ipa-client-install - Online sa Cloud

PROGRAMA:

NAME

ipa-client-install - I-configure ang isang IPA client

SINOPSIS

ipa-client-install [OPTION] ...

DESCRIPTION

Kino-configure ang isang client machine na gumamit ng IPA para sa authentication at identity services.

Bilang default, kino-configure nito ang SSSD para kumonekta sa isang IPA server para sa pagpapatunay at
awtorisasyon. Opsyonal, maaari na lang i-configure ng isa ang PAM at NSS (Name Switching Service)
upang gumana sa isang IPA server sa Kerberos at LDAP.

Kinakailangan ng isang awtorisadong user na sumali sa isang client machine sa IPA. Ito ay maaaring magkaroon ng anyo ng
isang kerberos principal o isang minsanang password na nauugnay sa makina.

Ang parehong tool na ito ay ginagamit upang i-unconfigure ang IPA at sinusubukang ibalik ang makina sa nito
nakaraang estado. Bahagi ng prosesong ito ang pag-unenroll ng host mula sa IPA server.
Ang pag-unenroll ay binubuo ng hindi pagpapagana ng pangunahing key sa IPA server upang ito ay maganap
muling nagpatala. Ang punong-guro ng makina sa /etc/krb5.keytab (host/ @REALM) ay nakasanayan na
i-authenticate sa IPA server para i-unenroll ang sarili nito. Kung wala itong punong guro noon
mabibigo ang pag-unenroll at kailangang i-disable ng administrator ang host principal (ipa
host-disable ).

Pagpapalagay
Ipinapalagay ng ipa-client-install na script na ang makina ay nakabuo na ng mga SSH key. Ito
hindi bubuo ng mga SSH key sa sarili nitong pagsang-ayon. Kung wala ang mga SSH key (hal. kapag
pagpapatakbo ng ipa-client-install sa isang kickstart, bago tumakbo ang sshd), hindi sila magiging
na-upload sa entry ng host ng kliyente sa server.

hostname Kinakailangan
Dapat gumamit ang kliyente ng a statik hostname. Kung nagbabago ang hostname ng machine halimbawa dahil sa a
dynamic na hostname na pagtatalaga ng isang DHCP server, pagpapatala ng kliyente sa IPA server break at
hindi magagawa ng user ang pagpapatunay ng Kerberos.

--hostname na opsyon ay maaaring gamitin upang tukuyin ang isang static na hostname na nagpapatuloy sa pag-reboot.

DNS Autodiscovery
Bilang default, sinusubukan ng installer ng kliyente na maghanap ng _ldap._tcp.DOMAIN DNS SRV record para sa lahat
mga domain na parent sa hostname nito. Halimbawa, kung ang isang client machine ay may hostname
'client1.lab.example.com', susubukan ng installer na kumuha ng hostname ng IPA server mula sa
_ldap._tcp.lab.example.com, _ldap._tcp.example.com at _ldap._tcp.com DNS SRV record,
ayon sa pagkakabanggit. Ang natuklasang domain ay gagamitin upang i-configure ang mga bahagi ng kliyente (hal. SSSD
at Kerberos 5 configuration) sa makina.

Kapag ang client machine hostname ay wala sa isang subdomain ng isang IPA server, ang domain nito ay maaaring
naipasa gamit ang --domain na opsyon. Sa kasong iyon, ang mga bahagi ng SSSD at Kerberos ay mayroong
domain na itinakda sa mga configuration file at gagamitin ito sa autodiscover ng mga IPA server.

Maaari ding i-configure ang makina ng kliyente nang walang autodiscovery ng DNS. Kapag pareho
Ginagamit ang --server at --domain na mga opsyon, gagamitin ng client installer ang tinukoy na server at
direktang domain. --server na opsyon ay tumatanggap ng maramihang server hostname na maaaring gamitin para sa
mekanismo ng failover. Kung walang DNS autodiscovery, ang Kerberos ay na-configure na may nakapirming listahan ng
Mga server ng KDC at Admin. Naka-configure pa rin ang SSSD upang subukang basahin ang SRV ng domain
record o ang tinukoy na nakapirming listahan ng mga server. Kapag tinukoy ang --fixed-primary na opsyon,
Hindi susubukan ng SSSD na basahin ang tala ng DNS SRV (tingnan ang sssd-ipa(5) para sa mga detalye).

Ang Pagkabigo Mekanismo
Kapag ang ilan sa mga IPA server ay hindi magagamit, ang mga bahagi ng kliyente ay makakapag-fallback sa
ibang IPA replica at sa gayon ay pinapanatili ang patuloy na serbisyo. Kapag ang makina ng kliyente ay
na-configure na gumamit ng DNS SRV record autodiscovery (walang nakapirming server na naipasa sa
installer), awtomatikong ginagawa ng mga bahagi ng kliyente ang fallback, batay sa IPA server
hostname at priyoridad na natuklasan mula sa mga tala ng DNS SRV.

Kung hindi available ang autodiscovery ng DNS, dapat na i-configure ang mga kliyente kahit man lang sa isang fixed
listahan ng mga IPA server na maaaring magamit kung sakaling mabigo. Kapag isa lang ang IPA server
naka-configure, hindi magiging available ang mga serbisyo ng kliyente ng IPA kung sakaling mabigo ang IPA
server. Pakitandaan, na sa kaso ng isang nakapirming listahan ng mga IPA server, ang nakapirming server ay naglilista
sa mga bahagi ng kliyente ay kailangang ma-update kapag ang isang bagong IPA server ay naka-enroll o isang kasalukuyang IPA
naka-decommission ang server.

Magkakasamang buhay may iba Directory Server
Maaaring gamitin ng ibang mga directory server na naka-deploy sa network (hal. Microsoft Active Directory).
ang parehong mga tala ng DNS SRV upang tukuyin ang mga host na may serbisyo sa direktoryo (_ldap._tcp.DOMAIN).
Maaaring masira ng mga naturang DNS SRV record ang pag-install kung matuklasan ng installer ang DNS na ito
mga talaan bago nito mahanap ang mga tala ng DNS SRV na tumuturo sa mga IPA server. Ang installer ay pagkatapos
nabigo upang matuklasan ang IPA server at lumabas nang may error.

Upang maiwasan ang mga nabanggit na isyu sa autodiscovery ng DNS, ang hostname ng client machine
dapat ay nasa isang domain na may wastong tinukoy na mga tala ng DNS SRV na tumuturo sa mga IPA server,
alinman sa manu-manong gamit ang isang custom na DNS server o may IPA DNS integrated solution. Isang segundo
diskarte ay upang maiwasan ang autodiscovery at i-configure ang installer upang gumamit ng isang nakapirming listahan
ng IPA server hostname gamit ang --server na opsyon at may --fixed-primary na opsyon
hindi pagpapagana ng DNS SRV record autodiscovery sa SSSD.

Muling pagpapatala of ang marami
Kinakailangan:

1. Hindi na-unenroll ang host (ang ipa-client-install --uninstall command ay hindi pa
tumakbo).
2. Ang host entry ay hindi na-disable sa pamamagitan ng ipa host-disable command.

Kung ito ang nangyari, maaaring muling i-enroll ang host gamit ang mga karaniwang pamamaraan.

Mayroong dalawang paraan ng pagpapatunay ng muling pagpapatala:

1. Maaari mong gamitin ang opsyong --force-join gamit ang command na ipa-client-install. Pinapatunayan nito ang
muling pagpapatala gamit ang mga kredensyal ng admin na ibinigay sa pamamagitan ng -w/--password na opsyon.
2. Kung ang pagbibigay ng password ng admin sa pamamagitan ng command line ay hindi isang opsyon (hal. gusto mo
para gumawa ng script para muling mag-enroll ng host at panatilihing secure ang password ng admin), maaari mong gamitin
na-back up ang keytab mula sa nakaraang enrollment ng host na ito para ma-authenticate. Tingnan ang --keytab
pagpipilian.

Mga kahihinatnan ng muling pagpapatala sa entry ng host:

1. Isang bagong host certificate ang inisyu
2. Ang lumang sertipiko ng host ay binawi
3. Ang mga bagong SSH key ay nabuo
4. Ang ipaUniqueID ay pinapanatili

Opsyon

BATAYANG Opsyon
--domain=DOMAIN
Itakda ang domain name sa DOMAIN. Kapag walang --server na opsyon ay tinukoy, ang installer
ay susubukan na matuklasan ang lahat ng magagamit na mga server sa pamamagitan ng autodiscovery ng tala ng DNS SRV (tingnan
Seksyon ng DNS Autodiscovery para sa mga detalye).

--server=SERVER
Itakda ang IPA server para kumonekta. Maaaring tukuyin nang maraming beses upang magdagdag ng marami
mga server sa halaga ng ipa_server sa sssd.conf o krb5.conf. Tanging ang unang halaga ay
isinasaalang-alang kapag ginamit sa --no-sssd. Kapag ginamit ang opsyong ito, autodiscovery ng DNS
para sa Kerberos ay hindi pinagana at isang nakapirming listahan ng mga KDC at Admin server ay na-configure.

--kaharian=REALM_NAME
Itakda ang pangalan ng IPA realm sa REALM_NAME. Sa ilalim ng normal na mga pangyayari, ang pagpipiliang ito ay
hindi kailangan dahil kinukuha ang realm name mula sa IPA server.

--fixed-primary
I-configure ang SSSD para gumamit ng fixed server bilang pangunahing IPA server. Ang default ay sa
gumamit ng mga tala ng DNS SRV upang matukoy ang pangunahing server na gagamitin at bumalik sa
server kung saan naka-enroll ang kliyente. Kapag ginamit kasabay ng --server pagkatapos ay hindi
Ang halaga ng _srv_ ay nakatakda sa opsyong ipa_server sa sssd.conf.

-p, --punong-guro
Awtorisadong kerberos principal na gamitin para sumali sa IPA realm.

-w PASSWORD, --password=PASSWORD
Password para sa pagsali sa isang makina sa IPA realm. Ipinagpapalagay ang maramihang password maliban kung
nakatakda na rin ang principal.

-W I-prompt ang password para sa pagsali sa isang machine sa IPA realm.

-k, --keytab
Path sa naka-back up na keytab ng host mula sa nakaraang enrollment. Sumasali sa host kahit na ito
naka-enroll na.

--mkhomedir
I-configure ang PAM upang lumikha ng home directory ng mga user kung wala ito.

--hostname
Ang hostname ng machine na ito (FQDN). Kung tinukoy, itatakda ang hostname at ang
ia-update ang configuration ng system upang magpatuloy sa pag-reboot. Bilang default, isang nodename
resulta mula sa uname(2) ay ginagamit.

--force-join
Sumali sa host kahit na ito ay naka-enroll na.

--ntp-server=NTP_SERVER
I-configure ang ntpd para gamitin ang NTP server na ito. Maaaring gamitin ang opsyong ito nang maraming beses.

-N, --hindi-ntp
Huwag i-configure o paganahin ang NTP.

--force-ntpd
Ihinto at huwag paganahin ang anumang mga serbisyo sa pag-synchronize ng oras at petsa bukod sa ntpd.

--nisdomain=NIS_DOMAIN
Itakda ang pangalan ng domain ng NIS bilang tinukoy. Bilang default, ito ay nakatakda sa IPA domain
pangalan.

--no-nisdomain
Huwag i-configure ang pangalan ng domain ng NIS.

--ssh-trust-dns
I-configure ang OpenSSH client para magtiwala sa mga tala ng DNS SSHFP.

--hindi-ssh
Huwag i-configure ang OpenSSH client.

--walang-sshd
Huwag i-configure ang OpenSSH server.

--no-sudo
Huwag i-configure ang SSSD bilang data source para sa sudo.

--no-dns-sshfp
Huwag awtomatikong lumikha ng mga tala ng DNS SSHFP.

--noac Huwag gumamit ng Authconfig upang baguhin ang configuration ng nsswitch.conf at PAM.

-f, --puwersa
Pilitin ang mga setting kahit na magkaroon ng mga error

--kinit-attempts=KINIT_ATTEMPTS
Sa kaso ng hindi tumutugon na KDC (hal. kapag nag-enroll ng maraming host nang sabay-sabay sa isang heavy
load environment) ulitin ang kahilingan para sa host Kerberos ticket hanggang sa kabuuang bilang
of KINIT_ATTEMPTS beses bago sumuko at i-abort ang pag-install ng kliyente. Default
bilang ng mga pagtatangka ay 5. Ang kahilingan ay hindi nauulit kapag may problema sa
mismong mga kredensyal ng host (hal. maling format ng keytab o di-wastong punong-guro) kaya
ang paggamit sa opsyong ito ay hindi hahantong sa mga lockout ng account.

-d, --debug
I-print ang impormasyon sa pag-debug sa stdout

-U, --walang binabantayan
Pag-install nang hindi nag-aalaga. Hindi ipo-prompt ang user.

--ca-cert-file=CA_FILE
Huwag subukang kunin ang sertipiko ng IPA CA sa pamamagitan ng mga awtomatikong paraan, sa halip ay gamitin
ang CA certificate na matatagpuan lokal sa in CA_FILE. ang CA_FILE dapat ay isang ganap
path sa isang PEM formatted certificate file. Ang sertipiko ng CA ay matatagpuan sa CA_FILE is
itinuturing na makapangyarihan at mai-install nang hindi tinitingnan kung ito ay
valid para sa IPA domain.

--kahilingan-cert
Humiling ng sertipiko para sa makina. Ang sertipiko ay maiimbak sa
/etc/ipa/nssdb sa ilalim ng palayaw na "Local IPA host".

--automount-lokasyon=LOCATION
I-configure ang automount sa pamamagitan ng pagtakbo ipa-client-automount(1) kasama LOCATION bilang automount
lokasyon.

--configure-firefox
I-configure ang Firefox upang gumamit ng mga kredensyal ng domain ng IPA.

--firefox-dir=DIR
Tukuyin ang direktoryo ng pag-install ng Firefox. Halimbawa: '/usr/lib/firefox'

--IP address=IP ADDRESS
paggamit IP ADDRESS sa DNS A/AAAA record para sa host na ito. Maaaring tukuyin ng maraming beses
para magdagdag ng maramihang DNS record.

--lahat-ip-address
Gumawa ng DNS A/AAAA record para sa bawat IP address sa host na ito.

SSSD Opsyon
--pahintulutan
I-configure ang SSSD para pahintulutan ang lahat ng access. Kung hindi, ang makina ay makokontrol ng
ang Host-based Access Controls (HBAC) sa IPA server.

--enable-dns-updates
Sinasabi ng opsyong ito sa SSSD na awtomatikong i-update ang DNS gamit ang IP address nito
client.

--no-krb5-offline-password
I-configure ang SSSD na hindi mag-imbak ng password ng user kapag offline ang server.

-S, --hindi-sssd
Huwag i-configure ang kliyente na gumamit ng SSSD para sa pagpapatunay, gamitin ang nss_ldap sa halip.

--preserve-sssd
Hindi pinagana bilang default. Kapag pinagana, pinapanatili ang lumang configuration ng SSSD kung hindi
posibleng pagsamahin ito sa bago. Epektibo, kung hindi posible ang pagsasanib
sa SSSDConfig reader na nakakaranas ng mga hindi suportadong opsyon, ipa-client-install ay hindi mag
tumakbo pa at hilingin na ayusin muna ang SSSD config. Kapag hindi tinukoy ang opsyong ito,
ipa-client-install ay magba-back up ng SSSD config at gagawa ng bago. Ang back up na bersyon
ay maibabalik sa panahon ng pag-uninstall.

I-UNINSTALL Opsyon
--uninstall
Alisin ang IPA client software at ibalik ang configuration sa pre-IPA state.

-U, --walang binabantayan
Pag-uninstall ng hindi nag-aalaga. Hindi ipo-prompt ang user.

Gumamit ng ipa-client-install online gamit ang mga serbisyo ng onworks.net