InglêsFrancêsEspanhol

Executar servidores | Ubuntu > | Fedora > |


favicon do OnWorks

ipa-client-install - Online na nuvem

Execute ipa-client-install no provedor de hospedagem gratuita OnWorks no Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS

Este é o comando ipa-client-install que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS

PROGRAMA:

NOME


ipa-client-install - Configurar um cliente IPA

SINOPSE


ipa-cliente-instalar [OPÇÃO] ...

DESCRIÇÃO


Configura uma máquina cliente para usar IPA para autenticação e serviços de identidade.

Por padrão, isso configura o SSSD para se conectar a um servidor IPA para autenticação e
autorização. Opcionalmente, pode-se configurar o PAM e o NSS (serviço de troca de nomes)
para trabalhar com um servidor IPA sobre Kerberos e LDAP.

Um usuário autorizado é necessário para ingressar em uma máquina cliente para IPA. Isso pode assumir a forma de
um Kerberos principal ou uma senha descartável associada à máquina.

Esta mesma ferramenta é usada para desconfigurar o IPA e tenta retornar a máquina ao seu
estado anterior. Parte desse processo é cancelar o registro do host do servidor IPA.
O cancelamento da inscrição consiste em desabilitar a chave principal no servidor IPA para que seja
reinscrito. O principal da máquina em /etc/krb5.keytab (host / @REALM) é usado para
autentique-se no servidor IPA para cancelar a inscrição. Se este principal não existir, então
o cancelamento da inscrição falhará e um administrador precisará desabilitar o host principal (ipa
desativar host )

Pressupostos
O script ipa-client-install assume que a máquina já gerou chaves SSH. Isto
não gerará chaves SSH por conta própria. Se as chaves SSH não estiverem presentes (por exemplo, quando
executando o ipa-client-install em um kickstart, antes mesmo de executar o sshd), eles não serão
carregado para a entrada de host do cliente no servidor.

hostname Requisitos
O cliente deve usar um estático hostname. Se o nome do host da máquina mudar, por exemplo, devido a um
atribuição de nome de host dinâmico por um servidor DHCP, inscrição de cliente para quebras de servidor IPA e
o usuário não conseguirá realizar a autenticação Kerberos.

A opção --hostname pode ser usada para especificar um nome de host estático que persiste durante a reinicialização.

DNS Descoberta automática
O instalador do cliente, por padrão, tenta pesquisar _ldap._tcp.DOMAIN registros SRV de DNS para todos
domínios que são pais de seu nome de host. Por exemplo, se uma máquina cliente tem um nome de host
'client1.lab.example.com', o instalador tentará recuperar um nome de host do servidor IPA de
_ldap._tcp.lab.example.com, _ldap._tcp.example.com e _ldap._tcp.com registros DNS SRV,
respectivamente. O domínio descoberto é então usado para configurar os componentes do cliente (por exemplo, SSSD
e configuração Kerberos 5) na máquina.

Quando o nome do host da máquina cliente não está em um subdomínio de um servidor IPA, seu domínio pode ser
aprovado com a opção --domain. Nesse caso, os componentes SSSD e Kerberos têm o
domínio definido nos arquivos de configuração e o usará para descobrir automaticamente os servidores IPA.

A máquina cliente também pode ser configurada sem nenhuma autodiscovery de DNS. Quando ambos
As opções --server e --domain são usadas, o instalador do cliente usará o servidor especificado e
domínio diretamente. A opção --server aceita vários nomes de host de servidor que podem ser usados ​​para
mecanismo de failover. Sem a descoberta automática de DNS, o Kerberos é configurado com uma lista fixa de
Servidores KDC e Admin. SSSD ainda está configurado para tentar ler SRV do domínio
registros ou a lista fixa de servidores especificada. Quando a opção --fixed-primary é especificada,
O SSSD não tentará ler o registro SRV do DNS (consulte sssd-ipa(5) para detalhes).

A Failover Mecanismo
Quando alguns dos servidores IPA não estão disponíveis, os componentes do cliente podem fazer fallback para
outra réplica IPA, preservando assim um serviço continuado. Quando a máquina cliente é
configurado para usar a descoberta automática de registro SRV de DNS (nenhum servidor fixo foi passado para o
instalador), os componentes do cliente fazem o fallback automaticamente, com base no servidor IPA
nomes de host e prioridades descobertos nos registros SRV do DNS.

Se a descoberta automática de DNS não estiver disponível, os clientes devem ser configurados pelo menos com um
lista de servidores IPA que podem ser usados ​​em caso de falha. Quando apenas um servidor IPA é
configurados, os serviços do cliente IPA não estarão disponíveis em caso de falha do IPA
servidor. Observe que, no caso de uma lista fixa de servidores IPA, a lista de servidores fixos
nos componentes do cliente precisam ser atualizados quando um novo servidor IPA é registrado ou um IPA atual
o servidor foi desativado.

Coexistência Com Outros Diretório servidores
Outros servidores de diretório implantados na rede (por exemplo, Microsoft Active Directory) podem usar
os mesmos registros SRV do DNS para denotar hosts com um serviço de diretório (_ldap._tcp.DOMAIN).
Esses registros DNS SRV podem interromper a instalação se o instalador descobrir esses DNS
registros antes de encontrar registros SRV DNS apontando para servidores IPA. O instalador então
falha ao descobrir o servidor IPA e sai com erro.

Para evitar os problemas de autodiscovery de DNS mencionados anteriormente, o nome de host da máquina cliente
deve estar em um domínio com registros SRV de DNS devidamente definidos apontando para servidores IPA,
manualmente com um servidor DNS personalizado ou com solução integrada IPA DNS. Um segundo
abordagem seria evitar a descoberta automática e configurar o instalador para usar uma lista fixa
de nomes de host de servidor IPA usando a opção --server e com uma opção --fixed-primary
desabilitando a autodiscovery de registro SRV de DNS em SSSD.

Re inscrição of do hospedeiro
Requisitos:

1. O host não foi desinscrito (o comando ipa-client-install --uninstall não foi
corre).
2. A entrada do host não foi desabilitada por meio do comando ipa host-disable.

Se for esse o caso, o host pode ser reinscrito usando os métodos usuais.

Existem dois métodos de autenticação de uma nova inscrição:

1. Você pode usar a opção --force-join com o comando ipa-client-install. Isso autentica o
reinscrição usando as credenciais do administrador fornecidas por meio da opção -w / - senha.
2. Se fornecer a senha do administrador através da linha de comando não for uma opção (por exemplo, você deseja
para criar um script para reinscrever um host e manter a senha do administrador segura), você pode usar
keytab com backup da inscrição anterior deste host para autenticação. Veja --keytab
opção.

Consequências da reinscrição na entrada do host:

1. Um novo certificado de host é emitido
2. O certificado de host antigo foi revogado
3. Novas chaves SSH são geradas
4. ipaUniqueID é preservado

OPÇÕES


BASIC OPÇÕES
--domínio=DOMÍNIO
Defina o nome de domínio para DOMAIN. Quando nenhuma opção --server é especificada, o instalador
tentará descobrir todos os servidores disponíveis através da autodescoberta do registro DNS SRV (veja
Seção DNS Autodiscovery para obter detalhes).

--servidor=SERVIDOR
Defina o servidor IPA ao qual se conectar. Pode ser especificado várias vezes para adicionar vários
servidores para o valor ipa_server em sssd.conf ou krb5.conf. Apenas o primeiro valor é
considerado quando usado com --no-sssd. Quando esta opção é usada, autodiscovery DNS
para Kerberos está desabilitado e uma lista fixa de servidores KDC e Admin é configurada.

--Reino=REALM_NAME
Defina o nome do domínio IPA como REALM_NAME. Em circunstâncias normais, esta opção é
não é necessário, pois o nome do domínio é recuperado do servidor IPA.

--fixo-primário
Configure o SSSD para usar um servidor fixo como o servidor IPA primário. O padrão é
usar os registros SRV do DNS para determinar o servidor primário a ser usado e recorrer ao
servidor no qual o cliente está inscrito. Quando usado em conjunto com --server, não
O valor _srv_ é definido na opção ipa_server em sssd.conf.

-p, --diretor
Principal kerberos autorizado a ser usado para ingressar no domínio IPA.

-w SENHA, --senha=SENHA
Senha para ingressar em uma máquina no domínio IPA. Assume a senha em massa, a menos que
principal também é definido.

-W Solicita a senha para ingressar em uma máquina no domínio IPA.

-k, --keytab
Caminho para o keytab do host com backup da inscrição anterior. Junta-se ao anfitrião mesmo que
já está inscrito.

--mkhomedir
Configure o PAM para criar um diretório inicial de usuários, se ele não existir.

--nome de anfitrião
O nome do host desta máquina (FQDN). Se especificado, o nome do host será definido e o
a configuração do sistema será atualizada para persistir durante a reinicialização. Por padrão, um nome de nó
resultado de uname(2) é usado.

--force-join
Junte-se ao anfitrião, mesmo que já esteja inscrito.

--servidor ntp=NTP_SERVER
Configure o ntpd para usar este servidor NTP. Esta opção pode ser usada várias vezes.

-N, --no-ntp
Não configure ou habilite o NTP.

--force-ntpd
Pare e desative todos os serviços de sincronização de data e hora além do ntpd.

--nisdomain=NIS_DOMAIN
Defina o nome de domínio NIS conforme especificado. Por padrão, isso é definido para o domínio IPA
nome.

--no-nisdomain
Não configure o nome de domínio NIS.

--ssh-trust-dns
Configure o cliente OpenSSH para confiar em registros SSHFP de DNS.

--no-ssh
Não configure o cliente OpenSSH.

--no-sshd
Não configure o servidor OpenSSH.

--no-sudo
Não configure o SSSD como uma fonte de dados para sudo.

--no-dns-sshfp
Não crie registros SSHFP de DNS automaticamente.

--noac Não use Authconfig para modificar a configuração nsswitch.conf e PAM.

-f, --força
Força as configurações mesmo se ocorrerem erros

--kinit-tentativas=KINIT_ATTEMPTS
Em caso de KDC sem resposta (por exemplo, ao registrar vários hosts de uma vez em um
ambiente de carga) repita a solicitação de tíquete Kerberos de host até um número total
of KINIT_ATTEMPTS vezes antes de desistir e abortar a instalação do cliente. Predefinição
o número de tentativas é 5. A solicitação não é repetida quando há um problema com
próprias credenciais do host (por exemplo, formato de keytab incorreto ou principal inválido), portanto
usar esta opção não levará a bloqueios de conta.

-d, --depurar
Imprimir informações de depuração para stdout

-U, - sem supervisão
Instalação autônoma. O usuário não será solicitado.

--ca-cert-file=CA_FILE
Não tente adquirir o certificado CA IPA por meios automatizados, em vez disso, use
o certificado CA encontrado localmente em CA_FILE. o CA_FILE deve ser um absoluto
caminho para um arquivo de certificado formatado PEM. O certificado CA encontrado em CA_FILE is
considerado autoritativo e será instalado sem verificar se é
válido para o domínio IPA.

--request-cert
Solicite certificado para a máquina. O certificado será armazenado em
/ etc / ipa / nssdb com o apelido "host IPA local".

--automount-location=LOCALIZAÇÃO
Configure a montagem automática executando ipa-client-automount(1) com LOCALIZAÇÃO como montagem automática
localização.

--configure-firefox
Configure o Firefox para usar credenciais de domínio IPA.

--firefox-dir=DIR
Especifique o diretório de instalação do Firefox. Por exemplo: '/ usr / lib / firefox'

--endereço de IP=ENDEREÇO ​​DE IP
Utilize ENDEREÇO ​​DE IP no registro DNS A / AAAA para este host. Pode ser especificado várias vezes
para adicionar vários registros DNS.

- todos os endereços IP
Crie um registro DNS A / AAAA para cada endereço IP neste host.

SSSD OPÇÕES
--permitir
Configure o SSSD para permitir todo o acesso. Caso contrário, a máquina será controlada por
os Host-Based Access Controls (HBAC) no servidor IPA.

--enable-dns-updates
Esta opção diz ao SSSD para atualizar automaticamente o DNS com o endereço IP deste
cliente.

--no-krb5-offline-passwords
Configure o SSSD para não armazenar a senha do usuário quando o servidor estiver offline.

-S, --não-sssd
Não configure o cliente para usar SSSD para autenticação, use nss_ldap em vez disso.

--preserve-sssd
Desativado por padrão. Quando ativado, preserva a configuração SSSD antiga se não for
possível mesclá-lo com um novo. Efetivamente, se a fusão não for possível devido
ao leitor SSSDConfig encontrando opções não suportadas, ipa-client-install não vou
execute mais e peça para corrigir a configuração SSSD primeiro. Quando esta opção não é especificada,
ipa-client-install fará backup da configuração do SSSD e criará um novo. A versão de backup
será restaurado durante a desinstalação.

DESINSTALAR OPÇÕES
--Desinstalar
Remova o software cliente IPA e restaure a configuração para o estado pré-IPA.

-U, - sem supervisão
Desinstalação autônoma. O usuário não será solicitado.

Use ipa-client-install online usando serviços onworks.net


Ad


Ad