นี่คือคำสั่ง ipa-client-install ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ipa-client-install - กำหนดค่าไคลเอนต์ IPA
เรื่องย่อ
ipa-client-ติดตั้ง [ทางเลือกที่] ...
DESCRIPTION
กำหนดค่าเครื่องไคลเอนต์เพื่อใช้ IPA สำหรับการรับรองความถูกต้องและบริการข้อมูลประจำตัว
โดยค่าเริ่มต้น สิ่งนี้จะกำหนดค่า SSSD เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ IPA สำหรับการตรวจสอบสิทธิ์และ
การอนุญาต ทางเลือกหนึ่งสามารถกำหนดค่า PAM และ NSS (บริการสลับชื่อ) แทน
เพื่อทำงานกับเซิร์ฟเวอร์ IPA ผ่าน Kerberos และ LDAP
ผู้ใช้ที่ได้รับอนุญาตจะต้องเข้าร่วมเครื่องไคลเอนต์กับ IPA ซึ่งอาจอยู่ในรูปของ
หลัก kerberos หรือรหัสผ่านแบบใช้ครั้งเดียวที่เชื่อมโยงกับเครื่อง
เครื่องมือเดียวกันนี้ใช้เพื่อยกเลิกการกำหนดค่า IPA และพยายามคืนเครื่องกลับเป็น
สถานะก่อนหน้า ส่วนหนึ่งของกระบวนการนี้คือการยกเลิกการลงทะเบียนโฮสต์จากเซิร์ฟเวอร์ IPA
การยกเลิกการลงทะเบียนประกอบด้วยการปิดใช้งานคีย์หลักบนเซิร์ฟเวอร์ IPA เพื่อที่จะได้
ลงทะเบียนซ้ำ เครื่องหลักใน /etc/krb5.keytab (host/ @REALM) ใช้เพื่อ
ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ IPA เพื่อยกเลิกการลงทะเบียนเอง ถ้าไม่มีหลักนี้แล้ว
การยกเลิกการลงทะเบียนจะล้มเหลวและผู้ดูแลระบบจะต้องปิดการใช้งานหลักโฮสต์ (ipa
โฮสต์ปิดการใช้งาน ).
สมมติฐาน
สคริปต์ ipa-client-install ถือว่าเครื่องได้สร้างคีย์ SSH แล้ว มัน
จะไม่สร้างคีย์ SSH ของตัวเอง หากไม่มีคีย์ SSH (เช่น when
รัน ipa-client-install ใน kickstart ก่อนที่จะรัน sshd มาก่อน) พวกเขาจะไม่ทำงาน
อัปโหลดไปยังรายการโฮสต์ไคลเอ็นต์บนเซิร์ฟเวอร์
ชื่อโฮสต์ ความต้องการ
ลูกค้าต้องใช้ a คงที่ ชื่อโฮสต์. หากชื่อโฮสต์ของเครื่องเปลี่ยนแปลง เช่น เนื่องจาก a
การกำหนดชื่อโฮสต์แบบไดนามิกโดยเซิร์ฟเวอร์ DHCP การลงทะเบียนไคลเอนต์ไปยังเซิร์ฟเวอร์ IPA แตกและ
ผู้ใช้จะไม่สามารถดำเนินการตรวจสอบสิทธิ์ Kerberos ได้
อาจใช้ตัวเลือก --hostname เพื่อระบุชื่อโฮสต์แบบคงที่ที่ยังคงมีอยู่หลังจากรีบูต
DNS การค้นหาอัตโนมัติ
โปรแกรมติดตั้งไคลเอ็นต์โดยค่าเริ่มต้นจะพยายามค้นหาระเบียน _ldap._tcp.DOMAIN DNS SRV ทั้งหมด
โดเมนที่เป็นพาเรนต์ของชื่อโฮสต์ ตัวอย่างเช่น หากเครื่องไคลเอนต์มีชื่อโฮสต์
'client1.lab.example.com' โปรแกรมติดตั้งจะพยายามเรียกชื่อโฮสต์เซิร์ฟเวอร์ IPA จาก
_ldap._tcp.lab.example.com, _ldap._tcp.example.com และ _ldap._tcp.com ระเบียน DNS SRV,
ตามลำดับ โดเมนที่ค้นพบจะถูกนำมาใช้ในการกำหนดค่าคอมโพเนนต์ของไคลเอ็นต์ (เช่น SSSD
และการกำหนดค่า Kerberos 5) บนเครื่อง
เมื่อชื่อโฮสต์ของเครื่องไคลเอนต์ไม่อยู่ในโดเมนย่อยของเซิร์ฟเวอร์ IPA โดเมนของมันสามารถเป็น
ผ่านด้วย --domain ตัวเลือก ในกรณีนั้น ทั้งส่วนประกอบ SSSD และ Kerberos มี
โดเมนที่ตั้งค่าไว้ในไฟล์การกำหนดค่าและจะใช้เพื่อค้นหาเซิร์ฟเวอร์ IPA โดยอัตโนมัติ
เครื่องไคลเอนต์สามารถกำหนดค่าได้โดยไม่ต้องใช้ DNS autodiscovery เลย เมื่อทั้งสอง
ใช้ตัวเลือกเซิร์ฟเวอร์ --server และ --domain โปรแกรมติดตั้งไคลเอ็นต์จะใช้เซิร์ฟเวอร์ที่ระบุและ
โดเมนโดยตรง --server option ยอมรับชื่อโฮสต์ของเซิร์ฟเวอร์หลายตัวซึ่งสามารถใช้สำหรับ
กลไกความล้มเหลว หากไม่มี DNS autodiscovery Kerberos จะได้รับการกำหนดค่าด้วยรายการคงที่ของ
เซิร์ฟเวอร์ KDC และผู้ดูแลระบบ SSSD ยังคงได้รับการกำหนดค่าให้พยายามอ่าน SRV . ของโดเมน
บันทึกหรือรายการเซิร์ฟเวอร์คงที่ที่ระบุ เมื่อ --fixed-primary option ถูกระบุ
SSSD จะไม่พยายามอ่านบันทึก DNS SRV เลย (ดู sssd-ipa(5) สำหรับรายละเอียด)
พื้นที่ ล้มเหลว กลไก
เมื่อเซิร์ฟเวอร์ IPA บางตัวไม่พร้อมใช้งาน คอมโพเนนต์ของไคลเอ็นต์สามารถย้อนกลับไปยัง
แบบจำลอง IPA อื่น ๆ และด้วยเหตุนี้จึงคงไว้ซึ่งบริการที่ต่อเนื่อง เมื่อเครื่องลูกข่ายเป็น
กำหนดค่าให้ใช้การค้นหาอัตโนมัติของบันทึก DNS SRV (ไม่มีเซิร์ฟเวอร์คงที่ถูกส่งไปยัง
ตัวติดตั้ง) คอมโพเนนต์ของไคลเอ็นต์จะทำทางเลือกอื่นโดยอัตโนมัติตามเซิร์ฟเวอร์ IPA
ชื่อโฮสต์และลำดับความสำคัญที่ค้นพบจากระเบียน DNS SRV
หากไม่มีการค้นหาอัตโนมัติของ DNS ไคลเอ็นต์ควรได้รับการกำหนดค่าอย่างน้อยด้วยค่าคงที่
รายชื่อเซิร์ฟเวอร์ IPA ที่สามารถใช้ได้ในกรณีที่เกิดความล้มเหลว เมื่อเซิร์ฟเวอร์ IPA เพียงเครื่องเดียวคือ
กำหนดค่า บริการไคลเอ็นต์ IPA จะไม่สามารถใช้ได้ในกรณีที่ IPA . ล้มเหลว
เซิร์ฟเวอร์ โปรดทราบว่าในกรณีของรายการเซิร์ฟเวอร์ IPA คงที่ รายการเซิร์ฟเวอร์คงที่
ในองค์ประกอบของไคลเอ็นต์ต้องได้รับการอัปเดตเมื่อมีการลงทะเบียนเซิร์ฟเวอร์ IPA ใหม่หรือ IPA . ปัจจุบัน
เซิร์ฟเวอร์ถูกยกเลิกการใช้งาน
การอยู่ร่วมกัน กับ อื่นๆ ค้นหาสถานที่ เซิร์ฟเวอร์
ไดเร็กทอรีเซิร์ฟเวอร์อื่นที่ใช้งานในเครือข่าย (เช่น Microsoft Active Directory) อาจใช้
ระเบียน DNS SRV เดียวกันเพื่อแสดงถึงโฮสต์ที่มีบริการไดเรกทอรี (_ldap._tcp.DOMAIN)
ระเบียน DNS SRV ดังกล่าวอาจทำให้การติดตั้งเสียหายหากโปรแกรมติดตั้งพบ DNS . เหล่านี้
บันทึกก่อนที่จะพบระเบียน DNS SRV ที่ชี้ไปยังเซิร์ฟเวอร์ IPA ตัวติดตั้งก็จะ
ไม่พบเซิร์ฟเวอร์ IPA และออกโดยมีข้อผิดพลาด
เพื่อหลีกเลี่ยงปัญหาการค้นหาอัตโนมัติ DNS ดังกล่าว ชื่อโฮสต์ของเครื่องไคลเอ็นต์
ควรอยู่ในโดเมนที่มีระเบียน DNS SRV ที่กำหนดไว้อย่างถูกต้องซึ่งชี้ไปยังเซิร์ฟเวอร์ IPA
ด้วยตนเองด้วยเซิร์ฟเวอร์ DNS ที่กำหนดเองหรือด้วยโซลูชันที่รวม IPA DNS วินาที
แนวทางจะเป็นการหลีกเลี่ยงการค้นหาอัตโนมัติและกำหนดค่าตัวติดตั้งให้ใช้รายการคงที่
ของชื่อโฮสต์เซิร์ฟเวอร์ IPA โดยใช้ตัวเลือก --server และ --fixed-primary option
ปิดใช้งานการค้นหาอัตโนมัติของบันทึก DNS SRV ใน SSSD
การลงทะเบียนซ้ำ of เจ้าภาพ
คุณสมบัติผู้สมัคร:
1. โฮสต์ยังไม่ได้ยกเลิกการลงทะเบียน (คำสั่ง ipa-client-install --uninstall ยังไม่ได้รับ
วิ่ง).
2. รายการโฮสต์ไม่ถูกปิดใช้งานผ่านคำสั่ง ipa host-disable
หากเป็นกรณีนี้ โฮสต์สามารถลงทะเบียนซ้ำได้โดยใช้วิธีการปกติ
มีสองวิธีในการตรวจสอบการลงทะเบียนซ้ำ:
1. คุณสามารถใช้ --force-join ตัวเลือกด้วยคำสั่ง ipa-client-install สิ่งนี้รับรองความถูกต้องของ
การลงทะเบียนซ้ำโดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบที่ให้ไว้ผ่านตัวเลือก -w/--password
2. หากการระบุรหัสผ่านของผู้ดูแลระบบผ่านทางบรรทัดคำสั่งไม่ใช่ตัวเลือก (เช่น คุณต้องการ
เพื่อสร้างสคริปต์เพื่อลงทะเบียนโฮสต์ใหม่และรักษารหัสผ่านของผู้ดูแลระบบให้ปลอดภัย) คุณสามารถใช้
สำรองข้อมูล keytab จากการลงทะเบียนครั้งก่อนของโฮสต์นี้เพื่อตรวจสอบสิทธิ์ ดู --keytab
ตัวเลือก
ผลที่ตามมาของการลงทะเบียนซ้ำในรายการโฮสต์:
1. มีการออกใบรับรองโฮสต์ใหม่
2. ใบรับรองโฮสต์เก่าถูกเพิกถอน
3. สร้างคีย์ SSH ใหม่แล้ว
4. ipaUniqueID ถูกสงวนไว้
OPTIONS
พื้นฐาน OPTIONS
--โดเมน=DOMAIN
ตั้งชื่อโดเมนเป็น DOMAIN เมื่อไม่ได้ระบุตัวเลือก --server โปรแกรมติดตั้ง
จะพยายามค้นหาเซิร์ฟเวอร์ที่มีอยู่ทั้งหมดผ่านการค้นหาอัตโนมัติของบันทึก DNS SRV (ดู
ส่วน DNS Autodiscovery สำหรับรายละเอียด)
--เซิร์ฟเวอร์=SERVER
ตั้งค่าเซิร์ฟเวอร์ IPA ที่จะเชื่อมต่อ อาจระบุหลายครั้งเพื่อเพิ่มหลายรายการ
เซิร์ฟเวอร์ไปยังค่า ipa_server ใน sssd.conf หรือ krb5.conf เฉพาะค่าแรกคือ
พิจารณาเมื่อใช้กับ --no-sssd เมื่อใช้ตัวเลือกนี้ DNS autodiscovery
สำหรับ Kerberos ถูกปิดใช้งานและมีการกำหนดค่ารายการคงที่ของเซิร์ฟเวอร์ KDC และผู้ดูแลระบบ
--ดินแดน=REALM_NAME
ตั้งชื่อขอบเขต IPA เป็น REALM_NAME ภายใต้สถานการณ์ปกติ ตัวเลือกนี้คือ
ไม่จำเป็นเนื่องจากชื่อขอบเขตถูกดึงมาจากเซิร์ฟเวอร์ IPA
--fixed-ประถม
กำหนดค่า SSSD เพื่อใช้เซิร์ฟเวอร์คงที่เป็นเซิร์ฟเวอร์ IPA หลัก ค่าเริ่มต้นคือto
ใช้ระเบียน DNS SRV เพื่อกำหนดเซิร์ฟเวอร์หลักที่จะใช้และถอยกลับไปที่
เซิร์ฟเวอร์ที่ไคลเอนต์ลงทะเบียนด้วย เมื่อใช้ร่วมกับ --server แล้ว no
ค่า _srv_ ถูกตั้งค่าในตัวเลือก ipa_server ใน sssd.conf
-p, --อาจารย์ใหญ่
หลักการ Kerberos ที่ได้รับอนุญาตให้ใช้เพื่อเข้าร่วมขอบเขต IPA
-w รหัสผ่าน, --รหัสผ่าน=รหัสผ่าน
รหัสผ่านสำหรับการเข้าร่วมเครื่องกับขอบเขต IPA ถือว่ารหัสผ่านจำนวนมากเว้นแต่
ได้กำหนดหลักไว้ด้วย
-W ถามรหัสผ่านสำหรับการเข้าร่วมเครื่องกับขอบเขต IPA
-k, --แป้นพิมพ์
เส้นทางไปยังคีย์แท็บของโฮสต์ที่สำรองไว้จากการลงทะเบียนครั้งก่อน เข้าร่วมโฮสต์แม้ว่าจะเป็น
ได้ลงทะเบียนแล้ว
--mhomedir
กำหนดค่า PAM เพื่อสร้างโฮมไดเร็กทอรีของผู้ใช้หากไม่มีอยู่
--ชื่อโฮสต์
ชื่อโฮสต์ของเครื่องนี้ (FQDN) หากระบุไว้ ชื่อโฮสต์จะถูกตั้งค่าและ
การกำหนดค่าระบบจะได้รับการอัปเดตเพื่อให้คงอยู่ต่อไปเมื่อรีบูต โดยค่าเริ่มต้น nodename
ผลลัพธ์จาก uname(2) ถูกใช้
--บังคับ-เข้าร่วม
เข้าร่วมโฮสต์แม้ว่าจะลงทะเบียนแล้วก็ตาม
--ntp-เซิร์ฟเวอร์=NTP_SERVER
กำหนดค่า ntpd เพื่อใช้เซิร์ฟเวอร์ NTP นี้ ตัวเลือกนี้สามารถใช้ได้หลายครั้ง
-N, --no-ntp
อย่ากำหนดค่าหรือเปิดใช้งาน NTP
--บังคับ-ntpd
หยุดและปิดใช้งานบริการซิงโครไนซ์เวลาและวันที่ใด ๆ นอกเหนือจาก ntpd
--นิสโดเมน=NIS_DOMAIN
ตั้งชื่อโดเมน NIS ตามที่ระบุ โดยค่าเริ่มต้น สิ่งนี้ถูกตั้งค่าเป็นโดเมน IPA
ชื่อ
--no-nisdomain
ห้ามกำหนดค่าชื่อโดเมน NIS
--ssh-เชื่อถือ DNS
กำหนดค่าไคลเอนต์ OpenSSH ให้เชื่อถือบันทึก DNS SSHFP
--no-ssh
อย่ากำหนดค่าไคลเอนต์ OpenSSH
--no-sshd
อย่ากำหนดค่าเซิร์ฟเวอร์ OpenSSH
--ไม่มี-sudo
อย่ากำหนดค่า SSSD เป็นแหล่งข้อมูลสำหรับ sudo
--no-dns-sshfp
อย่าสร้างระเบียน DNS SSHFP โดยอัตโนมัติ
--โนแอค อย่าใช้ Authconfig เพื่อแก้ไขการกำหนดค่า nsswitch.conf และ PAM
-f, --บังคับ
บังคับการตั้งค่าแม้ว่าจะมีข้อผิดพลาดเกิดขึ้น
--kinit-พยายาม=KINIT_ATTEMPTS
ในกรณีที่ KDC ไม่ตอบสนอง (เช่นเมื่อลงทะเบียนหลายโฮสต์พร้อมกันในจำนวนมาก
โหลดสภาพแวดล้อม) ทำซ้ำคำขอตั๋วโฮสต์ Kerberos จนถึงจำนวนทั้งหมด
of KINIT_ATTEMPTS ครั้งก่อนที่จะยกเลิกและยกเลิกการติดตั้งไคลเอ็นต์ ค่าเริ่มต้น
จำนวนครั้งของความพยายามคือ 5. การร้องขอจะไม่ซ้ำเมื่อมีปัญหากับ
ข้อมูลรับรองของโฮสต์เอง (เช่น รูปแบบคีย์แท็บผิดหรือตัวการไม่ถูกต้อง) ดังนั้น
การใช้ตัวเลือกนี้จะไม่นำไปสู่การล็อกบัญชี
-d, --debug
พิมพ์ข้อมูลการดีบักไปที่ stdout
-U, --ไม่ต้องใส่
การติดตั้งแบบไม่ต้องใส่ข้อมูล ผู้ใช้จะไม่ได้รับแจ้ง
--ca-ใบรับรองไฟล์=CA_FILE
อย่าพยายามรับใบรับรอง IPA CA ด้วยวิธีการอัตโนมัติ ให้ใช้แทน
ใบรับรอง CA พบในเครื่องใน CA_FILE. CA_FILE จะต้องเด็ดขาด
เส้นทางไปยังไฟล์ใบรับรองที่จัดรูปแบบ PEM พบใบรับรอง CA ใน CA_FILE is
ถือว่าเชื่อถือได้และจะทำการติดตั้งโดยไม่ตรวจสอบดูว่าเป็น .หรือไม่
ถูกต้องสำหรับโดเมน IPA
--ขอใบรับรอง
ขอใบรับรองสำหรับเครื่อง ใบรับรองจะถูกเก็บไว้ใน
/etc/ipa/nssdb ภายใต้ชื่อเล่น "โฮสต์ IPA ในพื้นที่"
--automount-ตำแหน่ง=สถานที่ตั้ง
กำหนดค่าการเมานต์อัตโนมัติด้วยการเรียกใช้ ipa-ไคลเอนต์-automount(1) ด้วย สถานที่ตั้ง เป็น automount
ที่ตั้ง
--configure-firefox
กำหนดค่า Firefox เพื่อใช้ข้อมูลรับรองโดเมน IPA
--firefox-dir=DIR
ระบุไดเรกทอรีการติดตั้ง Firefox ตัวอย่างเช่น: '/usr/lib/firefox'
--ที่อยู่ IP=ที่อยู่ IP
ใช้ ที่อยู่ IP ในระเบียน DNS A/AAA สำหรับโฮสต์นี้ ระบุได้หลายครั้ง
เพื่อเพิ่มระเบียน DNS หลายรายการ
--ที่อยู่ IP ทั้งหมด
สร้างระเบียน DNS A/AAA สำหรับที่อยู่ IP แต่ละรายการบนโฮสต์นี้
สสส OPTIONS
--อนุญาต
กำหนดค่า SSSD เพื่ออนุญาตการเข้าถึงทั้งหมด มิฉะนั้นเครื่องจะถูกควบคุมโดย
Host-based Access Controls (HBAC) บนเซิร์ฟเวอร์ IPA
--enable-dns-update
ตัวเลือกนี้บอกให้ SSSD อัปเดต DNS โดยอัตโนมัติด้วยที่อยู่ IP ของสิ่งนี้
ลูกค้า
--no-krb5-ออฟไลน์-รหัสผ่าน
กำหนดค่า SSSD ไม่ให้เก็บรหัสผ่านผู้ใช้เมื่อเซิร์ฟเวอร์ออฟไลน์
-S, --no-sssd
อย่ากำหนดค่าไคลเอ็นต์ให้ใช้ SSSD สำหรับการตรวจสอบสิทธิ์ ให้ใช้ nss_ldap แทน
--อนุรักษ์-sssd
ปิดใช้งานโดยค่าเริ่มต้น เมื่อเปิดใช้งาน จะคงการกำหนดค่า SSSD เก่าไว้หากไม่ใช่
สามารถรวมเข้ากับอันใหม่ได้ อย่างมีประสิทธิภาพหากไม่สามารถควบรวมได้เนื่องจาก
ถึงผู้อ่าน SSSDConfig พบตัวเลือกที่ไม่รองรับ ipa-ไคลเอ็นต์-ติดตั้ง จะไม่
รันต่อไปและขอให้แก้ไขการกำหนดค่า SSSD ก่อน เมื่อไม่ได้ระบุตัวเลือกนี้
ipa-ไคลเอ็นต์-ติดตั้ง จะสำรองข้อมูลการกำหนดค่า SSSD และสร้างใหม่ รุ่นสำรอง
จะถูกกู้คืนในระหว่างการถอนการติดตั้ง
ถอนการติดตั้ง OPTIONS
--ถอนการติดตั้ง
ลบซอฟต์แวร์ไคลเอ็นต์ IPA และกู้คืนการกำหนดค่าเป็นสถานะ pre-IPA
-U, --ไม่ต้องใส่
การถอนการติดตั้งแบบไม่ต้องใส่ข้อมูล ผู้ใช้จะไม่ได้รับแจ้ง
ใช้ ipa-client-install ออนไลน์โดยใช้บริการ onworks.net
