To jest polecenie ipa-replica-manage, które można uruchomić w darmowym dostawcy usług hostingowych OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
ipa-replica-manage - Zarządzaj repliką IPA
STRESZCZENIE
zarządzanie repliką ipa [OPCJA]... [KOMENDA]
OPIS
Zarządza umowami replikacji serwera IPA.
Aby zarządzać umowami replikacji IPA w domenie na poziomie domeny 1, użyj IPA CLI lub Web UI,
zobacz `topologia pomocy ipa` w celu uzyskania dodatkowych informacji.
Dostępne polecenia to:
connect [SERWER_A]
— Dodaje nową umowę replikacji między serwerem SERVER_A/localhost a serwerem SERVER_B. Na
poziom domeny 1 dotyczy tylko umów winsync.
odłączyć [SERWER_A]
— Usuwa umowę replikacji między serwerem SERVER_A/localhost a serwerem SERVER_B. Na
poziom domeny 1 dotyczy tylko umów winsync.
del
- Usuwa wszystkie umowy replikacji i dane dotyczące SERWERA. Na poziomie domeny 1 to
usuwa dane i umowy dla obu sufiksów - domain i ca.
podstęp [SERWER]
- Wyświetla listę wszystkich serwerów lub listę umów SERWERA
ponownie zainicjować
- Wymusza pełną ponowną inicjalizację serwera IPA pobierającego dane z serwera
określony za pomocą opcji --from
wymuszona synchronizacja
- Natychmiast opróżnij wszelkie dane, które mają być replikowane, z serwera określonego w pliku
--z opcji
lista-ruv
- Wyświetl identyfikatory replikacji na tym serwerze.
czysty ruv [ID_REPLICATION_ID]
- Uruchom zadanie CLEANALLRUV, aby usunąć identyfikator replikacji.
czysty-zwisający-ruv
- Czyści wszystkie RUV i CS-RUV, które pozostały w systemie przed odinstalowaniem
repliki.
przerwać-wyczyść-ruv [ID_REPLICATION_ID]
- Przerwij uruchomione zadanie CLEANALLRUV. Z opcją --force zadanie nie czeka
wszystkie serwery replik otrzymały wcześniej polecenie przerwania lub były w trybie online
ukończenie.
lista-czysta-ruv
- Wyświetl listę wszystkich uruchomionych zadań CLEANALLRUV i przerwij zadania CLEANALLRUV.
dnarange-show [SERWER]
- Wypisz zakresy DNA
zestaw dnarange SERVER POCZĄTEK KONIEC
- Ustaw zakres DNA na wzorcu
dnanextrange-show [SERWER]
- Wypisz kolejne zakresy DNA
zestaw dnanextrange SERVER POCZĄTEK KONIEC
- Ustaw następny zakres DNA na mistrzu
Opcje łączenia i rozłączania służą do zarządzania topologią replikacji. Kiedy
replika jest tworzona, jest połączona tylko z masterem, który ją stworzył. Połączenie
opcji można użyć do połączenia go z innymi istniejącymi replikami.
Opcji rozłączenia nie można użyć do usunięcia ostatniego łącza repliki. Aby usunąć
replika z topologii użyj opcji del.
Jeśli replika zostanie usunięta, a następnie ponownie dodana w krótkim czasie, 389-ds
instancja na serwerze głównym, który ją utworzył, powinna zostać zrestartowana przed ponowną instalacją
replika. Master będzie miał zapisane w pamięci podręcznej stare jednostki usługi, co spowoduje
replikacja się nie powiedzie.
Każdy serwer główny IPA ma unikalny identyfikator replikacji. Ten identyfikator jest używany przez 389-ds-base gdy
przechowywanie informacji o stanie replikacji. Wyjście składa się z mistrzów i ich
odpowiedni identyfikator replikacji. Widzieć czysty ruv
Po usunięciu wzorca wszystkie inne wzorce muszą usunąć swój identyfikator replikacji z pliku
lista mistrzów. Zwykle dzieje się to automatycznie po usunięciu wzorca za pomocą
ipa-replica-manage. Jeśli jeden lub więcej masterów było wyłączonych lub nieosiągalnych podczas ipa-replica-manage
został wykonany, ten identyfikator repliki może nadal istnieć. Można użyć polecenia clean-ruv
wyczyść nieużywany identyfikator replikacji.
UWAGA: czysty-ruv jest BARDZO NIEBEZPIECZNE. Może to spowodować wykonanie z niewłaściwym identyfikatorem replikacji
w niespójnych danych dotyczących tego wzorca. Master powinien zostać ponownie zainicjowany z innego if
to się stało.
Topologia replikacji jest sprawdzana po usunięciu wzorca i próbuje temu zapobiec
mistrz przed sierotą. Na przykład, jeśli twoja topologia to A <-> B <-> C i ty
próba usunięcia wzorca B zakończy się niepowodzeniem, ponieważ pozostawiłoby to wzorce oraz A i C
osierocony.
Lista wzorców jest przechowywana w cn=masters,cn=ipa,cn=etc,dc=example,dc=com. To powinno
czyszczone automatycznie po usunięciu wzorca. Jeśli okaże się, że usunąłeś
master i wszystkie umowy, ale te wpisy nadal istnieją, to nie będziesz mógł
aby ponownie zainstalować na nim IPA, instalacja zakończy się niepowodzeniem z następującym komunikatem:
Głównego hosta IPA nie można usunąć ani wyłączyć za pomocą standardowych poleceń (host-del, np
przykład).
Osierocony wzorzec można oczyścić za pomocą dyrektywy del z opcją --cleanup.
Spowoduje to usunięcie wpisów z cn=masters,cn=ipa,cn=etc, które w przeciwnym razie uniemożliwiają host-del
z pracy, jego profil dna, konfigurację s4u2proxy, jednostki usługi i usuń go
z domyślnego profilu DUA defaultServerList.
OPCJE
-H HOST, --gospodarz=HOST
Serwer IPA do zarządzania. Wartością domyślną jest komputer, na którym uruchamiane jest polecenie
Nie jest honorowany przez polecenie ponownego zainicjowania.
-p DM_HASŁO, --hasło=DM_HASŁO
Hasło Menedżera katalogów używane do uwierzytelniania
-v, --gadatliwy
Podaj dodatkowe informacje
-f, --siła
Ignoruj niektóre rodzaje błędów, nie wyświetlaj monitów podczas usuwania wzorca
-c, --bez wyszukiwania
Nie wykonuj sprawdzania wyszukiwania DNS.
-c, --sprzątać
Podczas usuwania wzorca za pomocą flagi --force usuń pozostałe odniesienia do pliku an
już usunięty wzorzec.
--bindn=ADMIN_DN
Powiąż nazwę wyróżniającą do użycia ze zdalnym serwerem (domyślnie cn=Directory Manager) — uważaj
zacytuj tę wartość w wierszu poleceń
--bindpw=ADMIN_PWD
Hasło dla Bind DN do używania ze zdalnym serwerem (domyślnie jest to DM_PASSWORD powyżej)
--winsync
Określa utworzenie/użycie umowy synchronizacji systemu Windows
--cacert=/ścieżka/do/pliku cacert
Pełna ścieżka i nazwa pliku certyfikatu CA do użycia z TLS/SSL na zdalnym serwerze -
ten certyfikat CA zostanie zainstalowany w certyfikacie serwera katalogów
baza danych
--win-poddrzewo=cn=Użytkownicy,dc=przykład,dc=com
Nazwa wyróżniająca poddrzewa Windows zawierającego użytkowników, których chcesz zsynchronizować (domyślnie
cn=Użytkownicy, — jest to zwykle domyślne ustawienie usługi Windows AD
wartość) — uważaj, aby podać tę wartość w wierszu poleceń
--passsync=PASSSYNC_PWD
Hasło dla użytkownika systemu IPA używane przez wtyczkę Windows PassSync do synchronizacji
Hasła. Wymagane podczas używania opcji --winsync. Nie oznacza to, że musisz korzystać z tzw
Usługa PassSync.
--z=SERVER
Serwer, z którego pobierane są dane, używany do ponownego inicjowania i wymuszania synchronizacji
Polecenia.
ZAKRESY
IPA używa wtyczki 389-ds Distributed Numeric Assignment (DNA) do przydzielania identyfikatorów POSIX dla
użytkowników i grup. Po zainstalowaniu IPA tworzony jest zakres i przypisywana jest połowa zakresu
pierwszemu kapitanowi IPA do celów przydziału.
Nowi mistrzowie IPA nie otrzymują automatycznie przypisania zakresu DNA. Przypisanie zakresu jest
wykonywane tylko wtedy, gdy użytkownik lub grupa POSIX jest dodawana do tego mastera.
Wtyczka DNA obsługuje również konfigurację „on-deck” lub next range. Kiedy podstawowy
zasięg jest wyczerpany, zamiast iść do innego mistrza, aby poprosić o więcej, użyje swojego
zasięg na pokładzie, jeśli został określony. Każdy mistrz może mieć tylko jeden zasięg i jeden zasięg na pokładzie
zdefiniowane.
Po usunięciu wzorca podejmowana jest próba zapisania jego zakresu(-ów) DNA na innym wzorcu
w swoim zasięgu pokładowym. IPA nie będzie próbowała rozszerzać ani łączyć zakresów. Jeśli nie ma
dostępnych miejsc na strzelnicy na pokładzie, wówczas jest to zgłaszane użytkownikowi. Zasięg jest skuteczny
utracone, chyba że zostanie ręcznie włączone do zakresu innego wzorca.
Zakres DNA i wartości na pokładzie (następne) można zarządzać za pomocą zestawu dnarange-set i
komendy dnanextrange-set. Zasady zarządzania tymi zakresami to:
- Zasięg musi całkowicie mieścić się w zasięgu lokalnym określonym przez ipa
polecenie idrange.
- Zasięg nie może pokrywać się z zasięgiem DNA lub zasięgiem na pokładzie innego mistrza IPA.
- Zakres nie może pokrywać się z zakresem ID AD Trust.
- Pierwotnego zakresu DNA nie można usunąć.
- Zakres zasięgu na pokładzie można usunąć, ustawiając go na 0-0. Założeniem jest
że zakres zostanie ręcznie przeniesiony lub scalony w inne miejsce.
Zakres i następny zakres określonego wzorca można wyświetlić, przekazując jego nazwę FQDN
master do polecenia dnarange-show lub dnanextrange-show.
Wykonywanie zmian zakresu jako delegowany administrator (np. niekorzystanie z Directory
hasło menedżera) wymaga dodatkowych ACI 389-ds. Są one instalowane w zaktualizowanych wzorcach
ale nie istniejące. Zmiany są dokonywane w cn=config, który nie jest replikowany. The
w rezultacie zakresy DNA nie mogą być zarządzane na nieuaktualnionych wzorcach jako delegat
administrator.
PRZYKŁADY
Wymień wszystkich mistrzów:
# ipa-replica-manage lista
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Wyświetl umowy dotyczące replikacji serwera.
# lista zarządzania replikami ipa srv1.example.com
srv2.example.com
srv3.example.com
Ponownie zainicjuj replikę:
# ipa-replica-manage ponownie zainicjuj --z srv2.example.com
Spowoduje to ponowne zainicjowanie danych na serwerze, na którym wykonujesz polecenie,
pobieranie danych z repliki srv2.example.com
Dodaj nową umowę replikacji:
# ipa-replica-manage połącz srv2.example.com srv4.example.com
Usuń istniejącą umowę replikacji:
# ipa-replica-manage rozłączanie srv1.example.com srv3.example.com
Całkowicie usuń replikę:
# ipa-replica-manage del srv4.example.com
Za pomocą funkcji łączenia/rozłączania można zarządzać topologią replikacji.
Wymień używane identyfikatory replikacji:
# ipa-replica-manage list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
Usuń odniesienia do osieroconego i usuniętego wzorca:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Tworzenie umowy synchronizacji z usługą Windows AD jest podobne do tworzenia replikacji IPA
umowy, jest tylko kilka dodatkowych kroków.
Dla usługi PassSync tworzony jest specjalny wpis użytkownika. Nazwa wyróżniająca tego wpisu to
uid=passsync,cn=sysaccounts,cn=etc, . Nie musisz używać PassSync, aby używać
Umowa synchronizacji Windows, ale wymagane jest ustawienie hasła dla użytkownika.
Poniższe przykłady używają konta administratora usługi AD jako użytkownika synchronizacji. Ten
nie jest obowiązkowe, ale użytkownik musi mieć dostęp do odczytu do poddrzewa.
1. Przenieś zakodowany w formacie base64 certyfikat Windows AD CA na swój serwer IPA
2. Usuń wszelkie istniejące poświadczenia protokołu Kerberos
# kzniszcz
3. Dodaj umowę replikacji winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/ścieżka/do/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=użytkownicy,dc=reklama,dc=przykład,dc=com" --bindpw
-w
Zostaniesz poproszony o podanie hasła Menedżera Katalogów.
Utwórz umowę replikacji winsync:
# ipa-replica-manage connect --winsync --passsync=MójSecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=użytkownicy,dc=reklama,dc=przykład,dc=com" --bindpw MySecret -v
Windows.ad.example.com
Usuń umowę replikacji winsync:
# ipa-replica-manage rozłącza windows.ad.example.com
PASSSYNC
PassSync to usługa systemu Windows działająca na kontrolerach domeny AD w celu przechwycenia hasła
zmiany. Wysyła te zmiany hasła do serwera IPA LDAP przez TLS. Te hasła
zmiany pomijają normalne ustawienia zasad haseł IPA, a hasło nie jest ustawione na
natychmiast wygasnąć. Dzieje się tak dlatego, że do czasu otrzymania przez IPA zmiany hasła
został już zaakceptowany przez AD, więc jest już za późno, aby go odrzucić.
IPA prowadzi listę nazw wyróżniających, które są zwolnione z zasad dotyczących haseł. Zostanie dodany specjalny użytkownik
automatycznie po utworzeniu umowy replikacji winsync. Nazwa wyróżniająca tego użytkownika to
dodane do listy wykluczeń przechowywanej w nazwach passSyncManagersDN we wpisie
cn=ipa_pwd_extop,cn=wtyczki,cn=konfiguracja.
EXIT STATUS
0 jeśli komenda się powiodła
1 jeśli wystąpił błąd
Korzystaj z ipa-replica-manage online, korzystając z usług onworks.net
