To polecenie ipa-replica-manage, które można uruchomić w darmowym dostawcy hostingu OnWorks, korzystając z jednej z wielu naszych darmowych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
ipa-replica-manage — zarządzanie repliką IPA
STRESZCZENIE
zarządzanie repliką ipa [OPCJA]... [KOMENDA]
OPIS
Zarządza umowami replikacji serwera IPA.
Aby zarządzać umowami replikacji IPA w domenie na poziomie domeny 1, należy użyć interfejsu wiersza poleceń IPA lub interfejsu użytkownika sieci Web,
zobacz `topologia pomocy ipa` w celu uzyskania dodatkowych informacji.
Dostępne polecenia to:
connect [SERWER_A]
- Dodaje nową umowę replikacji pomiędzy SERVER_A/localhost i SERVER_B.
Poziom domeny 1 dotyczy wyłącznie umów WinSync.
odłączyć [SERWER_A]
- Usuwa umowę replikacji pomiędzy SERVER_A/localhost i SERVER_B.
Poziom domeny 1 dotyczy wyłącznie umów WinSync.
del
- Usuwa wszystkie umowy replikacji i dane o SERWER. Na poziomie domeny 1
usuwa dane i umowy dla obu sufiksów - domeny i ca.
podstęp [SERWER]
- Wyświetla listę wszystkich serwerów lub listę umów SERWERA
ponownie zainicjować
- Wymusza pełną ponowną inicjalizację serwera IPA podczas pobierania danych z serwera
określone za pomocą opcji --from
wymuszona synchronizacja
- Natychmiast opróżnij wszelkie dane, które mają być replikowane, z serwera określonego w pliku
--z opcji
lista-ruv
- Wyświetl identyfikatory replikacji na tym serwerze.
czysty-ruv [ID_REPLIKACJI]
- Uruchom zadanie CLEANALLRUV, aby usunąć identyfikator replikacji.
czysty-wiszący-ruv
- Czyści wszystkie RUV-y i CS-RUV-y pozostawione w systemie po odinstalowaniu
repliki.
przerwać-oczyścić-ruv [ID_REPLIKACJI]
- Przerwij uruchomione zadanie CLEANALLRUV. Z opcją --force zadanie nie czeka na
wszystkie serwery replik miały otrzymać zadanie przerwania lub być online przed
ukończenie.
lista-czyszczenie-ruv
- Wyświetla listę wszystkich uruchomionych zadań CLEANALLRUV i przerywa je.
dnarange-show [SERWER]
- Wypisz zakresy DNA
zestaw dnarange SERVER START-KONIEC
- Ustaw zakres DNA na urządzeniu głównym
dnanextrange-pokaz [SERWER]
- Wypisz kolejne zakresy DNA
zestaw-dnanextrange SERVER START-KONIEC
- Ustaw następny zakres DNA na urządzeniu głównym
Opcje łączenia i rozłączania służą do zarządzania topologią replikacji. Kiedy
replika jest tworzona, jest połączona tylko z masterem, który ją stworzył. Połączenie
opcji można użyć do połączenia go z innymi istniejącymi replikami.
Opcji rozłączenia nie można użyć do usunięcia ostatniego łącza repliki. Aby usunąć
replika z topologii użyj opcji del.
Jeśli replika zostanie usunięta, a następnie ponownie dodana w krótkim czasie, 389-ds
instancja na serwerze głównym, który ją utworzył, powinna zostać zrestartowana przed ponowną instalacją
replika. Master będzie miał zapisane w pamięci podręcznej stare jednostki usługi, co spowoduje
replikacja się nie powiedzie.
Każdy serwer główny IPA ma unikalny identyfikator replikacji. Ten identyfikator jest używany przez 389-ds-base, gdy
przechowywanie informacji o statusie replikacji. Wyjście składa się z masterów i ich
odpowiedni identyfikator replikacji. Zobacz czysty-ruv
Po usunięciu głównego urządzenia wszystkie pozostałe urządzenia główne muszą usunąć jego identyfikator replikacji z
lista masterów. Zwykle dzieje się to automatycznie, gdy master jest usuwany za pomocą
ipa-replica-manage. Jeśli jeden lub więcej masterów było wyłączonych lub niedostępnych podczas ipa-replica-manage
został wykonany, to ten identyfikator repliki może nadal istnieć. Polecenie clean-ruv może być użyte do
wyczyść nieużywany identyfikator replikacji.
UWAGA:czysty-ruv jest BARDZO NIEBEZPIECZNEWykonanie polecenia przeciwko niewłaściwemu identyfikatorowi replikacji może skutkować
w niespójnych danych na tym masterze. Master powinien zostać ponownie zainicjowany z innego, jeśli
tak się dzieje.
Topologia replikacji jest sprawdzana po usunięciu serwera głównego i będzie podejmowana próba jej zapobiegania
mistrza od bycia sierotą. Na przykład, jeśli twoja topologia to A <-> B <-> C i ty
próba usunięcia mastera B zakończy się niepowodzeniem, ponieważ pozostałyby mastery A i C
osierocony.
Lista masterów jest przechowywana w cn=masters,cn=ipa,cn=etc,dc=example,dc=com. Powinno to
zostanie automatycznie wyczyszczone, gdy master zostanie usunięty. Jeśli zdarzy się, że usunąłeś
master i wszystkie umowy, ale te wpisy nadal istnieją, to nie będziesz w stanie
aby ponownie zainstalować IPA, instalacja zakończy się niepowodzeniem z następującym komunikatem:
Hosta głównego IPA nie można usunąć ani wyłączyć za pomocą standardowych poleceń (np. host-del).
przykład).
Osierocony plik master można oczyścić za pomocą dyrektywy del z opcją --cleanup.
Spowoduje to usunięcie wpisów z cn=masters, cn=ipa, cn=etc, które w przeciwnym razie uniemożliwiają host-del
z pracy, jego profilu DNA, konfiguracji s4u2proxy, głównych usług i usuń go
z domyślnego profilu DUA defaultServerList.
OPCJE
-H HOST, --gospodarz=HOST
Serwer IPA do zarządzania. Wartością domyślną jest komputer, na którym uruchamiane jest polecenie
Nie jest honorowany przez polecenie ponownego zainicjowania.
-p DM_HASŁO, --hasło=DM_HASŁO
Hasło Menedżera katalogów używane do uwierzytelniania
-v, --gadatliwy
Podaj dodatkowe informacje
-f, --siła
Ignoruj niektóre typy błędów, nie wyświetlaj monitu podczas usuwania pliku głównego
-c, --bez-wyszukiwania
Nie wykonuj kontroli wyszukiwania DNS.
-c, --sprzątać
Podczas usuwania mastera za pomocą flagi --force usuń pozostałe odwołania do
już usunięty master.
--bindn=ADMIN_DN
Powiąż DN do użycia ze zdalnym serwerem (domyślnie cn=Directory Manager) - Uważaj, aby
podaj tę wartość w wierszu poleceń
--bindpw=HASŁO_ADMINISTRACYJNE
Hasło dla Bind DN do wykorzystania ze zdalnym serwerem (domyślnie jest to DM_PASSWORD powyżej)
--sync
Określa utworzenie/używanie umowy synchronizacji systemu Windows
--cacert=/ścieżka/do/pliku/cacert
Pełna ścieżka i nazwa pliku certyfikatu CA do użycia z protokołem TLS/SSL na serwerze zdalnym -
ten certyfikat CA zostanie zainstalowany w certyfikacie serwera katalogowego
baza danych
--win-subtree=cn=Użytkownicy,dc=przykład,dc=com
Nazwa wyróżniająca poddrzewa systemu Windows zawierająca użytkowników, których chcesz zsynchronizować (domyślna)
cn=Użytkownicy, - to jest typowa domyślna wartość usługi Windows AD
(wartość) - Pamiętaj, aby podać tę wartość w wierszu poleceń
--synchronizacja passów=PASSSYNC_PWD
Hasło użytkownika systemu IPA używane przez wtyczkę Windows PassSync do synchronizacji
hasła. Wymagane przy użyciu --winsync. Nie oznacza to, że musisz używać
Usługa PassSync.
--z=SERVER
Serwer, z którego pobierane są dane, używany do ponownego inicjowania i wymuszania synchronizacji
Polecenia.
ZAKRESY
IPA używa wtyczki 389-ds Distributed Numeric Assignment (DNA) do przydzielania identyfikatorów POSIX dla
użytkowników i grup. Zakres jest tworzony, gdy IPA jest instalowany i połowa zakresu jest przypisywana
do pierwszego mistrza IPA w celu przydziału.
Nowi mistrzowie IPA nie otrzymują automatycznie przydziału zakresu DNA. Przydział zakresu jest
wykonywane tylko wtedy, gdy do tego mastera zostanie dodany użytkownik lub grupa POSIX.
Wtyczka DNA obsługuje również konfigurację „on-deck” lub next range. Gdy podstawowy
zakres zostanie wyczerpany, zamiast iść do innego mistrza i poprosić o więcej, wykorzysta swój
zakres na pokładzie, jeśli jest zdefiniowany. Każdy master może mieć tylko jeden zakres i jeden zakres na pokładzie
zdefiniowane.
Po usunięciu wzorca podejmowana jest próba zapisania jego zakresu(ów) DNA na innym wzorcu
w zasięgu pokładu. IPA nie będzie próbowała rozszerzać ani łączyć zasięgów. Jeśli nie ma
dostępne sloty na pokładzie, a następnie jest to zgłaszane użytkownikowi. Zasięg jest skutecznie
zostanie utracone, chyba że zostanie ręcznie scalone z zakresem innego obiektu głównego.
Zakres DNA i wartości na pokładzie (następne) można zarządzać za pomocą dnarange-set i
Polecenia dnanextrange-set. Zasady zarządzania tymi zakresami to:
- Zakres musi być całkowicie zawarty w zakresie lokalnym zdefiniowanym przez IPA
Polecenie idrange.
- Zakres nie może nakładać się na zakres DNA lub zakres on-deck innego mastera IPA.
- Zakres nie może nakładać się na zakres identyfikatorów zaufania AD.
- Nie można usunąć podstawowego zakresu DNA.
- Zakres na pokładzie można usunąć, ustawiając go na 0-0. Założenie jest takie,
że zakres zostanie ręcznie przeniesiony lub scalony w innym miejscu.
Zakres i następny zakres konkretnego obiektu głównego można wyświetlić, przekazując jego pełną nazwę domeny.
przejdź do polecenia dnarange-show lub dnanextrange-show.
Wykonywanie zmian zakresu jako administrator delegowany (np. bez korzystania z katalogu)
Hasło menedżera) wymaga dodatkowych 389-ds ACI. Są one instalowane w uaktualnionych masterach
ale nie istniejących. Zmiany są dokonywane w cn=config, który nie jest replikowany.
w rezultacie zakresy DNA nie mogą być zarządzane na nieaktualizowanych masterach jako delegowane
administrator.
PRZYKŁADY
Wypisz wszystkie mastery:
# lista ipa-replica-manage
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Wyświetl umowy dotyczące replikacji serwera.
# lista ipa-replica-manage srv1.example.com
srv2.example.com
srv3.example.com
Ponownie zainicjuj replikę:
# ipa-replica-manage re-initialize --from srv2.example.com
Spowoduje to ponowne zainicjowanie danych na serwerze, na którym wykonujesz polecenie,
pobieranie danych z repliki srv2.example.com
Dodaj nową umowę replikacji:
# ipa-replica-manage połącz srv2.example.com srv4.example.com
Usuń istniejącą umowę replikacji:
# ipa-replica-manage rozłącz srv1.example.com srv3.example.com
Całkowite usunięcie repliki:
# ipa-replica-manage del srv4.example.com
Za pomocą funkcji łączenia/rozłączania można zarządzać topologią replikacji.
Wypisz używane identyfikatory replikacji:
# ipa-replica-zarządzanie listą-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
Usuń odwołania do osieroconego i usuniętego wzorca:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Tworzenie umowy synchronizacji usługi Windows AD jest podobne do tworzenia replikacji IPA
po zawarciu umowy, trzeba wykonać tylko kilka dodatkowych kroków.
Specjalny wpis użytkownika jest tworzony dla usługi PassSync. DN tego wpisu to
uid=passsync,cn=sysaccounts,cn=itp., . Nie musisz używać PassSync, aby korzystać z
Umowa synchronizacji systemu Windows, ale wymagane jest ustawienie hasła dla użytkownika.
W poniższych przykładach jako użytkownika synchronizacji użyto konta administratora AD.
nie jest obowiązkowe, ale użytkownik musi mieć dostęp do odczytu poddrzewa.
1. Przenieś zakodowany w formacie base64 certyfikat CA usługi Windows AD na serwer IPA
2. Usuń wszelkie istniejące dane uwierzytelniające Kerberos
# zniszcz
3. Dodaj umowę replikacji WinSync
# ipa-replica-manage połącz --winsync --passsync=
zostanie_użyty_do_umowy> --cacert=/ścieżka/do/adscacert/WIN-CA.cer --binddn
„cn=administrator,cn=użytkownicy,dc=ad,dc=przykład,dc=com” --bindpw
-w
Zostaniesz poproszony o podanie hasła Menedżera katalogów.
Utwórz umowę replikacji WinSync:
# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
„cn=administrator,cn=użytkownicy,dc=ad,dc=przykład,dc=com” --bindpw MySecret -v
windows.ad.przyklad.com
Usuń umowę replikacji WinSync:
# ipa-replica-manage rozłącz windows.ad.example.com
PASSSYNC
PassSync to usługa systemu Windows działająca na kontrolerach domeny usługi AD w celu przechwytywania haseł
zmiany. Wysyła te zmiany hasła do serwera IPA LDAP przez TLS. Te zmiany hasła
zmiany omijają normalne ustawienia zasad dotyczących haseł IPA, a hasło nie jest ustawione na
natychmiast wygasa. Dzieje się tak, ponieważ w momencie, gdy IPA otrzyma zmianę hasła,
zostało już zaakceptowane przez AD, więc jest za późno, żeby je odrzucić.
IPA utrzymuje listę DN, które są zwolnione z polityki haseł. Dodano specjalnego użytkownika
automatycznie, gdy zostanie utworzona umowa replikacji WinSync. DN tego użytkownika to
dodano do listy wyjątków przechowywanej w passSyncManagersDNs w wpisie
cn=ipa_pwd_extop,cn=wtyczki,cn=konfiguracja.
EXIT STATUS
0 jeśli komenda się powiodła
1 jeśli wystąpił błąd
Użyj ipa-replica-manage online za pomocą usług onworks.net
