นี่คือคำสั่ง ipa-replica-manage ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ipa-replica-manage - จัดการแบบจำลอง IPA
เรื่องย่อ
ipa-จำลอง-จัดการ [ทางเลือกที่]... [สั่งการ]
DESCRIPTION
จัดการข้อตกลงการจำลองแบบของเซิร์ฟเวอร์ IPA
ในการจัดการข้อตกลงการจำลองแบบ IPA ในโดเมนที่ระดับโดเมน 1 ให้ใช้ IPA CLI หรือ Web UI
ดู `ipa help topology` สำหรับข้อมูลเพิ่มเติม
คำสั่งที่ใช้ได้คือ:
ต่อ [SERVER_A]
- เพิ่มข้อตกลงการจำลองแบบใหม่ระหว่าง SERVER_A/localhost และ SERVER_B ที่
โดเมนระดับ 1 ใช้ได้กับข้อตกลง winsync เท่านั้น
ปลด [SERVER_A]
- ลบข้อตกลงการจำลองแบบระหว่าง SERVER_A/localhost และ SERVER_B ที่
โดเมนระดับ 1 ใช้ได้กับข้อตกลง winsync เท่านั้น
เดล
- ลบข้อตกลงการจำลองแบบและข้อมูลเกี่ยวกับเซิร์ฟเวอร์ทั้งหมด ที่โดเมนระดับ 1 it
ลบข้อมูลและข้อตกลงสำหรับทั้งส่วนต่อท้าย - โดเมนและแคลิฟอร์เนีย
รายการ [เซิร์ฟเวอร์]
- แสดงรายการเซิร์ฟเวอร์ทั้งหมดหรือรายการข้อตกลงของ SERVER
เริ่มต้นใหม่
- บังคับให้เริ่มต้นเซิร์ฟเวอร์ IPA ใหม่โดยสมบูรณ์เพื่อดึงข้อมูลจากเซิร์ฟเวอร์
ระบุด้วย --from option
บังคับซิงค์
- ล้างข้อมูลใด ๆ ที่จะทำซ้ำทันทีจากเซิร์ฟเวอร์ที่ระบุด้วย
--จากตัวเลือก
รายการ-ruv
- แสดงรายการ ID การจำลองแบบบนเซิร์ฟเวอร์นี้
สะอาด-ruv [REPLICATION_ID]
- เรียกใช้งาน CLEANALLRUV เพื่อลบ ID การจำลองแบบ
สะอาดห้อย-ruv
- ล้าง RUV และ CS-RUV ทั้งหมดที่เหลืออยู่ในระบบจากการถอนการติดตั้ง
แบบจำลอง
แท้ง-ทำความสะอาด-ruv [REPLICATION_ID]
- ยกเลิกงาน CLEANALLRUV ที่กำลังทำงานอยู่ ด้วย --force ตัวเลือกงานไม่รอ
เซิร์ฟเวอร์จำลองทั้งหมดที่ส่งงานยกเลิกหรือออนไลน์มาก่อน
เสร็จสิ้น
รายการสะอาด-ruv
- แสดงรายการ CLEANALLRUV ที่ทำงานอยู่ทั้งหมดและยกเลิกงาน CLEANALLRUV
dnarange-แสดง [เซิร์ฟเวอร์]
- ระบุช่วงดีเอ็นเอ
dnarange ชุด SERVER เริ่มต้น-สิ้นสุด
- กำหนดช่วง DNA บนมาสเตอร์
dnanextrange แสดง [เซิร์ฟเวอร์]
- ระบุช่วง DNA ถัดไป
dnanextrange ชุด SERVER เริ่มต้น-สิ้นสุด
- กำหนด DNA ช่วงต่อไปของมาสเตอร์
ตัวเลือกการเชื่อมต่อและยกเลิกการเชื่อมต่อใช้เพื่อจัดการโทโพโลยีการจำลองแบบ เมื่อ
แบบจำลองถูกสร้างขึ้นโดยเชื่อมต่อกับต้นแบบที่สร้างไว้เท่านั้น การเชื่อมต่อ
อาจใช้ตัวเลือกเพื่อเชื่อมต่อกับแบบจำลองอื่นที่มีอยู่
ไม่สามารถใช้ตัวเลือกการยกเลิกการเชื่อมต่อเพื่อลบลิงก์สุดท้ายของแบบจำลอง ในการลบ a
แบบจำลองจากโทโพโลยีใช้ตัวเลือกเดล
หากแบบจำลองถูกลบแล้วเพิ่มเข้าไปใหม่ภายในระยะเวลาอันสั้น 389-ds
อินสแตนซ์บนต้นแบบที่สร้างควรเริ่มต้นใหม่ก่อนที่จะติดตั้งใหม่
แบบจำลอง ต้นแบบจะมีแคชหลักบริการเก่าซึ่งจะทำให้
การจำลองแบบล้มเหลว
เซิร์ฟเวอร์หลัก IPA แต่ละเซิร์ฟเวอร์มี ID การจำลองแบบที่ไม่ซ้ำกัน ID นี้ถูกใช้โดย 389-ds-base เมื่อ
การจัดเก็บข้อมูลเกี่ยวกับสถานะการจำลองแบบ ผลลัพธ์ประกอบด้วยผู้เชี่ยวชาญและของพวกเขา
ID การจำลองแบบตามลำดับ ดู สะอาด-ruv
เมื่อนำต้นแบบออก ต้นแบบอื่นๆ ทั้งหมดจะต้องลบ ID การจำลองแบบออกจาก
รายชื่ออาจารย์ โดยปกติสิ่งนี้จะเกิดขึ้นโดยอัตโนมัติเมื่อต้นแบบถูกลบด้วย
ipa-จำลอง-จัดการ หากต้นแบบหนึ่งรายการขึ้นไปไม่ทำงานหรือไม่สามารถเข้าถึงได้เมื่อ ipa-replica-manage
ถูกดำเนินการแล้ว ID แบบจำลองนี้อาจยังคงมีอยู่ คำสั่ง clean-ruv สามารถใช้เพื่อ
ล้าง ID การจำลองแบบที่ไม่ได้ใช้
หมายเหตุ: clean-ruv คือ มาก อันตราย. การดำเนินการกับรหัสการจำลองแบบที่ไม่ถูกต้องอาจส่งผลให้
ในข้อมูลที่ไม่สอดคล้องกับต้นแบบนั้น ต้นแบบควรเริ่มต้นใหม่จาก if . อื่น
สิ่งนี้เกิดขึ้น
โทโพโลยีการจำลองแบบจะถูกตรวจสอบเมื่อต้นแบบถูกลบและจะพยายามป้องกัน
ปรมาจารย์จากการเป็นเด็กกำพร้า ตัวอย่างเช่น หากโทโพโลยีของคุณคือ A <-> B <-> C และคุณ
พยายามลบมาสเตอร์ B มันจะล้มเหลวเพราะจะทำให้มาสเตอร์และ A และ C
เด็กกำพร้า
รายชื่อมาสเตอร์ถูกเก็บไว้ใน cn=masters,cn=ipa,cn=etc,dc=example,dc=com นี้ควร
จะถูกล้างโดยอัตโนมัติเมื่อต้นแบบถูกลบ ถ้าเกิดว่าท่านได้ลบไปแล้ว
หลักและข้อตกลงทั้งหมด แต่รายการเหล่านี้ยังคงมีอยู่ คุณจะไม่สามารถ
หากต้องการติดตั้ง IPA ใหม่ การติดตั้งจะล้มเหลวด้วย:
ไม่สามารถลบหรือปิดใช้งานโฮสต์หลัก IPA โดยใช้คำสั่งมาตรฐาน (host-del, for
ตัวอย่าง).
ต้นแบบที่ถูกละเลยอาจถูกล้างโดยใช้คำสั่ง del ด้วยตัวเลือก --cleanup
การดำเนินการนี้จะลบรายการออกจาก cn=masters,cn=ipa,cn=etc ที่ป้องกัน host-del
จากการทำงาน, โปรไฟล์ DNA, การกำหนดค่า s4u2proxy, หลักการบริการ และลบออก
จากโปรไฟล์ DUA เริ่มต้น defaultServerList
OPTIONS
-H HOST, --เจ้าภาพ=HOST
เซิร์ฟเวอร์ IPA ที่จะจัดการ ค่าดีฟอลต์คือเครื่องที่รันคำสั่ง
ไม่ได้รับเกียรติจากคำสั่ง re-initialize
-p DM_รหัสผ่าน, --รหัสผ่าน=DM_รหัสผ่าน
รหัสผ่านตัวจัดการไดเรกทอรีที่จะใช้สำหรับการตรวจสอบสิทธิ์
-v, --รายละเอียด
ให้ข้อมูลเพิ่มเติม
-f, --บังคับ
ละเว้นข้อผิดพลาดบางประเภท ไม่ต้องแจ้งเมื่อลบต้นแบบ
-c, --ไม่ต้องค้นหา
อย่าทำการตรวจสอบการค้นหา DNS
-c, --ทำความสะอาด
เมื่อลบต้นแบบด้วยแฟล็ก --force ให้ลบการอ้างอิงที่เหลือไปยัง an
ลบต้นแบบแล้ว
--bindn=ADMIN_DN
ผูก DN เพื่อใช้กับเซิร์ฟเวอร์ระยะไกล (ค่าเริ่มต้นคือ cn=Directory Manager) - ระวัง
อ้างค่านี้ในบรรทัดคำสั่ง
--bindpw=ADMIN_PWD
รหัสผ่านสำหรับ Bind DN เพื่อใช้กับเซิร์ฟเวอร์ระยะไกล (ค่าเริ่มต้นคือ DM_PASSWORD ด้านบน)
--winsync
ระบุเพื่อสร้าง/ใช้ข้อตกลงการซิงค์ของ Windows
--cacert=/path/to/cacertfile
เส้นทางแบบเต็มและชื่อไฟล์ของใบรับรอง CA ที่จะใช้กับ TLS/SSL ไปยังเซิร์ฟเวอร์ระยะไกล -
ใบรับรอง CA นี้จะถูกติดตั้งในใบรับรองของเซิร์ฟเวอร์ไดเรกทอรี
ฐานข้อมูล
--win-ต้นไม้ย่อย=cn=ผู้ใช้,dc=ตัวอย่าง,dc=com
DN ของทรีย่อยของ Windows ที่มีผู้ใช้ที่คุณต้องการซิงค์ (ค่าเริ่มต้น
cn=ผู้ใช้ - นี่คือสิ่งที่ Windows AD ใช้เป็นค่าเริ่มต้นโดยทั่วไป
ค่า) - โปรดใช้ความระมัดระวังในการอ้างอิงค่านี้ในบรรทัดคำสั่ง
--พาสซิงค์=PASSSYNC_PWD
รหัสผ่านสำหรับผู้ใช้ระบบ IPA ที่ใช้โดยปลั๊กอิน Windows PassSync เพื่อซิงโครไนซ์
รหัสผ่าน จำเป็นเมื่อใช้ --winsync นี่ไม่ได้หมายความว่าคุณต้องใช้
บริการ PassSync
--จาก=SERVER
เซิร์ฟเวอร์ที่จะดึงข้อมูล ใช้โดย re-initialize และ force-sync
คำสั่ง
ช่วง R
IPA ใช้ปลั๊กอิน Distributed Numeric Assignment (DNA) 389-ds เพื่อจัดสรรรหัส POSIX สำหรับ
ผู้ใช้และกลุ่ม ช่วงจะถูกสร้างขึ้นเมื่อติดตั้ง IPA และกำหนดช่วงไว้ครึ่งหนึ่ง
ถึงต้นแบบ IPA คนแรกเพื่อวัตถุประสงค์ในการจัดสรร
ต้นแบบ IPA ใหม่จะไม่ได้รับการกำหนดช่วง DNA โดยอัตโนมัติ การกำหนดช่วงคือ
ทำได้เฉพาะเมื่อมีการเพิ่มผู้ใช้หรือกลุ่ม POSIX บนต้นแบบนั้น
ปลั๊กอิน DNA ยังรองรับการกำหนดค่า "บนเด็ค" หรือช่วงถัดไป เมื่อประถม
ระยะจะหมดลง แทนที่จะไปถามเจ้านายอื่นเพื่อขอเพิ่มเติม จะใช้มัน
ช่วงบนดาดฟ้าหากมีการกำหนดไว้ ต้นแบบแต่ละคนสามารถมีได้เพียงหนึ่งช่วงและหนึ่งช่วงบนดาดฟ้า
ที่กำหนดไว้
เมื่อต้นแบบถูกลบออก จะพยายามบันทึกช่วง DNA ของมันไปยังต้นแบบอื่น
ในช่วงบนดาดฟ้า IPA จะไม่พยายามขยายหรือรวมช่วง ถ้าไม่มี
สล็อตช่วงบนดาดฟ้าที่มีอยู่แล้วจะรายงานให้ผู้ใช้ทราบ ช่วงมีประสิทธิภาพ
สูญหายเว้นแต่จะถูกรวมเข้ากับช่วงของต้นแบบอื่นด้วยตนเอง
ช่วง DNA และค่าบนสำรับ (ถัดไป) สามารถจัดการได้โดยใช้ชุด dnarange และ
dnanextrange-set คำสั่ง กฎสำหรับการจัดการช่วงเหล่านี้คือ:
- ช่วงต้องสมบูรณ์ภายในช่วงท้องถิ่นตามที่กำหนดโดยipa
คำสั่ง idrange
- ช่วงไม่สามารถทับซ้อนช่วง DNA หรือช่วงบนเด็คบนต้นแบบ IPA อื่นได้
- ช่วงไม่สามารถทับซ้อนช่วง ID ของ AD Trust
- ไม่สามารถลบช่วง DNA หลักได้
- ระยะบนเด็คสามารถลบออกได้โดยการตั้งค่าเป็น 0-0 สมมติฐานคือ
ว่าช่วงจะถูกย้ายด้วยตนเองหรือรวมไว้ที่อื่น
สามารถแสดงช่วงและช่วงถัดไปของต้นแบบเฉพาะได้โดยผ่าน FQDN ของสิ่งนั้น
ควบคุมคำสั่ง dnarange-show หรือ dnanextrange-show
ดำเนินการเปลี่ยนช่วงในฐานะผู้ดูแลระบบที่ได้รับมอบสิทธิ์ (เช่น ไม่ใช้ Directory
รหัสผ่านผู้จัดการ) ต้องการ ACI 389-ds เพิ่มเติม สิ่งเหล่านี้ได้รับการติดตั้งในมาสเตอร์ที่อัปเกรดแล้ว
แต่ไม่ใช่ที่มีอยู่ การเปลี่ยนแปลงเกิดขึ้นใน cn=config ซึ่งไม่ได้จำลองแบบ NS
ผลลัพธ์คือไม่สามารถจัดการช่วง DNA บนมาสเตอร์ที่ไม่ได้อัพเกรดในฐานะผู้รับมอบสิทธิ์
ผู้บริหาร
ตัวอย่าง
รายชื่อผู้เชี่ยวชาญทั้งหมด:
# รายการ ipa-replica-manage
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
แสดงรายการข้อตกลงการจำลองแบบของเซิร์ฟเวอร์
# รายการ ipa-replica-manage srv1.example.com
srv2.example.com
srv3.example.com
เริ่มต้นการจำลองอีกครั้ง:
# ipa-replica-manage เริ่มต้นใหม่ -- จาก srv2.example.com
สิ่งนี้จะเริ่มต้นข้อมูลใหม่บนเซิร์ฟเวอร์ที่คุณรันคำสั่ง
การดึงข้อมูลจากแบบจำลอง srv2.example.com
เพิ่มข้อตกลงการจำลองแบบใหม่:
# ipa-replica-manage เชื่อมต่อ srv2.example.com srv4.example.com
ลบข้อตกลงการจำลองแบบที่มีอยู่:
# ipa-replica-manage ยกเลิกการเชื่อมต่อ srv1.example.com srv3.example.com
ลบแบบจำลองโดยสมบูรณ์:
# ipa-replica-manage เดล srv4.example.com
เมื่อใช้การเชื่อมต่อ/ยกเลิกการเชื่อมต่อ คุณสามารถจัดการโทโพโลยีการจำลองแบบได้
แสดงรายการ ID การจำลองแบบที่ใช้:
# ipa-replica-จัดการรายการ-ruv
srv1.example.com:389:7
srv2.example.com:389:4
ลบการอ้างอิงถึงต้นแบบที่ถูกกำพร้าและถูกลบ:
# ipa-replica-manage del --force --cleanup master.example.com
วินซิงค์
การสร้างข้อตกลงการซิงโครไนซ์ Windows AD นั้นคล้ายกับการสร้างการจำลองแบบ IPA
ข้อตกลงมีเพียงไม่กี่ขั้นตอนเพิ่มเติม
รายการผู้ใช้พิเศษถูกสร้างขึ้นสำหรับบริการ PassSync DN ของรายการนี้คือ
uid=passsync,cn=sysaccounts,cn=ฯลฯ, . คุณไม่จำเป็นต้องใช้ PassSync เพื่อใช้ a
ข้อตกลงการซิงโครไนซ์ Windows แต่จำเป็นต้องตั้งรหัสผ่านสำหรับผู้ใช้
ตัวอย่างต่อไปนี้ใช้บัญชีผู้ดูแลระบบ AD เป็นผู้ใช้การซิงโครไนซ์ นี้
ไม่จำเป็น แต่ผู้ใช้ต้องมีการเข้าถึงแบบอ่านเพื่อเข้าถึงทรีย่อย
1. โอนใบรับรอง Windows AD CA ที่เข้ารหัส base64 ไปยังเซิร์ฟเวอร์ IPA ของคุณ
2. ลบข้อมูลประจำตัวของ kerberos ที่มีอยู่ออก
#kdestroy
3. เพิ่มข้อตกลงการจำลองแบบ winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=ผู้ดูแลระบบ,cn=ผู้ใช้,dc=ad,dc=example,dc=com" --bindpw
-v
คุณจะได้รับแจ้งให้ระบุรหัสผ่านของ Directory Manager
สร้างข้อตกลงการจำลองแบบ winsync:
# ipa-replica-manage เชื่อมต่อ --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=ผู้ดูแลระบบ,cn=ผู้ใช้,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
ลบข้อตกลงการจำลองแบบ winsync:
# ipa-replica-manage ยกเลิกการเชื่อมต่อ windows.ad.example.com
พาสซิงค์
PassSync เป็นบริการของ Windows ที่ทำงานบน AD Domain Controllers เพื่อสกัดกั้นรหัสผ่าน
การเปลี่ยนแปลง โดยจะส่งการเปลี่ยนแปลงรหัสผ่านเหล่านี้ไปยังเซิร์ฟเวอร์ IPA LDAP ผ่าน TLS รหัสผ่านเหล่านี้
เปลี่ยนการตั้งค่านโยบายรหัสผ่าน IPA ปกติและไม่ได้ตั้งค่ารหัสผ่านเป็น
หมดอายุทันที เนื่องจากเมื่อถึงเวลา IPA ได้รับการเปลี่ยนรหัสผ่าน ก็มี
ได้รับการตอบรับจาก AD ดังนั้นจึงสายเกินไปที่จะปฏิเสธ
IPA จะรักษารายการ DN ที่ได้รับการยกเว้นจากนโยบายรหัสผ่าน มีการเพิ่มผู้ใช้พิเศษ
โดยอัตโนมัติเมื่อมีการสร้างข้อตกลงการจำลองแบบ winsync DN ของผู้ใช้นี้คือ
เพิ่มในรายการข้อยกเว้นที่เก็บไว้ใน passSyncManagersDNs ในรายการ
cn=ipa_pwd_extop,cn=ปลั๊กอิน,cn=config.php
EXIT สถานภาพ
0 ถ้าคำสั่งสำเร็จ
1 หากเกิดข้อผิดพลาดขึ้น
ใช้ ipa-replica-manage ออนไลน์โดยใช้บริการ onworks.net
