ipa-adtrust-install - Online sa Cloud

PROGRAMA:

NAME

ipa-adtrust-install - Maghanda ng isang IPA server upang makapagtatag ng mga relasyon sa pagtitiwala
na may mga AD domain

SINOPSIS

ipa-adtrust-install [OPTION] ...

DESCRIPTION

Idinaragdag ang lahat ng kinakailangang bagay at configuration upang payagan ang isang IPA server na lumikha ng tiwala sa
isang domain ng Active Directory. Ito ay nangangailangan na ang IPA server ay naka-install na at
naka-configure

Pakitandaan na hindi ka makakapagtatag ng tiwala sa isang domain ng Active Directory
maliban kung ang realm name ng IPA server ay tumutugma sa domain name nito.

Ang ipa-adtrust-install ay maaaring patakbuhin nang maraming beses upang muling i-install ang mga tinanggal na bagay o nasira
configuration file. Hal. isang bagong configuration ng samba (smb.conf file at registry based
maaaring malikha ang pagsasaayos. Iba pang mga item tulad eg ang configuration ng lokal na hanay
hindi mababago sa pamamagitan ng pagpapatakbo ng ipa-adtrust-install sa pangalawang pagkakataon dahil may mga pagbabago dito
maaaring maapektuhan din ang iba pang mga bagay.

Pader laban sa sunog Kinakailangan
Bilang karagdagan sa mga kinakailangan ng IPA server firewall, kailangan ng ipa-adtrust-install ang
ang mga sumusunod na port ay bukas upang payagan ang IPA at Active Directory na makipag-ugnayan nang magkasama:

TCP ports

· 135/tcp EPMAP

· 138/tcp NetBIOS-DGM

· 139/tcp NetBIOS-SSN

· 445/tcp Microsoft-DS

· 1024/tcp hanggang 1300/tcp para payagan ang EPMAP sa port 135/tcp na lumikha ng TCP listener
batay sa isang papasok na kahilingan.

UDP ports

· 138/udp NetBIOS-DGM

· 139/udp NetBIOS-SSN

· 389/udp LDAP

Opsyon

-d, --debug
Paganahin ang pag-log ng debug kapag kailangan ang mas maraming verbose na output

--netbios-pangalan=NETBIOS_NAME
Ang pangalan ng NetBIOS para sa domain ng IPA. Kung hindi ibinigay, ito ay tinutukoy batay
sa nangungunang bahagi ng DNS domain name. Pagpapatakbo ng ipa-adtrust-install para sa a
Ang pangalawang pagkakataon na may ibang pangalan ng NetBIOS ay magpapalit ng pangalan. Mangyaring tandaan na
Ang pagpapalit ng pangalan ng NetBIOS ay maaaring masira ang mga umiiral na ugnayan ng tiwala sa iba
mga domain.

--no-msdcs
Huwag gumawa ng mga tala ng serbisyo ng DNS para sa Windows sa pinamamahalaang DNS server. Mula sa mga iyon
Ang mga tala ng serbisyo ng DNS ay ang tanging paraan upang matuklasan ang mga controller ng domain ng iba
mga domain na dapat nilang idagdag nang manu-mano sa ibang DNS server upang payagan ang pagtitiwala
gumagana nang maayos ang mga pagsasamahan. Ang lahat ng kinakailangang rekord ng serbisyo ay nakalista kung kailan
matapos ang ipa-adtrust-install at alinman sa --no-msdcs ang ibinigay o walang serbisyo ng IPA DNS
ay naka-configure. Karaniwan ang mga talaan ng serbisyo para sa mga sumusunod na pangalan ng serbisyo ay kailangan
para sa IPA domain na dapat tumuro sa lahat ng IPA server:

· _ldap._tcp

· _kerberos._tcp

· _kerberos._udp

· _ldap._tcp.dc._msdcs

· _kerberos._tcp.dc._msdcs

· _kerberos._udp.dc._msdcs

· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs

· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs

--add-sids
Magdagdag ng mga SID sa mga umiiral nang user at grupo bilang sa mga huling hakbang ng
ipa-adtrust-install run. Kung mayroong maraming umiiral na mga user at grupo at ilang
mga replika sa kapaligiran ang operasyong ito ay maaaring humantong sa isang mataas na trapiko ng pagtitiklop
at isang pagkasira ng pagganap ng lahat ng IPA server sa kapaligiran. Para maiwasan ito
ang henerasyon ng SID ay maaaring patakbuhin pagkatapos tumakbo at mai-iskedyul ang ipa-adtrust-install
nang nakapag-iisa. Upang simulan ang gawaing ito kailangan mong mag-load ng na-edit na bersyon ng ipa-sidgen-
task-run.ldif gamit ang ldapmodify command info ang directory server.

--magdagdag ng mga ahente
Magdagdag ng mga master ng IPA sa listahan na nagbibigay-daan upang maghatid ng impormasyon tungkol sa mga user mula sa
pinagkakatiwalaang kagubatan. Simula sa FreeIPA 4.2, maibibigay ito ng isang regular na master ng IPA
impormasyon sa mga kliyente ng SSSD. Ang mga master ng IPA ay hindi awtomatikong naidagdag sa listahan bilang
Ang pag-restart ng serbisyo ng LDAP sa bawat isa sa kanila ay kinakailangan. Ang host kung saan
Ang ipa-adtrust-install ay pinapatakbo ay awtomatikong naidagdag.

Tandaan na ang mga master ng IPA kung saan hindi pinatakbo ang ipa-adtrust-install, ay maaaring maghatid ng impormasyon
tungkol sa mga user mula sa mga pinagkakatiwalaang kagubatan kung sila ay pinagana sa pamamagitan ng ipa-adtrust-install
tumakbo sa anumang iba pang master ng IPA. Hindi bababa sa SSSD bersyon 1.13 sa IPA master ay kinakailangan
upang magawang gumanap bilang isang ahente ng tiwala.

-U, --walang binabantayan
Isang hindi nag-iingat na pag-install na hindi kailanman magpo-prompt para sa input ng user

-U, --rid-base=RID_BASE
Unang halaga ng RID ng lokal na domain. Ang unang Posix ID ng lokal na domain ay
itinalaga sa RID na ito, ang pangalawa sa RID+1 atbp. Tingnan ang online na tulong ng idrange
CLI para sa mga detalye.

-U, --secondary-rid-base=SECONDARY_RID_BASE
Panimulang halaga ng pangalawang hanay ng RID, na ginagamit lamang sa kaso ng isang user at a
ibinabahagi ng pangkat ang parehong Posix ID ayon sa numero. Tingnan ang online na tulong ng idrange CLI
para sa mga detalye.

-A, --admin-name=ADMIN_NAME
Ang pangalan ng user na may mga pribilehiyong pang-administratibo para sa IPA server na ito. Mga Default
sa 'admin'.

-a, --admin-password=password
Ang password ng user na may mga administratibong pribilehiyo para sa IPA server na ito. Will
tatanungin nang interactive kung -U ay hindi tinukoy.

Gagamitin ang mga kredensyal ng admin user upang makakuha ng tiket sa Kerberos bago
Ang pag-configure ng cross-realm ay nagtitiwala sa suporta at pagkatapos, upang matiyak na naglalaman ang tiket
Kinakailangan ang impormasyon ng MS-PAC upang aktwal na magdagdag ng tiwala sa domain ng Active Directory sa pamamagitan ng 'ipa
trust-add --type=ad' command.

--enable-compat
Pinapagana ang suporta para sa mga pinagkakatiwalaang gumagamit ng domain para sa mga lumang kliyente sa pamamagitan ng Schema
Plugin ng pagiging tugma. Sinusuportahan ng SSSD ang mga pinagkakatiwalaang domain na native na nagsisimula sa bersyon
1.9. Para sa mga platform na kulang sa SSSD o nagpapatakbo ng mas lumang bersyon ng SSSD kailangan itong gamitin ng isa
opsyon. Kapag pinagana, kailangang mai-install ang slapi-nis package at
Ang schema-compat-plugin ay iko-configure upang magbigay ng paghahanap ng mga user at pangkat mula sa
mga pinagkakatiwalaang domain sa pamamagitan ng SSSD sa IPA server. Magiging available ang mga user at pangkat na ito
sa ilalim cn=users,cn=compat,$SUFFIX at cn=groups,cn=compat,$SUFFIX mga puno. Gagawin ng SSSD
gawing lower case ang mga pangalan ng mga user at grupo.

Bilang karagdagan sa pagbibigay ng mga user at grupong ito sa pamamagitan ng compat tree, ito
ang opsyon ay nagbibigay-daan sa pagpapatunay sa LDAP para sa mga pinagkakatiwalaang user ng domain na may DN sa ilalim
compat tree, ibig sabihin, gamit ang bind DN
uid=[protektado ng email],cn=users,cn=compat,$SUFFIX.

Ang pagpapatunay ng LDAP na isinagawa ng compat tree ay ginagawa sa pamamagitan ng PAM 'system-auth'
serbisyo. Ang serbisyong ito ay umiiral bilang default sa mga sistema ng Linux at ibinibigay ng pam
package bilang /etc/pam.d/system-auth. Kung ang iyong IPA install ay walang default na HBAC
naka-enable ang panuntunang 'allow_all', pagkatapos ay siguraduhing tukuyin ang tinatawag na espesyal na serbisyo ng IPA
'system-auth' at lumikha ng panuntunan ng HBAC upang payagan ang access ng sinuman sa panuntunang ito sa IPA
mga panginoon

bilang 'system-auth' Ang serbisyo ng PAM ay hindi direktang ginagamit ng anumang iba pang aplikasyon, ito ay
ligtas na gamitin ito para sa mga pinagkakatiwalaang user ng domain sa pamamagitan ng compatibility path.

EXIT STATUS
0 kung matagumpay ang pag-install

1 kung may naganap na error

Gumamit ng ipa-adtrust-install online gamit ang mga serbisyo ng onworks.net