Это команда ipa-adtrust-install, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ipa-adtrust-install - подготовка IPA-сервера для установления доверительных отношений.
с доменами AD
СИНТАКСИС
ipa-adtrust-установить [ВАРИАНТ] ...
ОПИСАНИЕ
Добавляет все необходимые объекты и конфигурацию, чтобы сервер IPA мог создать доверие к
домен Active Directory. Для этого необходимо, чтобы IPA-сервер был уже установлен и
сконфигурировано.
Обратите внимание, что вы не сможете установить доверие к домену Active Directory.
если только имя области сервера IPA не совпадает с его доменным именем.
ipa-adtrust-install можно запускать несколько раз для переустановки удаленных или сломанных объектов
файлы конфигурации. Например, свежая конфигурация samba (файл smb.conf и реестр на основе
конфигурация может быть создана. Другие элементы, например, конфигурация локального диапазона
нельзя изменить, запустив ipa-adtrust-install во второй раз, потому что с изменениями здесь
другие объекты также могут быть затронуты.
Межсетевые экраны Требования
Помимо требований к межсетевому экрану IPA-сервера, ipa-adtrust-install требует наличия
следующие порты должны быть открыты, чтобы IPA и Active Directory могли взаимодействовать вместе:
TCP Порты
· 135 / tcp EPMAP
· 138 / TCP NetBIOS-DGM
· 139 / TCP NetBIOS-SSN
· 445 / TCP Microsoft-DS
· 1024 / tcp - 1300 / tcp, чтобы позволить EPMAP на порте 135 / tcp создать прослушиватель TCP
на основании входящего запроса.
UDP Порты
· 138 / UDP NetBIOS-DGM
· 139 / UDP NetBIOS-SSN
· 389 / UDP LDAP
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
-d, --отлаживать
Включите ведение журнала отладки, когда требуется более подробный вывод
--netbios-имя=NETBIOS_NAME
Имя NetBIOS для домена IPA. Если не указано, то это определяется на основе
на ведущем компоненте доменного имени DNS. Запуск ipa-adtrust-install для
второй раз с другим именем NetBIOS изменит имя. Обратите внимание, что
изменение имени NetBIOS может нарушить существующие доверительные отношения с другими
домены.
--no-msdcs
Не создавайте служебные записи DNS для Windows на управляемом DNS-сервере. Поскольку те
Записи службы DNS - единственный способ обнаружить контроллеры домена других
домены, они должны быть добавлены вручную на другой DNS-сервер, чтобы разрешить доверие
отношения работают правильно. Все необходимые сервисные записи перечислены при
ipa-adtrust-install завершается, и либо --no-msdcs был задан, либо служба DNS IPA отсутствует
настроен. Обычно требуются сервисные записи для следующих имен сервисов
для домена IPA, который должен указывать на все серверы IPA:
· _Ldap._tcp
· _Kerberos._tcp
· _Kerberos._udp
· _Ldap._tcp.dc._msdcs
· _Kerberos._tcp.dc._msdcs
· _Kerberos._udp.dc._msdcs
· _Ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-стороны
Добавьте идентификаторы безопасности к существующим пользователям и группам на последнем этапе
ipa-adtrust-install запустить. Если есть много существующих пользователей и групп и пара
реплики в среде, эта операция может привести к высокому трафику репликации
и снижение производительности всех серверов IPA в среде. Чтобы избежать этого
генерация SID может быть запущена после запуска и планирования ipa-adtrust-install
независимо. Чтобы запустить эту задачу, вам необходимо загрузить отредактированную версию ipa-sidgen-
task-run.ldif с помощью команды ldapmodify для получения информации о сервере каталогов.
--add-агенты
Добавьте в список мастеров IPA, позволяющих обслуживать информацию о пользователях из
доверенные леса. Начиная с FreeIPA 4.2, обычный мастер IPA может предоставить это
информация для клиентов SSSD. Мастера IPA не добавляются в список автоматически, так как
требуется перезапуск службы LDAP на каждом из них. Хост, где
ipa-adtrust-install запускается, добавляется автоматически.
Обратите внимание, что мастера IPA, на которых не был запущен ipa-adtrust-install, могут предоставлять информацию.
о пользователях из доверенных лесов, только если они включены через ipa-adtrust-install
запустить на любом другом мастере IPA. Требуется как минимум версия SSSD 1.13 на мастере IPA
чтобы иметь возможность выступать в качестве доверительного агента.
-U, - без присмотра
Автоматическая установка, которая никогда не запрашивает ввод данных пользователем
-U, --rid-база=RID_BASE
Первое значение RID локального домена. Первый Posix ID локального домена будет
назначен этому RID, второй - RID + 1 и т. д. См. интерактивную справку по idrange
CLI для подробностей.
-U, - вторичная-рид-база=ВТОРИЧНЫЙ_RID_BASE
Начальное значение вторичного диапазона RID, которое используется только в том случае, если пользователь и
Группа имеет одинаковый номер Posix ID. См. Интерактивную справку по интерфейсу командной строки idrange
для получения информации.
-A, --admin-имя=ADMIN_NAME
Имя пользователя с правами администратора для этого IPA-сервера. По умолчанию
в "админ".
-a, --пароль администратора=password
Пароль пользователя с правами администратора для этого IPA-сервера. Воля
спросить в интерактивном режиме, если -U не указано
Учетные данные пользователя-администратора будут использоваться для получения билета Kerberos перед
настройка поддержки межсферных доверительных отношений, а затем, чтобы убедиться, что билет содержит
Информация MS-PAC, необходимая для фактического добавления доверия с доменом Active Directory через 'ipa
trust-add --type = ad 'команда.
--enable-compat
Включает поддержку пользователей доверенных доменов для старых клиентов через схему
Плагин совместимости. SSSD поддерживает доверенные домены изначально, начиная с версии
1.9. Для платформ, на которых отсутствует SSSD или на которых установлена более старая версия SSSD, необходимо использовать это
вариант. Если этот параметр включен, необходимо установить пакет slapi-nis и
schema-compat-plugin будет настроен для поиска пользователей и групп из
доверенные домены через SSSD на IPA сервере. Эти пользователи и группы будут доступны
под cn = пользователи, cn = compat, $ SUFFIX и cn = группы, cn = compat, $ SUFFIX деревья. SSSD будет
привести имена пользователей и групп к нижнему регистру.
Помимо предоставления этих пользователей и групп через дерево совместимости, это
опция включает аутентификацию через LDAP для пользователей доверенного домена с DN под
дерево совместимости, то есть с использованием DN привязки
uid =[электронная почта защищена], cn = пользователи, cn = compat, $ SUFFIX.
Аутентификация LDAP, выполняемая деревом совместимости, выполняется через PAM 'системная аутентификация'
услуга. Эта служба существует по умолчанию в системах Linux и предоставляется pam
пакет как /etc/pam.d/system-auth. Если в вашей установке IPA нет HBAC по умолчанию
правило 'allow_all' включено, затем обязательно определите в IPA специальную службу, называемую
'системная аутентификация'и создайте правило HBAC, чтобы разрешить доступ любому к этому правилу на IPA.
мастера.
Так как 'системная аутентификация'Служба PAM не используется напрямую никакими другими приложениями, это
безопасно использовать его для доверенных пользователей домена через путь совместимости.
ВЫХОД статус
0, если установка прошла успешно
1 если произошла ошибка
Используйте ipa-adtrust-install онлайн с помощью сервисов onworks.net
