Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ipa-client-install komutudur.
Program:
ADI
ipa-client-install - Bir IPA istemcisi yapılandırın
SİNOPSİS
ipa-istemci kurulumu [SEÇENEK] ...
TANIM
Kimlik doğrulama ve kimlik hizmetleri için IPA'yı kullanmak üzere bir istemci makinesini yapılandırır.
Varsayılan olarak bu, SSSD'yi kimlik doğrulama için bir IPA sunucusuna bağlanacak şekilde yapılandırır ve
yetki. İsteğe bağlı olarak, bunun yerine PAM ve NSS (Ad Değiştirme Hizmeti) yapılandırılabilir.
Kerberos ve LDAP üzerinden bir IPA sunucusuyla çalışmak.
Bir istemci makinenin IPA'ya katılması için yetkili bir kullanıcı gerekir. Bu şeklinde olabilir
makineyle ilişkili bir kerberos sorumlusu veya bir kerelik parola.
Aynı araç, IPA'yı yapılandırmak için kullanılır ve makineyi eski durumuna döndürmeye çalışır.
önceki devlet. Bu işlemin bir kısmı, ana bilgisayarın IPA sunucusundan kaydını silmektir.
Kayıt iptali, IPA sunucusundaki asıl anahtarın devre dışı bırakılmasından oluşur, böylece
yeniden kaydoldu. /etc/krb5.keytab içindeki makine sorumlusu (host/ @REALM) için kullanılır
kendi kaydını iptal etmek için IPA sunucusunda kimlik doğrulaması yapın. Bu anapara yoksa
kayıt iptali başarısız olacak ve bir yöneticinin ana bilgisayar sorumlusunu (ipa
ana bilgisayar-devre dışı ).
varsayımlar
ipa-client-install betiği, makinenin zaten SSH anahtarları oluşturduğunu varsayar. Bilişim Teknoloji
SSH anahtarlarını kendi isteğiyle oluşturmayacaktır. SSH anahtarları yoksa (örn.
ipa-client-install'ı bir kickstart'ta çalıştırmak, sshd'yi çalıştırmadan önce), bunlar olmayacak
sunucudaki istemci ana bilgisayar girişine yüklenir.
Hostadı Yer Alan Kurallar
Müşteri bir statik hostname. Makine ana bilgisayar adı, örneğin bir
bir DHCP sunucusu tarafından dinamik ana bilgisayar adı ataması, IPA sunucusu kesintilerine istemci kaydı ve
kullanıcı daha sonra Kerberos kimlik doğrulamasını gerçekleştiremez.
--hostname seçeneği, yeniden başlatma sırasında devam eden statik bir ana bilgisayar adı belirtmek için kullanılabilir.
DNS otomatik keşif
İstemci yükleyici varsayılan olarak tümü için _ldap._tcp.DOMAIN DNS SRV kayıtlarını aramaya çalışır.
ana bilgisayar adının üst öğesi olan etki alanları. Örneğin, bir istemci makinenin bir ana bilgisayar adı varsa
'client1.lab.example.com', yükleyici, IPA sunucusu ana bilgisayar adını şu adresten almaya çalışacaktır:
_ldap._tcp.lab.example.com, _ldap._tcp.example.com ve _ldap._tcp.com DNS SRV kayıtları,
sırasıyla. Keşfedilen etki alanı daha sonra istemci bileşenlerini yapılandırmak için kullanılır (örn. SSSD
ve Kerberos 5 yapılandırması) makinede.
İstemci makine ana bilgisayar adı bir IPA sunucusunun alt etki alanında olmadığında, etki alanı şu şekilde olabilir:
--domain seçeneği ile geçti. Bu durumda, hem SSSD hem de Kerberos bileşenleri,
yapılandırma dosyalarında ayarlanır ve IPA sunucularını otomatik olarak keşfetmek için kullanır.
İstemci makinesi, bir DNS otomatik keşfi olmadan da yapılandırılabilir. her ikisi de
--server ve --domain seçenekleri kullanılır, istemci yükleyici belirtilen sunucuyu kullanır ve
doğrudan etki alanı. --server seçeneği, kullanılabilecek birden çok sunucu ana bilgisayar adını kabul eder.
yük devretme mekanizması. DNS otomatik keşfi olmadan, Kerberos sabit bir
KDC ve Yönetici sunucuları. SSSD, alanın SRV'sini okumayı denemek için hala yapılandırılmıştır
kayıtları veya belirtilen sabit sunucu listesi. --fixed-birincil seçenek belirtildiğinde,
SSSD, DNS SRV kaydını hiç okumaya çalışmayacaktır (bkz. sssd-ipa(5) ayrıntılar için).
The yük devretme Mekanizma
Bazı IPA sunucuları mevcut olmadığında, istemci bileşenleri geri dönebilir.
diğer IPA kopyası ve böylece devam eden bir hizmetin korunması. İstemci makinesi olduğunda
DNS SRV kaydı otomatik bulma özelliğini kullanacak şekilde yapılandırıldı (sisteme hiçbir sabit sunucu iletilmedi)
yükleyici), istemci bileşenleri, IPA sunucusuna bağlı olarak geri dönüşü otomatik olarak yapar
DNS SRV kayıtlarından keşfedilen ana bilgisayar adları ve öncelikler.
DNS otomatik bulma kullanılamıyorsa, istemciler en azından sabit bir
arıza durumunda kullanılabilecek IPA sunucularının listesi. Yalnızca bir IPA sunucusu olduğunda
yapılandırıldığında, IPA'nın arızalanması durumunda IPA istemci hizmetleri kullanılamayacaktır.
sunucu. Lütfen, sabit bir IPA sunucu listesi olması durumunda, sabit sunucu listelerinin
istemci bileşenlerinde, yeni bir IPA sunucusu kaydedildiğinde veya mevcut bir IPA'da güncellenmesi gerekir
sunucu devre dışı bırakıldı.
bir arada yaşama İle Diğer rehber Sunucular
Ağda konuşlandırılmış diğer dizin sunucuları (örneğin Microsoft Active Directory) şunları kullanabilir:
bir dizin hizmetine (_ldap._tcp.DOMAIN) sahip ana bilgisayarları belirtmek için aynı DNS SRV kayıtları.
Yükleyici bu DNS'leri keşfederse, bu tür DNS SRV kayıtları yüklemeyi bozabilir.
IPA sunucularına işaret eden DNS SRV kayıtlarını bulmadan önce kayıt yapar. Yükleyici daha sonra
IPA sunucusunu bulamıyor ve hatayla çıkıyor.
Yukarıda bahsedilen DNS otomatik bulma sorunlarından kaçınmak için, istemci makine ana bilgisayar adı
IPA sunucularına işaret eden, uygun şekilde tanımlanmış DNS SRV kayıtlarına sahip bir etki alanında olmalıdır,
özel bir DNS sunucusuyla veya IPA DNS entegre çözümüyle manuel olarak. Bir saniye
yaklaşım, otomatik keşiften kaçınmak ve yükleyiciyi sabit bir liste kullanacak şekilde yapılandırmak olacaktır.
--server seçeneğini kullanan ve --fixed-birincil seçeneği olan IPA sunucu ana bilgisayar adlarının sayısı
SSSD'de DNS SRV kaydı otomatik bulmayı devre dışı bırakma.
Yeniden kayıt of the ev sahibi
Gereksinimler:
1. Ana bilgisayar kaydı iptal edilmedi (ipa-client-install --uninstall komutu
Çalıştırmak).
2. Ana bilgisayar girişi, ipa host-disable komutuyla devre dışı bırakılmadı.
Bu durumda, ev sahibi olağan yöntemler kullanılarak yeniden kaydedilebilir.
Yeniden kaydın kimliğini doğrulamanın iki yöntemi vardır:
1. --force-join seçeneğini ipa-client-install komutu ile kullanabilirsiniz. Bu,
-w/--password seçeneğiyle sağlanan yönetici kimlik bilgilerini kullanarak yeniden kayıt.
2. Yöneticinin parolasını komut satırı aracılığıyla sağlamak bir seçenek değilse (örn.
bir ana bilgisayarı yeniden kaydettirmek ve yöneticinin parolasını güvende tutmak için bir komut dosyası oluşturmak için)
kimlik doğrulaması için bu ana bilgisayarın önceki kaydından yedeklenmiş tuş sekmesi. --keytab'a bakın
seçeneği.
Ev sahibi girişinde yeniden kaydın sonuçları:
1. Yeni bir ana bilgisayar sertifikası verilir
2. Eski ana bilgisayar sertifikası iptal edildi
3. Yeni SSH anahtarları oluşturulur
4. ipaUniqueID korunur
SEÇENEKLER
KLASİK SEÇENEKLER
--ihtisas=ALAN
Alan adını DOMAIN olarak ayarlayın. --server seçeneği belirtilmediğinde, yükleyici
kullanılabilir tüm sunucuları DNS SRV kaydı otomatik bulma yoluyla keşfetmeye çalışır (bkz.
Ayrıntılar için DNS Otomatik Bulma bölümü).
--sunucu=SUNUCU
Bağlanılacak IPA sunucusunu ayarlayın. Birden çok eklemek için birden çok kez belirtilebilir
sunucuları sssd.conf veya krb5.conf içindeki ipa_server değerine. Sadece ilk değer
--no-sssd ile kullanıldığında dikkate alınır. Bu seçenek kullanıldığında, DNS otomatik bulma
Kerberos için devre dışı bırakılır ve sabit bir KDC ve Yönetici sunucuları listesi yapılandırılır.
--Diyar=RELM_NAME
IPA bölge adını REALM_NAME olarak ayarlayın. Normal şartlar altında bu seçenek
bölge adı IPA sunucusundan alındığından gerekli değildir.
--sabit-birincil
SSSD'yi birincil IPA sunucusu olarak sabit bir sunucu kullanacak şekilde yapılandırın. Varsayılan
Kullanılacak birincil sunucuyu belirlemek için DNS SRV kayıtlarını kullanın ve
istemcinin kayıtlı olduğu sunucu. --server ile birlikte kullanıldığında hayır
_srv_ değeri, sssd.conf içindeki ipa_server seçeneğinde ayarlanır.
-p, --Müdür
IPA alanına katılmak için kullanılacak yetkili kerberos sorumlusu.
-w ŞİFRE, --parola=ŞİFRE
Bir makineyi IPA alanına katılmak için parola. olmadığı sürece toplu parolayı varsayar.
anapara da ayarlanır.
-W Bir makineyi IPA alanına katılmak için parolayı isteyin.
-k, --keytab
Önceki kayıttan yedeklenen ana bilgisayar tuş sekmesinin yolu. Ev sahibine katılsa bile
zaten kayıtlı.
--mkhomedir
Mevcut değilse, bir kullanıcı ana dizini oluşturmak için PAM'yi yapılandırın.
--ana bilgisayar adı
Bu makinenin ana bilgisayar adı (FQDN). Belirtilirse, ana bilgisayar adı ayarlanır ve
sistem yapılandırması, yeniden başlatma sırasında kalıcı olacak şekilde güncellenecektir. Varsayılan olarak bir düğüm adı
sonucu Adın(2) kullanılır.
--force-join
Zaten kayıtlı olsa bile toplantı sahibine katılın.
--ntp-sunucusu=NTP_SERVER
Bu NTP sunucusunu kullanmak için ntpd'yi yapılandırın. Bu seçenek birden çok kez kullanılabilir.
-N, --ntp yok
NTP'yi yapılandırmayın veya etkinleştirmeyin.
--force-ntpd
ntpd dışında herhangi bir saat ve tarih senkronizasyon hizmetini durdurun ve devre dışı bırakın.
--nisdomain=NIS_DOMAIN
NIS alan adını belirtildiği gibi ayarlayın. Varsayılan olarak bu, IPA etki alanına ayarlanmıştır
adı.
--nisdomain yok
NIS alan adını yapılandırmayın.
--ssh-güven-dns
OpenSSH istemcisini DNS SSHFP kayıtlarına güvenecek şekilde yapılandırın.
--hayır-ssh
OpenSSH istemcisini yapılandırmayın.
--hayır-sshd
OpenSSH sunucusunu yapılandırmayın.
--sudo yok
SSSD'yi sudo için bir veri kaynağı olarak yapılandırmayın.
--dns-sshfp yok
DNS SSHFP kayıtlarını otomatik olarak oluşturmayın.
--noac nsswitch.conf ve PAM yapılandırmasını değiştirmek için Authconfig'i kullanmayın.
-f, --Kuvvet
Hata oluşsa bile ayarları zorla
--kinit-girişimleri=KINIT_ATTEMPTS
Yanıt vermeyen KDC olması durumunda (örneğin, yoğun bir programda aynı anda birden çok ana bilgisayarı kaydederken
yükleme ortamı) ana bilgisayar Kerberos bileti talebini toplam sayıya kadar tekrarlayın
of KINIT_ATTEMPTS İstemci kurulumundan vazgeçmeden ve iptal etmeden önce. Varsayılan
deneme sayısı 5'tir. İle ilgili bir sorun olduğunda istek tekrarlanmaz.
ana bilgisayar kimlik bilgilerinin kendileri (örneğin, yanlış tuş sekmesi biçimi veya geçersiz müdür), bu nedenle
bu seçeneğin kullanılması hesap kilitlenmesine yol açmaz.
-d, - hata ayıklama
Hata ayıklama bilgilerini stdout'a yazdır
-U, --gözetimsiz
Katılımsız kurulum. Kullanıcıya sorulmayacak.
--ca-cert-dosyası=CA_FILE
IPA CA sertifikasını otomatik yollarla almaya çalışmayın, bunun yerine
içinde yerel olarak bulunan CA sertifikası CA_FILE. CA_FILE mutlak olmalı
PEM formatlı sertifika dosyasının yolu. Bulunan CA sertifikası CA_FILE is
yetkili olarak kabul edilir ve olup olmadığı kontrol edilmeden kurulacaktır.
IPA alanı için geçerlidir.
--istek-sertifika
Makine için sertifika isteyin. Sertifika şurada saklanacak:
/etc/ipa/nssdb "Yerel IPA ana bilgisayarı" takma adı altında.
--automount-konum=KONUM
Çalıştırarak automount'u yapılandırın ipa-istemci-otomatik montaj(1) ile KONUM otomatik olarak
yer.
--configure-firefox
Firefox'u IPA etki alanı kimlik bilgilerini kullanacak şekilde yapılandırın.
--firefox-dir=DIR
Firefox kurulum dizinini belirtin. Örneğin: '/usr/lib/firefox'
--IP adresi=IP ADRESİ
kullanım IP ADRESİ Bu ana bilgisayar için DNS A/AAAA kaydında. Birden çok kez belirtilebilir
Birden çok DNS kaydı eklemek için.
--tüm-ip-adresleri
Bu ana bilgisayardaki her IP adresi için DNS A/AAAA kaydı oluşturun.
SSSD SEÇENEKLER
--izin vermek
Tüm erişime izin vermek için SSSD'yi yapılandırın. Aksi takdirde makine tarafından kontrol edilecektir
IPA sunucusundaki Ana Bilgisayar Tabanlı Erişim Kontrolleri (HBAC).
--enable-dns-güncellemeleri
Bu seçenek, SSSD'ye DNS'yi bunun IP adresiyle otomatik olarak güncellemesini söyler.
istemcisi.
--no-krb5-çevrimdışı-şifreler
SSSD'yi, sunucu çevrimdışı olduğunda kullanıcı parolasını saklamayacak şekilde yapılandırın.
-S, --sssd yok
İstemciyi kimlik doğrulama için SSSD kullanacak şekilde yapılandırmayın, bunun yerine nss_ldap kullanın.
--koru-sssd
Varsayılan olarak devre dışıdır. Etkinleştirildiğinde, değilse eski SSSD yapılandırmasını korur
yenisiyle birleştirmek mümkündür. Etkili olarak, birleştirme nedeniyle mümkün değilse
desteklenmeyen seçeneklerle karşılaşan SSSDConfig okuyucusuna, ipa-istemci kurulumu olmaz
daha fazla çalıştırın ve önce SSSD yapılandırmasını düzeltmeyi isteyin. Bu seçenek belirtilmediğinde,
ipa-istemci kurulumu SSSD yapılandırmasını yedekleyecek ve yeni bir tane oluşturacaktır. Yedekleme sürümü
kaldırma sırasında geri yüklenir.
UNINSTALL SEÇENEKLER
--kaldır
IPA istemci yazılımını kaldırın ve yapılandırmayı IPA öncesi duruma geri yükleyin.
-U, --gözetimsiz
Katılımsız kaldırma. Kullanıcıya sorulmayacak.
onworks.net hizmetlerini kullanarak çevrimiçi olarak ipa-client-install kullanın
