EnglezăFrancezăSpaniolă

Ubuntu | Fedora | VPN | File sharing

Ad


Favicon OnWorks

ipa-client-install - Online în cloud

Rulați ipa-client-install în furnizorul de găzduire gratuit OnWorks prin Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

Aceasta este comanda ipa-client-install care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS

PROGRAM:

NUME


ipa-client-install - Configurați un client IPA

REZUMAT


ipa-client-install [OPȚIUNE] ...

DESCRIERE


Configurați o mașină client pentru a utiliza IPA pentru servicii de autentificare și identitate.

În mod implicit, acesta configurează SSSD să se conecteze la un server IPA pentru autentificare și
autorizare. Opțional, se poate configura PAM și NSS (Serviciul de comutare de nume)
pentru a lucra cu un server IPA prin Kerberos și LDAP.

Un utilizator autorizat trebuie să se alăture unui computer client la IPA. Aceasta poate lua forma
un principal kerberos sau o parolă unică asociată cu mașina.

Același instrument este folosit pentru a deconfigura IPA și încearcă să readucă mașina la locul său
starea anterioară. O parte a acestui proces este anularea înscrierii gazdei de pe serverul IPA.
Anularea constă în dezactivarea cheii principale de pe serverul IPA, astfel încât să fie
reînscris. Principalul mașină în /etc/krb5.keytab (gazdă/ @REALM) este obișnuit
autentificați-vă la serverul IPA pentru a se anula înscrierea. Dacă acest principal nu există atunci
anularea înscrierii va eșua și un administrator va trebui să dezactiveze principalul gazdă (ipa
gazdă-dezactivare ).

Presupuneri
Scriptul ipa-client-install presupune că mașina a generat deja chei SSH. Aceasta
nu va genera chei SSH de la sine. Dacă cheile SSH nu sunt prezente (de exemplu, când
rulează ipa-client-install într-un kickstart, înainte de a rula sshd), acestea nu vor fi
încărcat la intrarea gazdă client de pe server.

Nume de gazdă Cerinţe
Clientul trebuie să folosească a static nume de gazdă. Dacă numele de gazdă al mașinii se schimbă, de exemplu, din cauza a
atribuirea dinamică a numelui de gazdă de către un server DHCP, înregistrarea clientului la serverul IPA întrerupe și
atunci utilizatorul nu ar putea efectua autentificarea Kerberos.

Opțiunea --hostname poate fi utilizată pentru a specifica un nume de gazdă static care persistă la repornire.

DNS Descoperire automată
Instalatorul client în mod implicit încearcă să caute înregistrările SRV DNS _ldap._tcp.DOMAIN pentru toate
domenii care sunt părinte pentru numele său de gazdă. De exemplu, dacă o mașină client are un nume de gazdă
„client1.lab.example.com”, programul de instalare va încerca să recupereze un nume de gazdă a serverului IPA de la
Înregistrări DNS SRV _ldap._tcp.lab.example.com, _ldap._tcp.example.com și _ldap._tcp.com,
respectiv. Domeniul descoperit este apoi utilizat pentru a configura componentele client (de ex. SSSD
și configurația Kerberos 5) pe mașină.

Când numele de gazdă al mașinii client nu se află într-un subdomeniu al unui server IPA, domeniul său poate fi
transmis cu opțiunea --domain. În acest caz, atât componentele SSSD, cât și Kerberos au
domeniu setat în fișierele de configurare și îl va folosi pentru a descoperi automat serverele IPA.

Mașina client poate fi configurată și fără o descoperire automată DNS. Când amândoi
Sunt utilizate opțiunile --server și --domain, instalatorul client va folosi serverul specificat și
domeniul direct. Opțiunea --server acceptă mai multe nume de gazdă de server pentru care pot fi folosite
mecanism de failover. Fără descoperire automată DNS, Kerberos este configurat cu o listă fixă ​​de
Servere KDC și Admin. SSSD este încă configurat să încerce fie să citească SRV-ul domeniului
înregistrări sau lista fixă ​​specificată de servere. Când este specificată opțiunea --fixed-primary,
SSSD nu va încerca deloc să citească înregistrarea DNS SRV (vezi sssd-ipa(5) pentru detalii).

Failover Mecanism
Când unele dintre serverele IPA nu sunt disponibile, componentele client pot reveni la
altă replică IPA și păstrând astfel un serviciu continuu. Când mașina client este
configurat să utilizeze descoperirea automată a înregistrărilor DNS SRV (niciun server fix nu a fost transmis către
instalator), componentele client efectuează retragerea automată, pe baza serverului IPA
nume de gazdă și priorități descoperite din înregistrările DNS SRV.

Dacă descoperirea automată DNS nu este disponibilă, clienții ar trebui să fie configurați cel puțin cu o soluție fixă
lista de servere IPA care pot fi utilizate în caz de defecțiune. Când un singur server IPA este
configurate, serviciile client IPA nu vor fi disponibile în cazul unei defecțiuni a IPA
Server. Vă rugăm să rețineți că, în cazul unei liste fixe de servere IPA, listele de servere fixe
componentele clientului trebuie actualizate atunci când este înregistrat un nou server IPA sau un IPA actual
serverul este dezafectat.

Coexistență cu Altele director Servere
Alte servere de directoare implementate în rețea (de ex. Microsoft Active Directory) pot folosi
aceleași înregistrări DNS SRV pentru a desemna gazde cu un serviciu de director (_ldap._tcp.DOMAIN).
Astfel de înregistrări DNS SRV pot întrerupe instalarea dacă instalatorul descoperă aceste DNS
înregistrează înainte de a găsi înregistrări DNS SRV care indică către servere IPA. Instalatorul ar fi atunci
nu reușesc să descopere serverul IPA și să iasă cu eroare.

Pentru a evita problemele de autodescoperire DNS menționate mai sus, numele de gazdă a mașinii client
ar trebui să fie într-un domeniu cu înregistrări DNS SRV definite corespunzător, care să indice servere IPA,
fie manual cu un server DNS personalizat, fie cu soluție integrată IPA DNS. O secunda
abordarea ar fi evitarea descoperirii automate și configurarea programului de instalare să utilizeze o listă fixă
de nume de gazdă a serverului IPA folosind opțiunea --server și cu o opțiune --fixed-primary
dezactivarea descoperirii automate a înregistrărilor DNS SRV în SSSD.

Reînscriere of il gazdă
Cerinte:

1. Gazda nu a fost dezactivată (comanda ipa-client-install --uninstall nu a fost
alerga).
2. Intrarea gazdă nu a fost dezactivată prin comanda ipa host-disable.

Dacă acesta a fost cazul, gazda poate fi reînscrisă folosind metodele obișnuite.

Există două metode de autentificare a unei reînregistrări:

1. Puteți utiliza opțiunea --force-join cu comanda ipa-client-install. Acest lucru autentifică
reînregistrare folosind datele de conectare ale administratorului furnizate prin opțiunea -w/--parolă.
2. Dacă furnizarea parolei administratorului prin linia de comandă nu este o opțiune (de exemplu, doriți
pentru a crea un script pentru a reînregistra o gazdă și pentru a păstra parola administratorului în siguranță), puteți utiliza
a făcut o copie de rezervă a tastelor de la înregistrarea anterioară a acestei gazde pentru a se autentifica. Vezi --keytab
opțiune.

Consecințele reînscrierii asupra înscrierii gazdă:

1. Este emis un nou certificat de gazdă
2. Vechiul certificat de gazdă este revocat
3. Sunt generate chei SSH noi
4. ipaUniqueID este păstrat

OPŢIUNI


BASIC OPŢIUNI
--domeniu=DOMENIUL
Setați numele domeniului la DOMAIN. Când nu este specificată nicio opțiune --server, programul de instalare
va încerca să descopere toate serverele disponibile prin descoperirea automată a înregistrărilor DNS SRV (vezi
Secțiunea Descoperire automată DNS pentru detalii).

--Server=SERVER
Setați serverul IPA la care să vă conectați. Poate fi specificat de mai multe ori pentru a adăuga mai multe
servere la valoarea ipa_server în sssd.conf sau krb5.conf. Doar prima valoare este
luat în considerare atunci când este utilizat cu --no-sssd. Când se utilizează această opțiune, descoperirea automată a DNS
pentru Kerberos este dezactivată și este configurată o listă fixă ​​de servere KDC și Admin.

--tărâmul=REALM_NAME
Setați numele domeniului IPA la REALM_NAME. În circumstanțe normale, această opțiune este
nu este necesar deoarece numele domeniului este preluat de pe serverul IPA.

--fix-primar
Configurați SSSD pentru a utiliza un server fix ca server IPA principal. Valoarea implicită este să
utilizați înregistrările DNS SRV pentru a determina serverul principal de utilizat și reveniți la
serverul cu care este înscris clientul. Când este utilizat împreună cu --server, atunci nu
Valoarea _srv_ este setată în opțiunea ipa_server din sssd.conf.

-p, --principal
Principalul Kerberos autorizat pentru a se alătura domeniului IPA.

-w PAROLA, --parola=PAROLA
Parola pentru alăturarea unei mașini la domeniul IPA. Presupune parola în bloc, cu excepția cazului în care
principalul este de asemenea stabilit.

-W Solicitați parola pentru conectarea unei mașini la domeniul IPA.

-k, --keytab
Calea către tasta de taste pentru gazdă pentru care a făcut backup de la înregistrarea anterioară. Se alătură gazdei chiar dacă aceasta
este deja înscris.

--mkhomedir
Configurați PAM pentru a crea un director principal al utilizatorilor dacă acesta nu există.

--hostname
Numele de gazdă al acestei mașini (FQDN). Dacă este specificat, numele de gazdă va fi setat și
configurația sistemului va fi actualizată pentru a persista la repornire. În mod implicit, un nume de nod
rezultatele de la uname(2) este utilizat.

--forța-ună
Alăturați-vă gazdei chiar dacă este deja înscrisă.

--ntp-server=NTP_SERVER
Configurați ntpd pentru a utiliza acest server NTP. Această opțiune poate fi folosită de mai multe ori.

-N, --nu-ntp
Nu configurați și nu activați NTP.

--force-ntpd
Opriți și dezactivați orice serviciu de sincronizare oră și dată în afară de ntpd.

--nisdomeniu=NIS_DOMAIN
Setați numele de domeniu NIS așa cum este specificat. În mod implicit, acesta este setat la domeniul IPA
nume.

--no-nisdomeniu
Nu configurați numele de domeniu NIS.

--ssh-trust-dns
Configurați clientul OpenSSH pentru a avea încredere în înregistrările DNS SSHFP.

--nu-ssh
Nu configurați clientul OpenSSH.

--no-sshd
Nu configurați serverul OpenSSH.

--no-sudo
Nu configurați SSSD ca sursă de date pentru sudo.

--no-dns-sshfp
Nu creați automat înregistrări DNS SSHFP.

--noac Nu utilizați Authconfig pentru a modifica configurația nsswitch.conf și PAM.

-f, --forta
Forțați setările chiar dacă apar erori

--kinit-tentative=KINIT_ATTEMPTS
În cazul în care KDC nu răspunde (de exemplu, atunci când înregistrați mai multe gazde simultan într-un program greu
încărcare mediu) repetați cererea de bilet Kerberos gazdă până la un număr total
of KINIT_ATTEMPTS de ori înainte de a renunța și de a anula instalarea clientului. Mod implicit
numărul de încercări este 5. Solicitarea nu se repetă atunci când există o problemă cu
acreditările gazdă în sine (de exemplu, format greșit de tablă de chei sau principal invalid), așa că
utilizarea acestei opțiuni nu va duce la blocarea contului.

-d, --depanare
Imprimați informațiile de depanare în stdout

-U, --nesupravegheat
Instalare nesupravegheată. Utilizatorul nu va fi solicitat.

--ca-cert-file=CA_FILE
Nu încercați să obțineți certificatul IPA CA prin mijloace automate, ci folosiți
certificatul CA găsit local în în CA_FILE. CA_FILE trebuie să fie un absolut
calea către un fișier de certificat formatat PEM. Certificatul CA găsit în CA_FILE is
considerat autorizat și va fi instalat fără a verifica pentru a vedea dacă este
valabil pentru domeniul IPA.

--cerere-cert
Solicitați certificat pentru mașină. Certificatul va fi stocat în
/etc/ipa/nssdb sub porecla „Gazdă IPA locală”.

--automount-location=LOCAȚIE
Configurați montarea automată rulând ipa-client-automount(1) cu LOCAȚIE ca montare automată
locație.

--configure-firefox
Configurați Firefox pentru a utiliza acreditările de domeniu IPA.

--firefox-dir=DIR
Specificați directorul de instalare Firefox. De exemplu: „/usr/lib/firefox”

--adresa IP=ADRESA IP
Utilizare ADRESA IP în înregistrarea DNS A/AAAA pentru această gazdă. Poate fi specificat de mai multe ori
pentru a adăuga mai multe înregistrări DNS.

--toate-adresele-ip
Creați înregistrarea DNS A/AAAA pentru fiecare adresă IP de pe această gazdă.

SSSD OPŢIUNI
--permite
Configurați SSSD pentru a permite toate accesul. În caz contrar, mașina va fi controlată de
controlul accesului bazat pe gazdă (HBAC) pe serverul IPA.

--enable-dns-updates
Această opțiune îi spune SSSD să actualizeze automat DNS cu adresa IP a acestuia
de client.

--no-krb5-offline-parole
Configurați SSSD să nu stocheze parola utilizatorului când serverul este offline.

-S, --nu-sssd
Nu configurați clientul să folosească SSSD pentru autentificare, folosiți nss_ldap în schimb.

--preserve-sssd
Dezactivat implicit. Când este activat, păstrează configurația veche SSSD dacă nu este
posibil să-l îmbinați cu unul nou. În mod efectiv, în cazul în care fuziunea nu este posibilă
către cititorul SSSDConfig care întâlnește opțiuni neacceptate, ipa-client-install nu va
rulați mai departe și cereți mai întâi să remediați configurația SSSD. Când această opțiune nu este specificată,
ipa-client-install va face backup pentru configurația SSSD și va crea una nouă. Versiunea de rezervă
va fi restaurat în timpul dezinstalării.

DEZINSTALAȚI OPŢIUNI
--dezinstalare
Eliminați software-ul client IPA și restaurați configurația la starea anterioară IPA.

-U, --nesupravegheat
Dezinstalare nesupravegheată. Utilizatorul nu va fi solicitat.

Utilizați ipa-client-install online folosind serviciile onworks.net


Servere și stații de lucru gratuite

>>


Descărcați aplicații Windows și Linux

>>


Comenzi Linux

Ad




DESPRE ONWORKS®

OnWorks este un furnizor de găzduire VPS online gratuit care oferă servicii cloud cum ar fi stații de lucru gratuite, AntiVirus online, proxy VPN gratuit și e-mail personal și de afaceri gratuit. VPS-ul nostru gratuit poate fi bazat pe CentOS, Fedora, Ubuntu și Debian. Unele dintre ele sunt personalizate pentru a fi ca Windows online sau MacOS online.

Link-uri de site
Site-urile noastre

Copyright ©2023 OffiDocs Group OU. Toate drepturile rezervate. OnWorks® este o marcă înregistrată.