Este é o comando ipa-adtrust-install que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online Windows ou emulador online MAC OS
PROGRAMA:
NOME
ipa-adtrust-install - Prepare um servidor IPA para poder estabelecer relações de confiança
com domínios AD
SINOPSE
ipa-adtrust-instalar [OPÇÃO] ...
DESCRIÇÃO
Adiciona todos os objetos e configurações necessários para permitir que um servidor IPA crie um trust para
um domínio do Active Directory. Isso requer que o servidor IPA já esteja instalado e
configurado.
Observe que você não será capaz de estabelecer uma relação de confiança para um domínio do Active Directory
a menos que o nome do domínio do servidor IPA corresponda ao seu nome de domínio.
ipa-adtrust-install pode ser executado várias vezes para reinstalar objetos excluídos ou quebrados
arquivos de configuração. Por exemplo, uma nova configuração do samba (arquivo smb.conf e com base no registro
configuração pode ser criada. Outros itens como, por exemplo, a configuração do intervalo local
não pode ser alterado executando ipa-adtrust-install uma segunda vez porque com alterações aqui
outros objetos também podem ser afetados.
firewall Requisitos
Além dos requisitos de firewall do servidor IPA, ipa-adtrust-install requer o
as seguintes portas devem ser abertas para permitir que o IPA e o Active Directory se comuniquem:
TCP Portas
· 135 / tcp EPMAP
· 138 / tcp NetBIOS-DGM
· 139 / tcp NetBIOS-SSN
· 445 / tcp Microsoft-DS
· 1024 / tcp a 1300 / tcp para permitir EPMAP na porta 135 / tcp para criar um ouvinte TCP
com base em uma solicitação recebida.
UDP Portas
· 138 / udp NetBIOS-DGM
· 139 / udp NetBIOS-SSN
· 389 / udp LDAP
OPÇÕES
-d, --depurar
Habilite o registro de depuração quando uma saída mais detalhada for necessária
--netbios-nome=NETBIOS_NAME
O nome NetBIOS para o domínio IPA. Se não for fornecido, será determinado com base
no componente principal do nome de domínio DNS. Executando ipa-adtrust-install para um
uma segunda vez com um nome NetBIOS diferente irá alterar o nome. Por favor, note que
alterar o nome NetBIOS pode quebrar as relações de confiança existentes com outros
domínios.
--no-msdcs
Não crie registros de serviço DNS para Windows no servidor DNS gerenciado. Desde aqueles
Os registros do serviço DNS são a única maneira de descobrir controladores de domínio de outros
domínios, eles devem ser adicionados manualmente a um servidor DNS diferente para permitir a confiança
os relacionamentos funcionam corretamente. Todos os registros de serviço necessários são listados quando
ipa-adtrust-install termina e --no-msdcs foi fornecido ou nenhum serviço IPA DNS
está configurado. Normalmente, são necessários registros de serviço para os seguintes nomes de serviço
para o domínio IPA que deve apontar para todos os servidores IPA:
· _Ldap._tcp
· _Kerberos._tcp
· _Kerberos._udp
· _Ldap._tcp.dc._msdcs
· _Kerberos._tcp.dc._msdcs
· _Kerberos._udp.dc._msdcs
· _Ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sids
Adicionar SIDs a usuários e grupos existentes a partir das etapas finais do
ipa-adtrust-install run. Se houver muitos usuários e grupos existentes e alguns
réplicas no ambiente, esta operação pode levar a um alto tráfego de replicação
e uma degradação do desempenho de todos os servidores IPA no ambiente. Para evitar isso
a geração SID pode ser executada após ipa-adtrust-install ser executado e agendado
independentemente. Para iniciar esta tarefa, você deve carregar uma versão editada do ipa-sidgen-
task-run.ldif com o comando ldapmodify informa o servidor de diretório.
--add-agentes
Adicionar mestres IPA à lista que permite fornecer informações sobre usuários de
florestas confiáveis. A partir do FreeIPA 4.2, um mestre IPA regular pode fornecer este
informações para clientes SSSD. Os mestres IPA não são adicionados à lista automaticamente como
é necessário reiniciar o serviço LDAP em cada um deles. O anfitrião onde
ipa-adtrust-install está sendo executado é adicionado automaticamente.
Observe que os mestres IPA onde ipa-adtrust-install não foi executado podem fornecer informações
sobre usuários de florestas confiáveis apenas se eles estiverem habilitados via ipa-adtrust-install
executado em qualquer outro mestre IPA. É necessário pelo menos SSSD versão 1.13 no mestre IPA
para ser capaz de atuar como um agente de confiança.
-U, - sem supervisão
Uma instalação autônoma que nunca solicitará a entrada do usuário
-U, --rid-base=RID_BASE
Primeiro valor RID do domínio local. O primeiro Posix ID do domínio local será
atribuído a este RID, o segundo a RID + 1 etc. Consulte a ajuda online do idrange
CLI para detalhes.
-U, --secundário-rid-base=SECUNDÁRIO_RID_BASE
Valor inicial do intervalo RID secundário, que só é usado no caso de um usuário e um
grupo compartilha numericamente o mesmo Posix ID. Veja a ajuda online do idrange CLI
para obter detalhes.
-A, --nome-admin=ADMIN_NAME
O nome do usuário com privilégios administrativos para este servidor IPA. Padrões
para 'admin'.
-a, --senha do administrador=senha
A senha do usuário com privilégios administrativos para este servidor IPA. Vai
ser questionado interativamente se -U não é especificado.
As credenciais do usuário administrador serão usadas para obter o tíquete Kerberos antes
configurar o suporte de relações de confiança entre domínios e, posteriormente, para garantir que o tíquete contenha
Informações do MS-PAC necessárias para realmente adicionar um trust com o domínio do Active Directory via 'ipa
comando trust-add --type = ad '.
--enable-compat
Ativa o suporte para usuários de domínios confiáveis para clientes antigos por meio do Schema
Plug-in de compatibilidade. SSSD oferece suporte nativo a domínios confiáveis, começando com a versão
1.9. Para plataformas que não possuem SSSD ou executam uma versão SSSD mais antiga, é necessário usar este
opção. Quando habilitado, o pacote slapi-nis precisa ser instalado e
schema-compat-plugin será configurado para fornecer pesquisa de usuários e grupos de
domínios confiáveis via SSSD no servidor IPA. Esses usuários e grupos estarão disponíveis
para cn = usuários, cn = compat, $ SUFFIX e cn = grupos, cn = compat, $ SUFFIX árvores. SSSD irá
normalizar nomes de usuários e grupos para minúsculas.
Além de fornecer esses usuários e grupos por meio da árvore compat, este
opção ativa a autenticação sobre LDAP para usuários de domínio confiável com DN sob
árvore compat, ou seja, usando o DN de ligação
uid =[email protegido], cn = usuários, cn = compat, $ SUFFIX.
A autenticação LDAP realizada pela árvore compat é feita via PAM 'autenticação do sistema'
serviço. Este serviço existe por padrão em sistemas Linux e é fornecido por pam
pacote como /etc/pam.d/system-auth. Se sua instalação IPA não tiver HBAC padrão
regra 'allow_all' habilitada, então certifique-se de definir no serviço especial IPA chamado
'autenticação do sistema'e criar uma regra HBAC para permitir o acesso a qualquer pessoa a esta regra no IPA
mestres.
Como 'autenticação do sistema'O serviço PAM não é usado diretamente por qualquer outro aplicativo, é
seguro para usá-lo para usuários de domínio confiável por meio do caminho de compatibilidade.
SAIR STATUS
0 se a instalação foi bem sucedida
1 se ocorreu um erro
Use ipa-adtrust-install online usando serviços onworks.net
