Это команда ipa-client-install, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ipa-client-install - Настроить IPA-клиент
СИНТАКСИС
ipa-клиент-установить [ВАРИАНТ] ...
ОПИСАНИЕ
Настраивает клиентский компьютер для использования IPA для служб аутентификации и идентификации.
По умолчанию это настраивает SSSD для подключения к IPA-серверу для аутентификации и
авторизация. При желании можно вместо этого настроить PAM и NSS (службу переключения имен)
для работы с IPA-сервером через Kerberos и LDAP.
Авторизованный пользователь необходим для присоединения клиентского компьютера к IPA. Это может принимать форму
принципала kerberos или одноразовый пароль, связанный с машиной.
Этот же инструмент используется для деконфигурирования IPA и пытается вернуть машину в исходное состояние.
предыдущее состояние. Частью этого процесса является отмена регистрации хоста на сервере IPA.
Отмена регистрации заключается в отключении основного ключа на сервере IPA, чтобы он мог быть
повторно зачислен. Главный компьютер в /etc/krb5.keytab (host / @REALM) используется для
пройти аутентификацию на сервере IPA, чтобы отменить регистрацию. Если этого принципала не существует, то
отмена регистрации не удастся, и администратору нужно будет отключить принципала хоста (ipa
host-disable ).
Предположения
Сценарий ipa-client-install предполагает, что машина уже сгенерировала ключи SSH. Это
не будет генерировать ключи SSH по собственному желанию. Если ключи SSH отсутствуют (например, когда
запуск ipa-client-install в кикстарте перед запуском sshd), они не будут
загружены в запись хоста клиента на сервере.
Hostname Требования
Клиент должен использовать статический хоста. Если имя хоста машины изменилось, например, из-за
динамическое назначение имени хоста DHCP-сервером, прерывание регистрации клиента на IPA-сервере и
тогда пользователь не сможет выполнить аутентификацию Kerberos.
Параметр --hostname может использоваться для указания статического имени хоста, которое сохраняется после перезагрузки.
DNS Автообнаружение
Установщик клиента по умолчанию пытается найти записи SRV _ldap._tcp.DOMAIN DNS для всех
домены, которые являются родительскими для его имени хоста. Например, если у клиентской машины есть имя хоста
'client1.lab.example.com', программа установки попытается получить имя хоста IPA-сервера из
записи SRV DNS _ldap._tcp.lab.example.com, _ldap._tcp.example.com и _ldap._tcp.com,
соответственно. Обнаруженный домен затем используется для настройки клиентских компонентов (например, SSSD
и конфигурация Kerberos 5) на машине.
Когда имя хоста клиентского компьютера не находится в поддомене сервера IPA, его домен может быть
передается с параметром --domain. В этом случае компоненты SSSD и Kerberos имеют
домен установлен в файлах конфигурации и будет использовать его для автоматического обнаружения серверов IPA.
Клиентскую машину также можно настроить без автоматического обнаружения DNS. Когда оба
Используются параметры --server и --domain, установщик клиента будет использовать указанный сервер и
домен напрямую. Параметр --server принимает несколько имен хостов серверов, которые можно использовать для
механизм аварийного переключения. Без автообнаружения DNS Kerberos настроен с фиксированным списком
KDC и административные серверы. SSSD все еще настроен на попытку чтения SRV домена
записи или указанный фиксированный список серверов. Когда указана опция --fixed-primary,
SSSD вообще не будет пытаться прочитать запись DNS SRV (см. SSD-IPA(5) для подробностей).
Ассоциация Failover Механизм
Когда некоторые из серверов IPA недоступны, клиентские компоненты могут вернуться к
другая реплика IPA и, таким образом, сохранение непрерывного обслуживания. Когда клиентская машина
настроен на использование автообнаружения записи DNS SRV (фиксированный сервер не был передан в
установщик), клиентские компоненты автоматически выполняют откат на основе IPA-сервера.
имена хостов и приоритеты, обнаруженные из записей DNS SRV.
Если автообнаружение DNS недоступно, клиенты должны быть настроены как минимум с фиксированным
список IPA серверов, которые можно использовать в случае сбоя. Когда только один IPA-сервер
настроен, клиентские сервисы IPA не будут доступны в случае отказа IPA
сервер. Обратите внимание, что в случае фиксированного списка серверов IPA, фиксированный список серверов
в клиентских компонентах необходимо обновлять, когда регистрируется новый IPA-сервер или текущий IPA
сервер списан.
Сосуществование Доступно Другие контрактные услуги Каталог Серверы
Другие серверы каталогов, развернутые в сети (например, Microsoft Active Directory), могут использовать
те же записи DNS SRV для обозначения хостов со службой каталогов (_ldap._tcp.DOMAIN).
Такие записи DNS SRV могут нарушить установку, если установщик обнаружит эти DNS.
записей, прежде чем он найдет записи DNS SRV, указывающие на серверы IPA. После этого установщик
не удалось обнаружить сервер IPA и выйти с ошибкой.
Чтобы избежать вышеупомянутых проблем с автоматическим обнаружением DNS, имя хоста клиентского компьютера
должен находиться в домене с правильно определенными записями DNS SRV, указывающими на серверы IPA,
либо вручную с помощью настраиваемого DNS-сервера, либо с помощью интегрированного решения IPA DNS. Второй
подход состоял бы в том, чтобы избежать автоматического обнаружения и настроить установщик для использования фиксированного списка
имен хостов IPA-серверов с помощью параметра --server и параметра --fixed-primary
отключение автообнаружения DNS SRV-записи в SSSD.
Повторное зачисление of домен кашель
Требования:
1. Хост не был отменен (команда ipa-client-install --uninstall не была
запустить).
2. Запись хоста не была отключена с помощью команды ipa host-disable.
В этом случае хост можно повторно зарегистрировать обычными методами.
Есть два метода аутентификации повторной регистрации:
1. Вы можете использовать параметр --force-join с командой ipa-client-install. Это подтверждает
повторная регистрация с использованием учетных данных администратора, предоставленных с помощью параметра -w / - password.
2. Если ввод пароля администратора через командную строку не подходит (например, вы хотите
чтобы создать сценарий для повторной регистрации хоста и обеспечения безопасности пароля администратора), вы можете использовать
резервное копирование keytab из предыдущей регистрации этого хоста для аутентификации. См. --Keytab
опцию.
Последствия повторной регистрации на запись о хосте:
1. Выдается новый сертификат хоста.
2. Старый сертификат хоста отозван.
3. Создаются новые ключи SSH.
4. ipaUniqueID сохраняется
ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
BASIC ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
--домен=ДОМЕН
Установите доменное имя DOMAIN. Если опция --server не указана, установщик
попытается обнаружить все доступные серверы через автообнаружение записи DNS SRV (см.
Раздел DNS Autodiscovery для подробностей).
--сервер=SERVER
Настройте IPA-сервер для подключения. Можно указать несколько раз, чтобы добавить несколько
серверы на значение ipa_server в sssd.conf или krb5.conf. Только первое значение
считается при использовании с --no-sssd. Когда используется эта опция, автообнаружение DNS
для Kerberos отключен и настроен фиксированный список серверов KDC и Admin.
--область=REALM_NAME
Установите для имени области IPA значение REALM_NAME. В нормальных условиях эта опция
не требуется, так как имя области получено с сервера IPA.
--фиксированный первичный
Настройте SSSD на использование фиксированного сервера в качестве основного IPA-сервера. По умолчанию
использовать записи DNS SRV, чтобы определить основной сервер для использования и вернуться к
сервер, на котором зарегистрирован клиент. При использовании вместе с --server тогда нет
Значение _srv_ устанавливается в опции ipa_server в sssd.conf.
-p, --главный
Авторизованный принципал kerberos для использования для присоединения к области IPA.
-w PASSWORD, --пароль=PASSWORD
Пароль для присоединения машины к области IPA. Предполагает массовый пароль, если
также установлен основной.
-W Запрашивать пароль для присоединения машины к области IPA.
-k, --keytab
Путь к резервной копии keytab хоста из предыдущей регистрации. Присоединяется к хозяину, даже если он
уже зарегистрирован.
--мхомедир
Настройте PAM для создания домашнего каталога пользователей, если он не существует.
--имя хоста
Имя хоста этого компьютера (FQDN). Если указано, будет установлено имя хоста и
конфигурация системы будет обновлена для сохранения после перезагрузки. По умолчанию имя узла
результат от uname(2) используется.
--force-join
Присоединяйтесь к хосту, даже если он уже зарегистрирован.
--ntp-сервер=NTP_СЕРВЕР
Настройте ntpd для использования этого сервера NTP. Эту опцию можно использовать несколько раз.
-N, --no-ntp
Не настраивайте и не включайте NTP.
--force-ntpd
Остановите и отключите любые службы синхронизации времени и даты, кроме ntpd.
--nisдомен=НИС_ДОМЕН
Задайте имя домена NIS, как указано. По умолчанию это домен IPA.
имя.
--no-nisдомен
Не настраивайте доменное имя NIS.
--ssh-доверие-днс
Настройте клиент OpenSSH на доверие DNS-записям SSHFP.
--no-ssh
Не настраивайте клиент OpenSSH.
--no-sshd
Не настраивайте сервер OpenSSH.
--но-судо
Не настраивайте SSSD в качестве источника данных для sudo.
--no-dns-sshfp
Не создавайте автоматически записи DNS SSHFP.
--ноак Не используйте Authconfig для изменения конфигурации nsswitch.conf и PAM.
-f, --сила
Принудительно настраивать параметры даже при возникновении ошибок
--кинит-попытки=КИНИТ_ПАТТЕМПТС
В случае отсутствия ответа KDC (например, при одновременной регистрации нескольких хостов в тяжелом
загрузить среду) повторить запрос на билет Kerberos узла до общего числа
of КИНИТ_ПАТТЕМПТС раз, прежде чем отказаться от установки и прервать установку клиента. Дефолт
количество попыток - 5. Запрос не повторяется при возникновении проблемы с
сами учетные данные хоста (например, неправильный формат keytab или недопустимый участник), поэтому
использование этой опции не приведет к блокировке учетной записи.
-d, --отлаживать
Распечатать отладочную информацию в стандартный вывод
-U, - без присмотра
Автоматическая установка. Пользователю не будет предложено.
--ca-файл-сертификата=CA_FILE
Не пытайтесь получить сертификат ЦС IPA с помощью автоматических средств, вместо этого используйте
сертификат CA, найденный локально в CA_FILE, CA_FILE должно быть абсолютным
путь к файлу сертификата в формате PEM. Сертификат CA, найденный в CA_FILE is
считается авторитетным и будет установлен без проверки,
действительно для домена IPA.
--запрос-сертификат
Запросить сертификат для машины. Сертификат будет храниться в
/ etc / ipa / nssdb под ником "Local IPA host".
--automount-местоположение=Местонахождения:
Настройте автоматическое монтирование, запустив ipa-клиент-automount(1) с Местонахождения: как автомонтировать
место нахождения.
--configure-firefox
Настройте Firefox для использования учетных данных домена IPA.
--firefox-дир=DIR
Укажите каталог установки Firefox. Например: '/ usr / lib / firefox'.
--айпи адрес=АЙПИ АДРЕС
Используйте АЙПИ АДРЕС в записи DNS A / AAAA для этого хоста. Может указываться несколько раз
чтобы добавить несколько записей DNS.
--все-ip-адреса
Создайте запись DNS A / AAAA для каждого IP-адреса на этом хосте.
SSSD ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
--разрешать
Настройте SSSD, чтобы разрешить любой доступ. В противном случае машина будет управляться
Управление доступом на основе хоста (HBAC) на сервере IPA.
--enable-dns-обновления
Эта опция указывает SSSD автоматически обновлять DNS с IP-адресом этого
клиент.
--no-krb5-offline-пароли
Настройте SSSD, чтобы не хранить пароль пользователя, когда сервер отключен.
-S, --no-sssd
Не настраивайте клиент для использования SSSD для аутентификации, вместо этого используйте nss_ldap.
--preserve-sssd
По умолчанию отключено. При включении сохраняет старую конфигурацию SSSD, если это не так.
возможно объединить его с новым. Фактически, если слияние невозможно из-за
читателю SSSDConfig, обнаруживающему неподдерживаемые параметры, ipa-клиент-установить не будет
запустить дальше и попросить сначала исправить конфиг SSSD. Если этот параметр не указан,
ipa-клиент-установить создаст резервную копию конфигурации SSSD и создаст новую. Резервная версия
будет восстановлен во время удаления.
УДАЛЕНИЕ ДОПОЛНИТЕЛЬНЫЕ УСЛУГИ, НЕ ВКЛЮЧЕННЫЕ В ПАКЕТ
--удалить
Удалите программное обеспечение клиента IPA и восстановите конфигурацию до состояния до IPA.
-U, - без присмотра
Автоматическое удаление. Пользователю не будет предложено.
Используйте ipa-client-install онлайн с помощью сервисов onworks.net
