Este é o comando ipa-replica-manage que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online Windows ou emulador online MAC OS
PROGRAMA:
NOME
ipa-replica-manage - Gerencia uma réplica IPA
SINOPSE
ipa-replica-gerenciar [OPÇÃO] ... [COMANDO]
DESCRIÇÃO
Gerencia os acordos de replicação de um servidor IPA.
Para gerenciar acordos de replicação IPA em um domínio no nível de domínio 1, use IPA CLI ou Web UI,
veja `topologia de ajuda ipa` para informações adicionais.
Os comandos disponíveis são:
connect [SERVER_A]
- Adiciona um novo acordo de replicação entre SERVER_A / localhost e SERVER_B. No
nível de domínio 1 aplicável apenas para contratos winsync.
desligar [SERVER_A]
- Remove um acordo de replicação entre SERVER_A / localhost e SERVER_B. No
nível de domínio 1 aplicável apenas para contratos winsync.
De
- Remove todos os acordos de replicação e dados sobre SERVER. No nível de domínio 1,
remove dados e acordos para ambos os sufixos - domínio e ca.
Lista [SERVIDOR]
- Lista todos os servidores ou a lista de acordos do SERVIDOR
reinicializar
- Força uma reinicialização completa do servidor IPA recuperando dados do servidor
especificado com a opção --from
forçar sincronização
- Libere imediatamente todos os dados a serem replicados de um servidor especificado com o
- da opção
lista-ruv
- Liste os IDs de replicação neste servidor.
limpo-ruv [REPLICATION_ID]
- Execute a tarefa CLEANALLRUV para remover um ID de replicação.
limpo-dangling-ruv
- Limpa todos os RUVs e CS-RUVs que ficam no sistema depois de desinstalados
réplicas.
abortar-limpar-ruv [REPLICATION_ID]
- Abortar uma tarefa CLEANALLRUV em execução. Com a opção --force a tarefa não espera por
todos os servidores de réplica enviaram a tarefa de abortar, ou estar online, antes
completando.
lista-limpa-ruv
- Liste todas as tarefas CLEANALLRUV em execução e aborte as tarefas CLEANALLRUV.
dnarange-show [SERVIDOR]
- Liste os intervalos de DNA
conjunto dnarange SERVIDOR INICIO FIM
- Defina o intervalo de DNA em um mestre
dnanextrange-show [SERVIDOR]
- Liste os próximos intervalos de DNA
conjunto dnanextrange SERVIDOR INICIO FIM
- Defina o próximo intervalo de DNA em um mestre
As opções de conexão e desconexão são usadas para gerenciar a topologia de replicação. Quando um
a réplica é criada, ela só é conectada ao mestre que a criou. A conexão
opção pode ser usada para conectá-lo a outras réplicas existentes.
A opção de desconexão não pode ser usada para remover o último link de uma réplica. Para remover um
réplica da topologia use a opção del.
Se uma réplica for excluída e, em seguida, adicionada novamente em um curto período de tempo, o 389-ds
instância no mestre que o criou deve ser reiniciado antes de reinstalar o
réplica. O mestre terá os antigos principais de serviço em cache, o que fará com que
replicação falhar.
Cada servidor mestre IPA possui um ID de replicação exclusivo. Este ID é usado por 389-ds-base quando
armazenar informações sobre o status de replicação. A saída consiste nos mestres e seus
respectivo ID de replicação. Ver limpo-ruv
Quando um mestre é removido, todos os outros mestres precisam remover seu ID de replicação do
lista de mestres. Normalmente, isso ocorre automaticamente quando um mestre é excluído com
ipa-replica-manage. Se um ou mais mestres estavam inativos ou inacessíveis quando ipa-replica-manage
foi executado, então este ID de réplica ainda pode existir. O comando clean-ruv pode ser usado para
limpe um ID de replicação não utilizado.
NOTA: clean-ruv é MUITO PERIGOSO. A execução contra o ID de replicação incorreto pode resultar
em dados inconsistentes nesse mestre. O mestre deve ser reinicializado de outro se
isto acontece.
A topologia de replicação é examinada quando um mestre é excluído e tentará impedir
um mestre de ser órfão. Por exemplo, se sua topologia é A <-> B <-> C e você
tentativa de excluir o mestre B irá falhar porque isso deixaria os mestres e A e C
órfão.
A lista de mestres é armazenada em cn = masters, cn = ipa, cn = etc, dc = example, dc = com. Isto deveria
ser limpo automaticamente quando um mestre é excluído. Se ocorrer que você excluiu
o mestre e todos os acordos, mas essas entradas ainda existem, então você não será capaz
para reinstalar o IPA nele, a instalação irá falhar com:
Um host mestre IPA não pode ser excluído ou desativado usando comandos padrão (host-del, para
exemplo).
Um mestre órfão pode ser limpo usando a diretiva del com a opção --cleanup.
Isso removerá as entradas de cn = masters, cn = ipa, cn = etc que, de outra forma, impedem o host-del
de funcionar, seu perfil de dna, configuração de s4u2proxy, princípios de serviço e removê-lo
a partir do defaultServerList do perfil DUA padrão.
OPÇÕES
-H HOST, --hospedeiro=HOST
O servidor IPA a ser gerenciado. O padrão é a máquina na qual o comando é executado
Não homenageado pelo comando de reinicialização.
-p DM_SENHA, --senha=DM_SENHA
A senha do Directory Manager a ser usada para autenticação
-v, --verbose
Forneça informações adicionais
-f, --força
Ignore alguns tipos de erros, não pergunte ao excluir um mestre
-c, --sem pesquisa
Não execute verificações de pesquisa de DNS.
-c, --limpar
Ao excluir um mestre com a sinalização --force, remova as referências restantes a um
já excluído mestre.
--bindn=ADMIN_DN
Vincular DN para usar com servidor remoto (o padrão é cn = Directory Manager) - Tenha cuidado para
cite este valor na linha de comando
--bindpw=ADMIN_PWD
Senha para Bind DN usar com servidor remoto (o padrão é DM_PASSWORD acima)
--winsync
Especifica a criação / uso de um Contrato de Sincronização do Windows
--cacert=/ path / to / cacertfile
Caminho completo e nome de arquivo do certificado CA para usar com TLS / SSL para o servidor remoto -
este certificado CA será instalado no certificado do servidor de diretório
banco de dados
--win-subárvore=cn = usuários, dc = exemplo, dc = com
DN da subárvore do Windows contendo os usuários que você deseja sincronizar (padrão
cn = usuários, - isso é normalmente o que o Windows AD usa como padrão
valor) - Tenha cuidado ao citar este valor na linha de comando
--passsync=PASSSYNC_PWD
Senha para o usuário do sistema IPA usada pelo plug-in Windows PassSync para sincronizar
senhas. Obrigatório ao usar --winsync. Isso não significa que você tem que usar o
Serviço PassSync.
--a partir de=SERVIDOR
O servidor de onde extrair os dados, usado pela reinicialização e sincronização forçada
comandos.
GAMAS
IPA usa o 389-ds Distributed Numeric Assignment (DNA) Plugin para alocar ids POSIX para
usuários e grupos. Um intervalo é criado quando o IPA é instalado e metade do intervalo é atribuído
ao primeiro mestre IPA para efeitos de atribuição.
Novos mestres IPA não recebem automaticamente uma atribuição de intervalo de DNA. Uma atribuição de alcance é
feito apenas quando um usuário ou grupo POSIX é adicionado a esse mestre.
O plug-in DNA também oferece suporte a uma configuração "no convés" ou próximo intervalo. Quando o principal
intervalo é exalado, em vez de ir a outro mestre para pedir mais, ele usará seu
intervalo no convés, se houver um definido. Cada mestre pode ter apenas um intervalo e um intervalo no convés
definiram.
Quando um mestre é removido, é feita uma tentativa de salvar sua (s) faixa (s) de DNA em outro mestre
em seu alcance no convés. O IPA não tentará estender ou mesclar intervalos. Se não houver
slots de intervalo disponíveis no convés, então isso é relatado ao usuário. O alcance é efetivamente
perdido, a menos que seja manualmente mesclado com o intervalo de outro mestre.
O intervalo de DNA e os valores no convés (próximo) podem ser gerenciados usando o conjunto dnarange e
Comandos dnanextrange-set. As regras para gerenciar esses intervalos são:
- O intervalo deve estar completamente contido em um intervalo local, conforme definido pelo ipa
comando idrange.
- O intervalo não pode se sobrepor ao intervalo de DNA ou intervalo no convés em outro mestre IPA.
- O intervalo não pode se sobrepor ao intervalo de ID de um AD Trust.
- O intervalo primário de DNA não pode ser removido.
- Um intervalo de alcance no deck pode ser removido definindo-o como 0-0. A suposição é
que o intervalo será movido manualmente ou mesclado em outro lugar.
O intervalo e o próximo intervalo de um mestre específico podem ser exibidos passando o FQDN daquele
mestre para o comando dnarange-show ou dnanextrange-show.
Executando mudanças de alcance como um administrador delegado (por exemplo, não usando o Diretório
Senha do gerente) requer ACIs 389-ds adicionais. Estes são instalados em mestres atualizados
mas não os existentes. As alterações são feitas em cn = config que não é replicado. o
resultado é que os intervalos de DNA não podem ser gerenciados em masters não atualizados como um delegado
administrador.
EXEMPLOS
Listar todos os mestres:
#ipa-replica-manage list
srv1.exemplo.com
srv2.exemplo.com
srv3.exemplo.com
srv4.exemplo.com
Liste os acordos de replicação de um servidor.
# ipa-replica-manage list srv1.example.com
srv2.exemplo.com
srv3.exemplo.com
Reinicialize uma réplica:
# ipa-replica-manage reinicializar --from srv2.example.com
Isso irá reinicializar os dados no servidor onde você executa o comando,
recuperar os dados da réplica srv2.example.com
Adicione um novo acordo de replicação:
# ipa-replica-manage conectar srv2.example.com srv4.example.com
Remova um acordo de replicação existente:
# ipa-replica-manage desconectar srv1.example.com srv3.example.com
Remova completamente uma réplica:
#ipa-replica-manage do srv4.example.com
Usando conectar / desconectar, você pode gerenciar a topologia de replicação.
Liste os IDs de replicação em uso:
# ipa-replica-manage list-ruv
srv1.exemplo.com:389:7
srv2.exemplo.com:389:4
Remova as referências a um mestre órfão e excluído:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Criar um acordo de sincronização do Windows AD é semelhante a criar uma replicação IPA
acordo, há apenas algumas etapas extras.
Uma entrada de usuário especial é criada para o serviço PassSync. O DN desta entrada é
uid = passsync, cn = sysaccounts, cn = etc, . Você não é obrigado a usar PassSync para usar um
Acordo de sincronização do Windows, mas é necessário definir uma senha para o usuário.
Os exemplos a seguir usam a conta de administrador do AD como o usuário de sincronização. Esse
não é obrigatório, mas o usuário deve ter acesso de leitura à subárvore.
1. Transfira o certificado Windows AD CA codificado em base64 para o seu servidor IPA
2. Remova todas as credenciais Kerberos existentes
#kdestroy
3. Adicione o acordo de replicação do winsync
# ipa-replica-manage connect --winsync --passsync =
will_be_used_for_agreement> --cacert = / path / to / adscacert / WIN-CA.cer --binddn
"cn = administrador, cn = usuários, dc = ad, dc = exemplo, dc = com" --bindpw
-v
Você será solicitado a fornecer a senha do Directory Manager.
Crie um acordo de replicação winsync:
# ipa-replica-manage connect --winsync --passsync = MySecret
--cacert = / root / WIN-CA.cer --binddn
"cn = administrador, cn = usuários, dc = ad, dc = exemplo, dc = com" --bindpw MySecret -v
windows.ad.example.com
Remova um acordo de replicação winsync:
# ipa-replica-manage desconectar windows.ad.example.com
SENHA
PassSync é um serviço do Windows executado em controladores de domínio AD para interceptar senhas
alterar. Ele envia essas alterações de senha ao servidor IPA LDAP por TLS. Essas senhas
as alterações ignoram as configurações normais de política de senha IPA e a senha não é definida para
expira imediatamente. Isso ocorre porque, no momento em que o IPA recebe a alteração de senha, ele
já foi aceito pelo AD, então é tarde demais para rejeitá-lo.
O IPA mantém uma lista de DNs isentos da política de senha. Um usuário especial é adicionado
automaticamente quando um acordo de replicação winsync é criado. O DN deste usuário é
adicionado à lista de isenção armazenada em passSyncManagersDNs na entrada
cn = ipa_pwd_extop, cn = plugins, cn = config.
SAIR STATUS
0 se o comando foi bem sucedido
1 se ocorreu um erro
Use ipa-replica-manage online usando serviços onworks.net
