te detecteren.

Clientcomputer kan ook worden geconfigureerd zonder DNS-autodiscovery. Wanneer beiden
--server en --domain opties worden gebruikt, client installer zal de gespecificeerde server gebruiken en
domein direct. --server optie accepteert meerdere server hostnamen die kunnen worden gebruikt voor
failover-mechanisme. Zonder DNS autodiscovery is Kerberos geconfigureerd met een vaste lijst van:
KDC- en beheerdersservers. SSSD is nog steeds geconfigureerd om te proberen de SRV van het domein te lezen
records of de opgegeven vaste lijst met servers. Als de optie --fixed-primary is opgegeven,
SSSD zal helemaal niet proberen het DNS SRV-record te lezen (zie sssd-ipa(5) voor details).

De Failover Mechanisme
Wanneer sommige IPA-servers niet beschikbaar zijn, kunnen clientcomponenten terugvallen op:
andere IPA-replica en daarmee een doorlopende service. Wanneer de client-machine is
geconfigureerd om automatische detectie van DNS SRV-records te gebruiken (er is geen vaste server doorgegeven aan de
installer), doen clientcomponenten automatisch de fallback, gebaseerd op de IPA-server
hostnamen en prioriteiten ontdekt uit de DNS SRV-records.

Als automatische detectie van DNS niet beschikbaar is, moeten clients op zijn minst worden geconfigureerd met een vast
lijst met IPA-servers die kunnen worden gebruikt in geval van een storing. Wanneer er maar één IPA-server is
geconfigureerd, zijn IPA-clientservices niet beschikbaar in het geval van een storing van de IPA
server. Houd er rekening mee dat in het geval van een vaste lijst met IPA-servers, de vaste serverlijsten
in clientcomponenten moeten worden bijgewerkt wanneer een nieuwe IPA-server wordt ingeschreven of een huidige IPA
server wordt buiten gebruik gesteld.

Co-existentie met Overige Directory Servers
Andere directoryservers die in het netwerk zijn geïmplementeerd (bijv. Microsoft Active Directory) kunnen gebruikmaken van
dezelfde DNS SRV-records om hosts met een directoryservice aan te duiden (_ldap._tcp.DOMAIN).
Dergelijke DNS SRV-records kunnen de installatie verbreken als het installatieprogramma deze DNS ontdekt
records voordat het DNS SRV-records vindt die naar IPA-servers verwijzen. Het installatieprogramma zou dan
kan de IPA-server niet ontdekken en sluit af met een fout.

Om de bovengenoemde DNS-autodiscovery-problemen te voorkomen, is de hostnaam van de clientcomputer
moet zich in een domein bevinden met correct gedefinieerde DNS SRV-records die verwijzen naar IPA-servers,
ofwel handmatig met een aangepaste DNS-server of met IPA DNS geïntegreerde oplossing. Een seconde
benadering zou zijn om autodiscovery te vermijden en het installatieprogramma te configureren om een ​​vaste lijst te gebruiken
van IPA-serverhostnamen met behulp van de --server optie en met een --fixed-primary optie
automatische detectie van DNS SRV-records uitschakelen in SSSD.

Herinschrijving of de gastheer
Vereisten:

1. Host is niet uitgeschreven (de opdracht ipa-client-install --uninstall is niet verwijderd)
loop).
2. De hostinvoer is niet uitgeschakeld via de opdracht ipa host-disable.

Als dit het geval is geweest, kan host opnieuw worden ingeschreven met behulp van de gebruikelijke methoden.

Er zijn twee manieren om een ​​herinschrijving te verifiëren:

1. U kunt de optie --force-join gebruiken met de opdracht ipa-client-install. Dit verifieert de
herinschrijving met behulp van de inloggegevens van de beheerder die zijn verstrekt via de -w/--password-optie.
2. Als het invoeren van het wachtwoord van de beheerder via de opdrachtregel geen optie is (u wilt bijv
om een ​​script te maken om een ​​host opnieuw in te schrijven en het wachtwoord van de beheerder veilig te houden), kunt u gebruik maken van
back-up keytab van de vorige inschrijving van deze host om te verifiëren. Zie --keytab
optie.

Gevolgen van de herinschrijving op de host entry:

1. Er wordt een nieuw hostcertificaat uitgegeven
2. Het oude hostcertificaat is ingetrokken
3. Er worden nieuwe SSH-sleutels gegenereerd
4. ipaUniqueID blijft behouden

OPTIES


BASIC OPTIES
--domein=DOMEIN
Stel de domeinnaam in op DOMAIN. Als er geen --server-optie is opgegeven, wordt het installatieprogramma
zal proberen om alle beschikbare servers te ontdekken via DNS SRV record autodiscovery (zie
DNS Autodiscovery-sectie voor details).

--server=SERVER
Stel de IPA-server in om verbinding mee te maken. Kan meerdere keren worden opgegeven om meerdere toe te voegen
servers naar ipa_server waarde in sssd.conf of krb5.conf. Alleen de eerste waarde is
overwogen bij gebruik met --no-sssd. Wanneer deze optie wordt gebruikt, DNS autodiscovery
voor Kerberos is uitgeschakeld en er is een vaste lijst met KDC- en Admin-servers geconfigureerd.

--rijk=REALM_NAME
Stel de IPA-realmnaam in op REALM_NAME. Onder normale omstandigheden is deze optie:
niet nodig omdat de realm-naam wordt opgehaald van de IPA-server.

--vast-primair
Configureer SSSD om een ​​vaste server als primaire IPA-server te gebruiken. De standaard is om
gebruik DNS SRV-records om te bepalen welke primaire server moet worden gebruikt en val terug op de
server waarbij de client is ingeschreven. Bij gebruik in combinatie met --server dan nee
_srv_ waarde is ingesteld in de ipa_server optie in sssd.conf.

-p, --voornaam
Geautoriseerde kerberos-principal om te gebruiken om lid te worden van het IPA-rijk.

-w WACHTWOORD, --wachtwoord=WACHTWOORD
Wachtwoord voor het toevoegen van een machine aan het IPA-rijk. Gaat uit van bulkwachtwoord tenzij
hoofdsom is ook ingesteld.

-W Vraag om het wachtwoord voor het toevoegen van een machine aan het IPA-rijk.

-k, --toetsenbord
Pad naar geback-upte hostsleuteltab van vorige inschrijving. Wordt lid van de host, zelfs als het
is al ingeschreven.

--mkhedir
Configureer PAM om een ​​thuismap van een gebruiker te maken als deze niet bestaat.

--hostnaam
De hostnaam van deze machine (FQDN). Indien gespecificeerd, wordt de hostnaam ingesteld en de
systeemconfiguratie wordt bijgewerkt om te blijven bestaan ​​​​tijdens het opnieuw opstarten. Standaard een knooppuntnaam
resultaat van uname(2) wordt gebruikt.

--force-join
Word lid van de host, zelfs als deze al is ingeschreven.

--ntp-server=NTP_SERVER
Configureer ntpd om deze NTP-server te gebruiken. Deze optie kan meerdere keren worden gebruikt.

-N, --geen-ntp
Configureer of schakel NTP niet in.

--force-ntpd
Stop en schakel alle tijd- en datumsynchronisatieservices uit, behalve ntpd.

--nisdomein=NIS_DOMAIN
Stel de NIS-domeinnaam in zoals gespecificeerd. Standaard is dit ingesteld op het IPA-domein
naam.

--geen-nisdomein
Configureer de NIS-domeinnaam niet.

--ssh-vertrouwen-dns
Configureer de OpenSSH-client om DNS SSHFP-records te vertrouwen.

--geen-ssh
Configureer de OpenSSH-client niet.

--geen-sshd
Configureer de OpenSSH-server niet.

--geen-sudo
Configureer SSSD niet als gegevensbron voor sudo.

--geen-dns-sshfp
Maak niet automatisch DNS SSHFP-records aan.

--noac Gebruik Authconfig niet om de nsswitch.conf- en PAM-configuratie te wijzigen.

-f, --kracht
Forceer de instellingen, zelfs als er fouten optreden

--kinit-pogingen=KINIT_POGINGEN
In het geval van niet-reagerende KDC (bijv. bij het inschrijven van meerdere hosts tegelijk in een zware
laadomgeving) herhaal de aanvraag voor host Kerberos-ticket tot een totaal aantal
of KINIT_POGINGEN keer voordat u de installatie van de client opgeeft en afbreekt. Standaard
aantal pogingen is 5. Het verzoek wordt niet herhaald als er een probleem is met
hostreferenties zelf (bijv. verkeerde keytab-indeling of ongeldige principal) dus
het gebruik van deze optie leidt niet tot accountvergrendelingen.

-d, --debuggen
Foutopsporingsinformatie afdrukken naar stdout

-U, --onbeheerd
Installatie zonder toezicht. De gebruiker wordt niet gevraagd.

--ca-cert-bestand=CA_BESTAND
Probeer het IPA CA-certificaat niet op geautomatiseerde wijze te verkrijgen, maar gebruik in plaats daarvan
het CA-certificaat lokaal gevonden in in CA_BESTAND. De CA_BESTAND moet absoluut zijn
pad naar een PEM-geformatteerd certificaatbestand. Het CA-certificaat gevonden in CA_BESTAND is
beschouwd als gezaghebbend en wordt geïnstalleerd zonder te controleren of dit het geval is
geldig voor het IPA-domein.

--verzoek-certificaat
Certificaat voor de machine aanvragen. Het certificaat wordt opgeslagen in
/etc/ipa/nssdb onder de bijnaam "Lokale IPA-host".

--automount-locatie=LOCATIE
Configureer automount door uit te voeren ipa-client-automount(1) met LOCATIE als automount
plaats.

--configure-firefox
Configureer Firefox om IPA-domeinreferenties te gebruiken.

--firefox-dir=DIR
Geef de Firefox-installatiemap op. Bijvoorbeeld: '/usr/lib/firefox'

--IP adres=IP ADRES
Te gebruiken IP ADRES in DNS A/AAAA-record voor deze host. Mag meerdere keren worden opgegeven
om meerdere DNS-records toe te voegen.

--alle-ip-adressen
Maak een DNS A/AAAA-record voor elk IP-adres op deze host.

SSSD OPTIES
--vergunning
Configureer SSSD om alle toegang toe te staan. Anders wordt de machine bestuurd door:
de Host-based Access Controls (HBAC) op de IPA-server.

--enable-dns-updates
Deze optie vertelt SSSD om DNS automatisch bij te werken met het IP-adres hiervan
klant.

--geen-krb5-offline-wachtwoorden
Configureer SSSD om het gebruikerswachtwoord niet op te slaan wanneer de server offline is.

-S, --geen-sssd
Configureer de client niet om SSSD te gebruiken voor authenticatie, gebruik in plaats daarvan nss_ldap.

--behoud-sssd
Standaard uitgeschakeld. Indien ingeschakeld, behoudt de oude SSSD-configuratie als dit niet het geval is
mogelijk om het samen te voegen met een nieuwe. Effectief, als de samenvoeging niet mogelijk is vanwege
naar SSSDConfig-lezer die niet-ondersteunde opties tegenkomt, ipa-client-installatie zal niet
ren verder en vraag om eerst de SSSD-configuratie te repareren. Als deze optie niet is opgegeven,
ipa-client-installatie zal een back-up maken van de SSSD-configuratie en een nieuwe maken. De back-upversie
wordt hersteld tijdens het verwijderen.

UNINSTALL OPTIES
--verwijderen
Verwijder de IPA-clientsoftware en herstel de configuratie naar de pre-IPA-status.

-U, --onbeheerd
Onbeheerde verwijdering. De gebruiker wordt niet gevraagd.

Gebruik ipa-client-install online met onworks.net-services


Gratis servers en werkstations

>>


Windows- en Linux-apps downloaden

>>


Linux-commando's

Ad




OVER ONWORKS®

OnWorks is een gratis online VPS-hostingprovider die cloudservices biedt zoals gratis werkstations, online antivirus, gratis VPN-beveiligde proxy's en gratis persoonlijke en zakelijke e-mail. Onze gratis VPS kan gebaseerd zijn op CentOS, Fedora, Ubuntu en Debian. Sommigen van hen zijn aangepast om op Windows online of MacOS online te lijken.

Site Links
Onze sites

Copyright ©2023 OffiDocs Group OU. Alle rechten voorbehouden. OnWorks® is een geregistreerd handelsmerk.