Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ipa-adtrust-install komutudur.
Program:
ADI
ipa-adtrust-install - Güven ilişkileri kurabilmek için bir IPA sunucusu hazırlayın
AD alanlarıyla
SİNOPSİS
ipa-adtrust-kurulum [SEÇENEK] ...
TANIM
Bir IPA sunucusunun bir güven oluşturmasına izin vermek için gerekli tüm nesneleri ve yapılandırmayı ekler.
bir Active Directory etki alanı. Bu, IPA sunucusunun önceden kurulmuş olmasını ve
yapılandırılmıştır.
Lütfen bir Active Directory etki alanına güven oluşturamayacağınızı unutmayın.
IPA sunucusunun alan adı, alan adıyla eşleşmedikçe.
ipa-adtrust-install, silinen veya bozulan nesneleri yeniden yüklemek için birden çok kez çalıştırılabilir
yapılandırma dosyaları. Örneğin, yeni bir samba yapılandırması (smb.conf dosyası ve kayıt defteri tabanlı
konfigürasyon oluşturulabilir. Örneğin yerel aralığın yapılandırması gibi diğer öğeler
buradaki değişiklikler nedeniyle ipa-adtrust-install ikinci kez çalıştırılarak değiştirilemez
diğer nesneler de etkilenebilir.
güvenlik duvarı Yer Alan Kurallar
IPA sunucusu güvenlik duvarı gereksinimlerine ek olarak, ipa-adtrust-install aşağıdakileri gerektirir:
IPA ve Active Directory'nin birlikte iletişim kurmasına izin vermek için aşağıdaki bağlantı noktaları açık olmalıdır:
TCP Girişler
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp bağlantı noktasındaki EPMAP'nin bir TCP dinleyicisi oluşturmasına izin vermek için 1300/tcp ile 135/tcp arası
gelen bir talebe göre.
UDP Girişler
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udpLDAP
SEÇENEKLER
-d, - hata ayıklama
Daha ayrıntılı çıktı gerektiğinde hata ayıklama günlüğünü etkinleştir
--netbios-adı=NETBIOS_NAME
IPA etki alanı için NetBIOS adı. Sağlanmazsa, bu temel alınarak belirlenir
DNS etki alanı adının önde gelen bileşeninde. için ipa-adtrust-install'ı çalıştırma
ikinci kez farklı bir NetBIOS adı ile adı değiştirecektir. Lütfen bunu not al
NetBIOS adının değiştirilmesi, diğerleriyle var olan güven ilişkilerini bozabilir.
etki alanları.
--msdcs yok
Yönetilen DNS sunucusunda Windows için DNS hizmeti kayıtları oluşturmayın. Onlardan beri
DNS hizmeti kayıtları, diğerlerinin etki alanı denetleyicilerini keşfetmenin tek yoludur.
güvene izin vermek için farklı bir DNS sunucusuna manuel olarak eklenmeleri gerekir.
ilişkiler düzgün çalışıyor. Gerekli tüm servis kayıtları şu durumlarda listelenir:
ipa-adtrust-install tamamlandı ve --no-msdcs verildi veya IPA DNS hizmeti verilmedi
yapılandırılır. Genellikle aşağıdaki hizmet adları için hizmet kayıtları gereklidir
tüm IPA sunucularına işaret etmesi gereken IPA alanı için:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sids
SID'leri, son adımlardan itibaren mevcut kullanıcılara ve gruplara ekleyin.
ipa-adtrust-install çalıştırması. Çok sayıda mevcut kullanıcı ve grup varsa ve birkaç
ortamdaki kopyalar bu işlem yüksek bir çoğaltma trafiğine neden olabilir
ve ortamdaki tüm IPA sunucularında performans düşüşü. Bundan kaçınmak için
SID oluşturma, ipa-adtrust-install çalıştırıldıktan ve programlandıktan sonra çalıştırılabilir
bağımsız. Bu görevi başlatmak için ipa-sidgen-'in düzenlenmiş bir sürümünü yüklemeniz gerekir.
ldapmodify komutuyla task-run.ldif dizin sunucusunu bilgilendirir.
--add-agent'lar
Kullanıcılar hakkında bilgi sunmaya izin veren listeye IPA yöneticileri ekleyin.
güvenilir ormanlar FreeIPA 4.2 ile başlayarak, normal bir IPA yöneticisi bunu sağlayabilir
SSSD istemcilerine bilgi. IPA yöneticileri listeye otomatik olarak eklenmez.
her birinde LDAP hizmetinin yeniden başlatılması gerekir. ev sahibi nerede
ipa-adtrust-install otomatik olarak ekleniyor çalıştırılıyor.
ipa-adtrust-install'ın çalıştırılmadığı IPA yöneticilerinin bilgi sunabileceğini unutmayın.
yalnızca ipa-adtrust-install aracılığıyla etkinleştirildiyse güvenilir ormanlardaki kullanıcılar hakkında
başka herhangi bir IPA yöneticisinde çalıştırın. IPA master'da en az SSSD sürüm 1.13 gereklidir
bir güven ajanı olarak performans gösterebilmek için.
-U, --gözetimsiz
Hiçbir zaman kullanıcı girişi istemeyecek katılımsız bir kurulum
-U, --rid-taban=RID_BASE
Yerel etki alanının ilk RID değeri. Yerel etki alanının ilk Posix kimliği
bu RID'ye, ikincisi RID+1'e vb. atanmıştır. idrange'ın çevrimiçi yardımına bakın
Ayrıntılar için CLI.
-U, --ikincil-taban-tabanı=SECONDARY_RID_BASE
Yalnızca bir kullanıcı ve bir kullanıcı olması durumunda kullanılan ikincil RID aralığının başlangıç değeri.
grup sayısal olarak aynı Posix kimliğini paylaşır. idrange CLI'nin çevrimiçi yardımına bakın
Ayrıntılar için.
-A, --admin-adı=ADMIN_NAME
Bu IPA sunucusu için yönetici ayrıcalıklarına sahip kullanıcının adı. varsayılanlar
'yönetici' için.
-a, --yönetici şifresi=şifre
Bu IPA sunucusu için yönetici ayrıcalıklarına sahip kullanıcının parolası. Niyet
etkileşimli olarak sorulursa -U belirtilmedi.
Yönetici kullanıcının kimlik bilgileri, daha önce Kerberos bileti almak için kullanılacaktır.
biletin içerdiğinden emin olmak için bölgeler arası güven desteğini yapılandırma ve sonrasında
'ipa aracılığıyla Active Directory etki alanına gerçekten bir güven eklemek için gerekli MS-PAC bilgileri
trust-add --type=ad' komutu.
--enable-uyumluluk
Şema aracılığıyla eski istemciler için güvenilir etki alanı kullanıcıları için destek sağlar
Uyumluluk eklentisi. SSSD, sürümden başlayarak yerel olarak güvenilir etki alanlarını destekler
1.9. SSSD'si olmayan veya daha eski SSSD sürümünü çalıştıran platformlar için bunu kullanmanız gerekir.
seçenek. Etkinleştirildiğinde, slapi-nis paketinin kurulması ve
schema-compat-plugin, kullanıcıların ve grupların aranmasını sağlamak için yapılandırılacaktır.
IPA sunucusunda SSSD aracılığıyla güvenilir etki alanları. Bu kullanıcılar ve gruplar mevcut olacak
altında cn=kullanıcılar,cn=uyum,$SUFFIX ve cn=gruplar,cn=uyum,$SUFFIX ağaçlar. SSSD olacak
kullanıcı ve grup adlarını küçük harfe göre normalleştirin.
Bu kullanıcı ve grupları uyumluluk ağacı aracılığıyla sağlamanın yanı sıra, bu
seçeneği, altında DN'ye sahip güvenilir etki alanı kullanıcıları için LDAP üzerinden kimlik doğrulamayı etkinleştirir.
uyumluluk ağacı, yani bağlama DN'sini kullanma
kullanıcı kimliği=[e-posta korumalı],cn=kullanıcılar,cn=uyum,$SUFFIX.
Uyumluluk ağacı tarafından gerçekleştirilen LDAP kimlik doğrulaması, PAM ' aracılığıyla yapılırsistem-auth'
hizmet. Bu hizmet, Linux sistemlerinde varsayılan olarak bulunur ve pam tarafından sağlanır.
/etc/pam.d/system-auth olarak paketleyin. IPA kurulumunuzda varsayılan HBAC yoksa
'allow_all' kuralı etkinleştirildi, ardından IPA adlı özel hizmette tanımladığınızdan emin olun.
'sistem-auth' ve IPA'da bu kurala herkesin erişmesine izin vermek için bir HBAC kuralı oluşturun
ustalar.
Olarak 'sistem-auth' PAM hizmeti başka bir uygulama tarafından doğrudan kullanılmaz,
uyumluluk yolu aracılığıyla güvenilir etki alanı kullanıcıları için kullanmak güvenlidir.
EXIT DURUMU
0 kurulum başarılı olduysa
1 bir hata meydana gelirse
onworks.net hizmetlerini kullanarak ipa-adtrust-install'ı çevrimiçi kullanın
