Jest to polecenie ipa-adtrust-install, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
ipa-adtrust-install - Przygotuj serwer IPA, aby móc ustanawiać relacje zaufania
z domenami AD
STRESZCZENIE
ipa-adtrust-install [OPCJA] ...
OPIS
Dodaje wszystkie niezbędne obiekty i konfigurację, aby umożliwić serwerowi IPA utworzenie zaufania
domena Active Directory. Wymaga to, aby serwer IPA był już zainstalowany i
skonfigurowany.
Należy pamiętać, że nie będzie można ustanowić zaufania do domeny Active Directory
chyba że nazwa domeny serwera IPA jest zgodna z nazwą domeny.
ipa-adtrust-install można uruchomić wiele razy, aby ponownie zainstalować usunięte lub uszkodzone obiekty
pliki konfiguracyjne. Np. świeża konfiguracja Samby (oparta na pliku smb.conf i rejestrze
można utworzyć konfigurację. Inne elementy jak np. konfiguracja zasięgu lokalnego
nie można tego zmienić, uruchamiając ipa-adtrust-install po raz drugi, ponieważ tutaj zachodzą zmiany
może to również mieć wpływ na inne obiekty.
zapora wymagania
Oprócz wymagań zapory serwera IPA, ipa-adtrust-install wymaga
następujące porty muszą być otwarte, aby umożliwić wspólną komunikację IPA i Active Directory:
TCP porty
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp do 1300/tcp, aby umożliwić EPMAP na porcie 135/tcp utworzenie słuchacza TCP
na podstawie przychodzącego żądania.
UDP porty
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
OPCJE
-d, --odpluskwić
Włącz rejestrowanie debugowania, gdy potrzebne jest więcej informacji wyjściowych
--nazwa-netbios=NAZWA NETBIOSU
Nazwa NetBIOS domeny IPA. Jeśli nie podano, jest to ustalane na podstawie
na wiodącym składniku nazwy domeny DNS. Uruchamianie ipa-adtrust-install dla pliku
drugie użycie innej nazwy NetBIOS spowoduje zmianę nazwy. Proszę to zanotować
zmiana nazwy NetBIOS może spowodować zerwanie istniejących relacji zaufania z innymi
domeny.
--nie-msdcs
Nie twórz rekordów usług DNS dla systemu Windows na zarządzanym serwerze DNS. Od tamtych
Rekordy usług DNS to jedyny sposób na wykrycie kontrolerów domeny innych osób
domenach należy je dodać ręcznie do innego serwera DNS, aby umożliwić zaufanie
relacje działają prawidłowo. Wszystkie potrzebne zapisy serwisowe są wymienione, kiedy
ipa-adtrust-install kończy się i podano opcję --no-msdcs lub brak usługi DNS IPA
jest skonfigurowany. Zwykle potrzebne są rejestry usług dla następujących nazw usług
dla domeny IPA, która powinna wskazywać wszystkie serwery IPA:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--dodaj-sids
Dodaj identyfikatory SID do istniejących użytkowników i grup w ostatnim etapie
Uruchomienie ipa-adtrust-install. Jeśli istnieje wielu istniejących użytkowników i grup oraz kilka
replik w środowisku ta operacja może prowadzić do dużego ruchu związanego z replikacją
oraz spadek wydajności wszystkich serwerów IPA w środowisku. Uniknąć tego
generowanie identyfikatora SID można uruchomić po uruchomieniu i zaplanowaniu ipa-adtrust-install
niezależnie. Aby rozpocząć to zadanie, musisz załadować edytowaną wersję ipa-sidgen-
task-run.ldif za pomocą komendy ldapmodify info na serwerze katalogowym.
--dodaj agentów
Dodaj mastery IPA do listy umożliwiającej udostępnianie informacji o użytkownikach z
zaufane lasy. Począwszy od FreeIPA 4.2, może to zapewnić zwykły mistrz IPA
informacje klientom SSSD. Mastery IPA nie są dodawane do listy automatycznie, ponieważ
wymagane jest ponowne uruchomienie usługi LDAP na każdym z nich. Gospodarz gdzie
ipa-adtrust-install jest dodawany automatycznie.
Zauważ, że mastery IPA, w których nie uruchomiono ipa-adtrust-install, mogą udostępniać informacje
o użytkownikach z zaufanych lasów tylko wtedy, gdy są oni włączeni poprzez ipa-adtrust-install
uruchomić na dowolnym innym masterze IPA. Wymagana jest co najmniej wersja SSSD 1.13 na masterze IPA
aby móc działać jako agent zaufania.
-U, --bez opieki
Instalacja nienadzorowana, która nigdy nie będzie monitować o wprowadzenie danych przez użytkownika
-U, --rid-base=RID_BASE
Pierwsza wartość RID domeny lokalnej. Pierwszym identyfikatorem Posix domeny lokalnej będzie
przypisany do tego RID, drugi do RID+1 itd. Zobacz pomoc online idrange
CLI, aby uzyskać szczegółowe informacje.
-U, --wtórna baza-pozbawiona=SECONDARY_RID_BASE
Wartość początkowa dodatkowego zakresu RID, która jest używana tylko w przypadku użytkownika i a
grupa ma numerycznie ten sam identyfikator Posix. Zobacz pomoc online idrange CLI
dla szczegółów.
-A, --nazwa-administratora=ADMIN_NAME
Nazwa użytkownika z uprawnieniami administracyjnymi dla tego serwera IPA. Domyślne
do „administratora”.
-a, --hasło administratora=password
Hasło użytkownika z uprawnieniami administracyjnymi dla tego serwera IPA. Będzie
zostaniesz interaktywnie zapytany, czy -U nie jest określony.
Poświadczenia użytkownika admin zostaną użyte do wcześniejszego uzyskania biletu Kerberos
konfigurowanie obsługi zaufania między dziedzinami, a następnie upewnienie się, że bilet zawiera
Informacje MS-PAC wymagane do faktycznego dodania zaufania do domeny Active Directory za pośrednictwem pliku „ipa
polecenie trust-add --type=ad'.
--włącz kompatybilność
Umożliwia obsługę użytkowników domen zaufanych dla starych klientów za pośrednictwem schematu
Wtyczka kompatybilności. SSSD obsługuje zaufane domeny natywnie, zaczynając od wersji
1.9. W przypadku platform, które nie mają SSSD lub obsługują starszą wersję SSSD, należy tego użyć
opcja. Po włączeniu należy zainstalować pakiet slapi-nis i
schema-compat-plugin zostanie skonfigurowany tak, aby umożliwiał wyszukiwanie użytkowników i grup
zaufane domeny poprzez SSSD na serwerze IPA. Ci użytkownicy i grupy będą dostępni
dla cn=użytkownicy,cn=kompatybilność,$SUFFIX i cn=grupy,cn=kompatybilność,$SUFIKS drzewa. SSSD będzie
normalizuj nazwy użytkowników i grup małymi literami.
Oprócz udostępniania tych użytkowników i grup poprzez drzewo zgodności, to
opcja umożliwia uwierzytelnianie przez LDAP dla zaufanych użytkowników domeny z nazwą wyróżniającą poniżej
drzewo kompatacyjne, tj. przy użyciu nazwy wyróżniającej powiązania
uid=[email chroniony],cn=użytkownicy,cn=kompatybilność,$SUFFIX.
Uwierzytelnianie LDAP wykonywane przez drzewo zgodności odbywa się poprzez PAM 'autoryzacja systemu'
praca. Ta usługa istnieje domyślnie w systemach Linux i jest dostarczana przez pam
pakiet jako /etc/pam.d/system-auth. Jeśli Twoja instalacja IPA nie ma domyślnego HBAC
włączona reguła „allow_all”, pamiętaj o zdefiniowaniu w IPA specjalnej usługi o nazwie
'autoryzacja systemu' i utwórz regułę HBAC, aby umożliwić każdemu dostęp do tej reguły na IPA
mistrzowie.
Jak 'autoryzacja systemuUsługa PAM nie jest używana bezpośrednio przez żadną inną aplikację
bezpieczne używanie go dla zaufanych użytkowników domeny poprzez ścieżkę zgodności.
EXIT STATUS
0, jeśli instalacja przebiegła pomyślnie
1 jeśli wystąpił błąd
Użyj ipa-adtrust-install online, korzystając z usług onworks.net