Angielskifrancuskihiszpański

Ubuntu | Fedora | VPN | File sharing

Ad


Ulubiona usługa OnWorks

ipa-client-install - Online w chmurze

Uruchom ipa-client-install u bezpłatnego dostawcy hostingu OnWorks w systemie Ubuntu Online, Fedora Online, emulatorze online systemu Windows lub emulatorze online systemu MAC OS

Jest to polecenie ipa-client-install, które można uruchomić w bezpłatnym dostawcy hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS

PROGRAM:

IMIĘ


ipa-client-install - Skonfiguruj klienta IPA

STRESZCZENIE


instalacja klienta ipa [OPCJA] ...

OPIS


Konfiguruje komputer kliencki do używania IPA do usług uwierzytelniania i tożsamości.

Domyślnie konfiguruje to SSSD do łączenia się z serwerem IPA w celu uwierzytelnienia i
upoważnienie. Opcjonalnie można zamiast tego skonfigurować PAM i NSS (usługę przełączania nazw)
do pracy z serwerem IPA poprzez Kerberos i LDAP.

Aby przyłączyć komputer kliencki do IPA, wymagany jest autoryzowany użytkownik. Może to przybrać formę
nazwę użytkownika protokołu Kerberos lub hasło jednorazowe powiązane z maszyną.

To samo narzędzie służy do dekonfiguracji IPA i próby przywrócenia komputera do pierwotnego stanu
Poprzedni stan. Częścią tego procesu jest wyrejestrowanie hosta z serwera IPA.
Wyrejestrowanie polega na wyłączeniu klucza głównego na serwerze IPA, aby tak było
ponownie zapisany. Nazwa główna komputera w /etc/krb5.keytab (Host/ @REALM) jest przyzwyczajony
uwierzytelnić się na serwerze IPA, aby się wyrejestrować. Jeśli ten główny nie istnieje to wtedy
wyrejestrowanie zakończy się niepowodzeniem i administrator będzie musiał wyłączyć podmiot główny hosta (ipa
wyłączenie hosta ).

Założenia
Skrypt ipa-client-install zakłada, że ​​maszyna już wygenerowała klucze SSH. To
nie wygeneruje kluczy SSH z własnej woli. Jeśli klucze SSH nie są obecne (np
uruchamiając ipa-client-install podczas kickstartu, zanim kiedykolwiek uruchomisz sshd), tak się nie stanie
przesłane do wpisu hosta klienta na serwerze.

Nazwa hosta wymagania
Klient musi skorzystać z statyczny hosta. Jeśli nazwa hosta komputera ulegnie zmianie na przykład z powodu:
dynamiczne przydzielanie nazwy hosta przez serwer DHCP, przerwy w rejestracji klienta na serwerze IPA oraz
użytkownik nie będzie wówczas mógł przeprowadzić uwierzytelnienia Kerberos.

Opcja --hostname może zostać użyta do określenia statycznej nazwy hosta, która będzie obowiązywać po ponownym uruchomieniu.

DNS Automatyczne wykrywanie
Instalator klienta domyślnie próbuje wyszukać rekordy _ldap._tcp.DOMAIN DNS SRV dla wszystkich
domeny będące nadrzędnymi względem nazwy hosta. Na przykład, jeśli komputer kliencki ma nazwę hosta
„client1.lab.example.com”, instalator spróbuje pobrać nazwę hosta serwera IPA z
Rekordy DNS SRV _ldap._tcp.lab.example.com, _ldap._tcp.example.com i _ldap._tcp.com,
odpowiednio. Odkryta domena jest następnie wykorzystywana do konfiguracji komponentów klienta (np. SSSD
i konfiguracja Kerberos 5) na komputerze.

Jeśli nazwa hosta komputera klienckiego nie znajduje się w subdomenie serwera IPA, jego domena może znajdować się w subdomenie
przekazywane z opcją --domain. W takim przypadku zarówno komponenty SSSD, jak i Kerberos mają
domenę ustawioną w plikach konfiguracyjnych i użyje jej do automatycznego wykrywania serwerów IPA.

Komputer kliencki można również skonfigurować bez automatycznego wykrywania DNS. Gdy oboje
--server i --domain są używane, instalator klienta użyje określonego serwera i
domena bezpośrednio. --server opcja akceptuje wiele nazw hostów serwerów, których można używać
mechanizm przełączania awaryjnego. Bez automatycznego wykrywania DNS protokół Kerberos jest skonfigurowany ze stałą listą
Serwery KDC i administracyjne. SSSD jest nadal skonfigurowane tak, aby próbowało odczytać SRV domeny
rekordy lub określoną stałą listę serwerów. Jeśli określono opcję --fixed-primary,
SSSD w ogóle nie będzie próbowało odczytać rekordu DNS SRV (patrz sssd-ipa(5) szczegóły).

Połączenia Failover Mechanizm
Gdy niektóre serwery IPA nie są dostępne, można zastosować komponenty klienta
inną replikę IPA, zachowując w ten sposób ciągłość usługi. Gdy komputer kliencki jest
skonfigurowany do korzystania z automatycznego wykrywania rekordów DNS SRV (do serwera nie został przekazany żaden stały serwer
instalator), komponenty klienta automatycznie wykonują operację awaryjną w oparciu o serwer IPA
nazwy hostów i priorytety wykryte z rekordów DNS SRV.

Jeśli automatyczne wykrywanie DNS nie jest dostępne, klienci powinni zostać skonfigurowani przynajmniej ze stałym
lista serwerów IPA, z których można skorzystać w przypadku awarii. Gdy jest tylko jeden serwer IPA
skonfigurowany, usługi klienta IPA nie będą dostępne w przypadku awarii IPA
serwer. Należy pamiętać, że w przypadku stałej listy serwerów IPA, są to stałe listy serwerów
w komponentach klienta muszą zostać zaktualizowane po zarejestrowaniu nowego serwera IPA lub bieżącego IPA
serwer jest wyłączony.

Współistnienie Z Inne Informator Serwery
Mogą korzystać z innych serwerów katalogowych rozmieszczonych w sieci (np. Microsoft Active Directory).
te same rekordy SRV DNS do oznaczania hostów z usługą katalogową (_ldap._tcp.DOMAIN).
Takie rekordy DNS SRV mogą przerwać instalację, jeśli instalator odkryje te DNS
rekordy, zanim znajdzie rekordy DNS SRV wskazujące na serwery IPA. Wtedy instalator by to zrobił
nie wykryje serwera IPA i zakończy działanie z błędem.

Aby uniknąć wyżej wymienionych problemów z automatycznym wykrywaniem DNS, nazwa hosta komputera klienckiego
powinien znajdować się w domenie z odpowiednio zdefiniowanymi rekordami DNS SRV wskazującymi na serwery IPA,
albo ręcznie za pomocą niestandardowego serwera DNS, albo za pomocą zintegrowanego rozwiązania IPA DNS. Sekunda
podejście polegałoby na uniknięciu automatycznego wykrywania i skonfigurowaniu instalatora tak, aby korzystał ze stałej listy
nazw hostów serwerów IPA przy użyciu opcji --server i opcji --fixed-primary
wyłączenie automatycznego wykrywania rekordów DNS SRV w SSSD.

Ponowna rejestracja of dotychczasowy gospodarz
wymagania:

1. Host nie został wyrejestrowany (nie wykonano polecenia ipa-client-install --uninstall).
biegać).
2. Wpis hosta nie został wyłączony za pomocą polecenia ipa host-disable.

W takim przypadku host może zostać ponownie zarejestrowany przy użyciu zwykłych metod.

Istnieją dwie metody uwierzytelniania ponownej rejestracji:

1. Możesz użyć opcji --force-join z poleceniem ipa-client-install. To potwierdza autentyczność
ponowna rejestracja przy użyciu poświadczeń administratora podanych za pomocą opcji -w/--password.
2. Jeśli podanie hasła administratora za pomocą wiersza poleceń nie wchodzi w grę (np. chcesz
aby utworzyć skrypt umożliwiający ponowną rejestrację hosta i zabezpieczenie hasła administratora), możesz użyć
utworzono kopię zapasową tabeli kluczy z poprzedniej rejestracji tego hosta w celu uwierzytelnienia. Zobacz --keytab
opcja.

Konsekwencje przerejestrowania na wpis gospodarza:

1. Zostaje wydany nowy certyfikat hosta
2. Stary certyfikat hosta zostaje unieważniony
3. Generowane są nowe klucze SSH
4. ipaUniqueID zostaje zachowany

OPCJE


BASIC OPCJE
--domena=DOMAIN
Ustaw nazwę domeny na DOMAIN. Jeśli nie określono opcji --server, plik instalacyjny
spróbuje wykryć wszystkie dostępne serwery poprzez automatyczne wykrywanie rekordów DNS SRV (patrz
Szczegóły znajdziesz w sekcji Automatyczne wykrywanie DNS).

--serwer=SERVER
Ustaw serwer IPA, z którym chcesz się połączyć. Można określić wiele razy, aby dodać wiele
serwerów na wartość ipa_server w pliku sssd.conf lub krb5.conf. Tylko pierwsza wartość jest
brane pod uwagę w przypadku użycia z opcją --no-sssd. Gdy używana jest ta opcja, automatyczne wykrywanie DNS
dla protokołu Kerberos jest wyłączony i skonfigurowana jest stała lista serwerów KDC i administracyjnych.

--królestwo=REALM_NAME
Ustaw nazwę domeny IPA na REALM_NAME. W normalnych okolicznościach jest to opcja
nie jest potrzebne, ponieważ nazwa obszaru jest pobierana z serwera IPA.

--naprawiono-podstawowy
Skonfiguruj SSSD, aby używał stałego serwera jako głównego serwera IPA. Wartość domyślna to
użyj rekordów DNS SRV, aby określić główny serwer, którego chcesz użyć i wrócić do
serwer, na którym zarejestrowany jest klient. W połączeniu z --server wtedy nie
Wartość _srv_ jest ustawiona w opcji ipa_server w pliku sssd.conf.

-p, --główny
Autoryzowany podmiot główny protokołu Kerberos do użycia w celu dołączenia do domeny IPA.

-w HASŁO, --hasło=HASŁO
Hasło umożliwiające dołączenie maszyny do krainy IPA. Zakłada hasło zbiorcze, chyba że
Wartość główna jest również ustawiona.

-W Monituj o hasło umożliwiające dołączenie komputera do domeny IPA.

-k, --klawiatura
Ścieżka do kopii zapasowej tabeli kluczy hosta z poprzedniej rejestracji. Dołącza do hosta, nawet jeśli tak jest
jest już zapisany.

--mkhomedir
Skonfiguruj PAM, aby utworzył katalog domowy użytkownika, jeśli nie istnieje.

--nazwa hosta
Nazwa hosta tego komputera (FQDN). Jeśli zostanie określony, nazwa hosta zostanie ustawiona, a plik
konfiguracja systemu zostanie zaktualizowana, aby zachować trwałość po ponownym uruchomieniu. Domyślnie nazwa węzła
wynik z uname(2) jest używany.

--wymuś-dołącz
Dołącz do hosta, nawet jeśli jest już zarejestrowany.

--ntp-serwer=NTP_SERWER
Skonfiguruj ntpd do korzystania z tego serwera NTP. Opcji tej można użyć wielokrotnie.

-N, --nie-ntp
Nie konfiguruj ani nie włączaj protokołu NTP.

--force-ntpd
Zatrzymaj i wyłącz wszystkie usługi synchronizacji czasu i daty oprócz ntpd.

--nisdomena=DOMENA NIS
Ustaw nazwę domeny NIS zgodnie z opisem. Domyślnie ustawiona jest domena IPA
nazwa.

--no-nisdomena
Nie konfiguruj nazwy domeny NIS.

--ssh-trust-dns
Skonfiguruj klienta OpenSSH, aby ufał rekordom DNS SSHFP.

--nie-ssh
Nie konfiguruj klienta OpenSSH.

--nie-sshd
Nie konfiguruj serwera OpenSSH.

--nie-sudo
Nie konfiguruj SSSD jako źródła danych dla sudo.

--no-dns-sshfp
Nie twórz automatycznie rekordów DNS SSHFP.

--noak Nie używaj Authconfig do modyfikowania konfiguracji nsswitch.conf i PAM.

-f, --siła
Wymuś ustawienia, nawet jeśli wystąpią błędy

--kinit-próby=KINIT_ATTEMPTS
W przypadku braku reakcji KDC (np. podczas jednoczesnej rejestracji wielu hostów w pliku heavy
Load Environment) powtórz żądanie biletu Kerberos hosta aż do całkowitej liczby
of KINIT_ATTEMPTS razy przed rezygnacją i przerwaniem instalacji klienta. Domyślny
liczba prób wynosi 5. Żądanie nie jest powtarzane w przypadku wystąpienia problemu
same dane uwierzytelniające hosta (np. zły format tabeli kluczy lub nieprawidłowy podmiot główny), więc
użycie tej opcji nie spowoduje blokady konta.

-d, --odpluskwić
Wydrukuj informacje debugowania na standardowe wyjście

-U, --bez opieki
Instalacja bez nadzoru. Użytkownik nie zostanie poproszony.

--ca-plik-cert=CA_FILE
Nie próbuj uzyskać certyfikatu IPA CA w sposób zautomatyzowany, zamiast tego skorzystaj z niego
certyfikat urzędu certyfikacji znaleziony lokalnie w in CA_FILE, CA_FILE musi być absolutny
ścieżka do pliku certyfikatu w formacie PEM. Certyfikat urzędu certyfikacji znaleziony w CA_FILE is
uważany za wiarygodny i zostanie zainstalowany bez sprawdzania, czy tak jest
obowiązuje dla domeny IPA.

--certyfikat żądania
Poproś o certyfikat dla maszyny. Certyfikat będzie przechowywany w
/etc/ipa/nssdb pod pseudonimem „Lokalny host IPA”.

--lokalizacja-automatycznego montażu=LOKALIZACJA
Skonfiguruj automatyczne montowanie, uruchamiając ipa-klient-automount(1) z LOKALIZACJA jako automontaż
Lokalizacja.

--konfiguruj-firefox
Skonfiguruj przeglądarkę Firefox tak, aby korzystała z poświadczeń domeny IPA.

--reż=DIR
Określ katalog instalacyjny Firefoksa. Na przykład: '/usr/lib/firefox'

--adres IP=ADRES IP
Zastosowanie ADRES IP w rekordzie DNS A/AAAA dla tego hosta. Można określić wielokrotnie
aby dodać wiele rekordów DNS.

--wszystkie-adresy-IP
Utwórz rekord DNS A/AAAA dla każdego adresu IP na tym hoście.

dysk SSD OPCJE
--zezwolenie
Skonfiguruj SSSD, aby zezwolić na cały dostęp. W przeciwnym razie maszyna będzie kontrolowana przez
Kontrola dostępu oparta na hoście (HBAC) na serwerze IPA.

--włącz aktualizacje-dns
Ta opcja informuje SSSD, aby automatycznie aktualizowało DNS przy użyciu adresu IP tego
klient.

--no-krb5-hasła-offline
Skonfiguruj SSSD, aby nie przechowywać hasła użytkownika, gdy serwer jest w trybie offline.

-S, --nie-sssd
Nie konfiguruj klienta do używania SSSD do uwierzytelniania, zamiast tego użyj nss_ldap.

--Preserve-sssd
Domyślnie wyłączone. Po włączeniu zachowuje starą konfigurację SSSD, jeśli nie jest
istnieje możliwość połączenia go z nowym. Skutecznie, jeśli połączenie nie jest możliwe z powodu
do czytnika SSSDConfig napotykającego nieobsługiwane opcje, instalacja klienta ipa nie będzie
biegnij dalej i najpierw poproś o naprawę konfiguracji SSSD. Jeżeli ta opcja nie jest określona,
instalacja klienta ipa utworzy kopię zapasową konfiguracji SSSD i utworzy nową. Wersja zapasowa
zostanie przywrócony podczas dezinstalacji.

ODINSTALUJ OPCJE
--odinstaluj
Usuń oprogramowanie klienckie IPA i przywróć konfigurację do stanu sprzed IPA.

-U, --bez opieki
Dezinstalacja bez nadzoru. Użytkownik nie zostanie poproszony.

Użyj ipa-client-install online, korzystając z usług onworks.net


Darmowe serwery i stacje robocze

>>


Pobierz aplikacje Windows i Linux

>>


Komendy systemu Linux

Ad




O ONWORKS®

OnWorks to bezpłatny internetowy dostawca hostingu VPS, który oferuje usługi w chmurze, takie jak bezpłatne stacje robocze, internetowy program antywirusowy, bezpłatne bezpieczne serwery proxy VPN oraz bezpłatną pocztę osobistą i biznesową. Nasz darmowy VPS może być oparty na CentOS, Fedorze, Ubuntu i Debianie. Niektóre z nich są dostosowane tak, aby działały jak Windows online lub MacOS online.

Linki strony
Nasze strony

Prawa autorskie ©2023 OffiDocs Group OU. Wszelkie prawa zastrzeżone. OnWorks® jest zastrzeżonym znakiem towarowym.