Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ipa-replica-manage komutudur.
Program:
ADI
ipa-replica-manage - Bir IPA replikasını yönetin
SİNOPSİS
ipa-replika-yönet [SEÇENEK]... [EMRETMEK]
TANIM
Bir IPA sunucusunun çoğaltma sözleşmelerini yönetir.
Etki alanı düzeyindeki bir etki alanındaki IPA çoğaltma sözleşmelerini yönetmek için IPA CLI veya Web UI'yi kullanın,
ek bilgi için "ipa yardım topolojisi"ne bakın.
Kullanılabilir komutlar şunlardır:
bağlamak [SERVER_A]
- SERVER_A/localhost ve SERVER_B arasında yeni bir çoğaltma sözleşmesi ekler. NS
etki alanı düzeyi 1 yalnızca winsync anlaşmaları için geçerlidir.
kesmek [SERVER_A]
- SERVER_A/localhost ve SERVER_B arasındaki çoğaltma sözleşmesini kaldırır. NS
etki alanı düzeyi 1 yalnızca winsync anlaşmaları için geçerlidir.
del
- SUNUCU ile ilgili tüm çoğaltma anlaşmalarını ve verilerini kaldırır. Etki alanı düzeyinde 1
her iki sonek için verileri ve anlaşmaları kaldırır - etki alanı ve ca.
liste [SUNUCU]
- SUNUCU'nun tüm sunucularını veya sözleşmelerin listesini listeler
yeniden başlatmak
- Sunucudan veri alan IPA sunucusunun tam olarak yeniden başlatılmasını zorlar
--from seçeneğiyle belirtilir
zorla senkronizasyon
- İle belirtilen bir sunucudan çoğaltılacak tüm verileri hemen boşaltın.
-- seçenekten
liste-ruv
- Bu sunucudaki çoğaltma kimliklerini listeleyin.
temiz-ruv [REPLICATION_ID]
- Bir çoğaltma kimliğini kaldırmak için CLEANALLRUV görevini çalıştırın.
temiz-sarkan-ruv
- Sistemde kalan tüm RUV'leri ve CS-RUV'ları kaldırılmış halden temizler
kopyalar.
iptal-temiz-ruv [REPLICATION_ID]
- Çalışan bir CLEANALLRUV görevini iptal edin. --force seçeneği ile görev beklemez
önce iptal görevinin gönderildiği veya çevrimiçi olduğu tüm çoğaltma sunucuları
tamamlıyor.
liste-temiz-ruv
- Çalışan tüm CLEANALLRUV'ları listeleyin ve CLEANALLRUV görevlerini iptal edin.
dnarange-gösteri [SUNUCU]
- DNA aralıklarını listeleyin
dnarange kümesi SUNUCU BAŞLANGIÇ-END
- Bir master üzerinde DNA aralığını ayarlayın
dnanextrange-gösteri [SUNUCU]
- Sonraki DNA aralıklarını listeleyin
dnanextrange-kümesi SUNUCU BAŞLANGIÇ-END
- Bir master üzerinde DNA sonraki aralığını ayarlayın
Bağlan ve bağlantıyı kes seçenekleri, çoğaltma topolojisini yönetmek için kullanılır. Zaman
replika oluşturulur, yalnızca onu oluşturan master ile bağlantılıdır. bağlantı
seçeneği, onu diğer mevcut kopyalara bağlamak için kullanılabilir.
Bağlantıyı kesme seçeneği, bir kopyanın son bağlantısını kaldırmak için kullanılamaz. kaldırmak için
topolojiden çoğaltma del seçeneğini kullanın.
Bir replika silinir ve kısa bir zaman dilimi içinde yeniden eklenirse, 389-ds
onu oluşturan master üzerindeki örnek, yeniden kurulmadan önce yeniden başlatılmalıdır.
kopya. Master, eski hizmet sorumlularını önbelleğe alacak ve bu da
başarısız olmak için çoğaltma.
Her IPA ana sunucusunun benzersiz bir çoğaltma kimliği vardır. Bu kimlik, 389-ds-base tarafından şu durumlarda kullanılır:
çoğaltma durumu hakkında bilgi depolama. Çıktı, ustalardan ve bunların
ilgili çoğaltma kimliği. Görmek temiz-ruv
Bir master kaldırıldığında, diğer tüm master'ların kendi çoğaltma kimliğini
ustaların listesi. Normalde bu, bir master ile silindiğinde otomatik olarak gerçekleşir.
ipa-replika-yönet. ipa-replica-manage sırasında bir veya daha fazla master çalışmıyor veya ulaşılamıyorsa
yürütüldüğünde, bu çoğaltma kimliği hala mevcut olabilir. clean-ruv komutu şu amaçlarla kullanılabilir:
kullanılmayan bir çoğaltma kimliğini temizleyin.
NOT: temiz-ruv ÇOK TEHLİKELİ. Yanlış çoğaltma kimliğine karşı yürütme
bu ana hakkında tutarsız verilerde. Master, aşağıdaki durumlarda diğerinden yeniden başlatılmalıdır:
bu olur.
Bir master silindiğinde çoğaltma topolojisi incelenir ve bunu engellemeye çalışır.
yetim kalmaktan bir usta. Örneğin, topolojiniz A <-> B <-> C ise ve siz
master B'yi silmeye çalışın, başarısız olacaktır çünkü bu, master'ları ve A ve C'yi bırakacaktır.
yetim kaldı.
Master listesi cn=masters,cn=ipa,cn=etc,dc=example,dc=com içinde saklanır. Bu
bir master silindiğinde otomatik olarak temizlenebilir. Sildiğiniz ortaya çıkarsa
master ve tüm sözleşmeler ancak bu girişler hala var, o zaman yapamazsınız
üzerine IPA'yı yeniden yüklemek için kurulum aşağıdakilerle başarısız olur:
Bir IPA ana ana bilgisayarı, standart komutlar kullanılarak silinemez veya devre dışı bırakılamaz (ana bilgisayar-del,
örnek).
Artık bir ana, --cleanup seçeneğiyle del yönergesi kullanılarak temizlenebilir.
Bu, aksi takdirde host-del'i engelleyen cn=masters,cn=ipa,cn=etc içindeki girişleri kaldıracaktır.
çalışmaktan, dna profilinden, s4u2proxy yapılandırmasından, hizmet sorumlularından ve onu kaldırmaktan
varsayılan DUA profili defaultServerList'ten.
SEÇENEKLER
-H HOST, --ev sahibi=HOST
Yönetilecek IPA sunucusu. Varsayılan, komutun çalıştırıldığı makinedir.
Yeniden başlatma komutu tarafından onurlandırılmadı.
-p DM_ŞİFRE, --parola=DM_ŞİFRE
Kimlik doğrulama için kullanılacak Dizin Yöneticisi parolası
-v, --ayrıntılı
Ek bilgi sağlayın
-f, --Kuvvet
Bazı hata türlerini yok sayın, bir master'ı silerken sormayın
-c, --arama yok
DNS arama kontrolleri yapmayın.
-c, --Temizlemek
--force bayrağına sahip bir kalıbı silerken, bir ana öğeye kalan referansları kaldırın.
zaten silinmiş usta.
--binddn=ADMIN_DN
Uzak sunucuyla kullanmak için DN'yi bağlayın (varsayılan cn=Dizin Yöneticisi'dir) -
bu değeri komut satırında alıntıla
--bindpw=ADMIN_PWD
Uzak sunucuyla kullanılacak Bind DN parolası (varsayılan, yukarıdaki DM_PASSWORD'dir)
--winsync
Windows Eşitleme Sözleşmesi oluşturmayı/kullanmayı belirtir
--cacert=/yol/to/cacertfile
Uzak sunucuya TLS/SSL ile kullanılacak CA sertifikasının tam yolu ve dosya adı -
bu CA sertifikası, dizin sunucusunun sertifikasına yüklenecek
veritabanı
--win-alt ağaç=cn=Kullanıcılar,dc=örnek,dc=com
Senkronize etmek istediğiniz kullanıcıları içeren Windows alt ağacının DN'si (varsayılan
cn=Kullanıcılar, - bu genellikle Windows AD'nin varsayılan olarak kullandığı şeydir
value) - Bu değeri komut satırında belirtmeye dikkat edin
--passync=PASSSYNC_PWD
Eşitlemek için Windows PassSync eklentisi tarafından kullanılan IPA sistemi kullanıcısının parolası
şifreler. --winsync kullanılırken gereklidir. Bu, kullanmak zorunda olduğunuz anlamına gelmez.
PassSync hizmeti.
--dan=SUNUCU
Yeniden başlatma ve zorlama senkronizasyonu tarafından kullanılan, verilerin çekileceği sunucu
emreder.
ARALIKLAR
IPA, POSIX kimliklerini aşağıdakilere tahsis etmek için 389-ds Dağıtılmış Sayısal Atama (DNA) Eklentisini kullanır.
kullanıcılar ve gruplar. IPA kurulduğunda ve aralığın yarısı atandığında bir aralık oluşturulur
tahsis amacıyla ilk IPA yöneticisine.
Yeni IPA master'ları otomatik olarak bir DNA aralığı ataması almaz. Bir aralık ataması
yalnızca o ana cihaza bir kullanıcı veya POSIX grubu eklendiğinde yapılır.
DNA eklentisi ayrıca bir "güverte üstü" veya sonraki menzil konfigürasyonunu da destekler. Birincil ne zaman
menzil tükenir, daha fazlasını istemek için başka bir ustaya gitmek yerine,
tanımlıysa güverte üstü aralığı. Her ustanın yalnızca bir menzili ve bir güverte üstü menzili olabilir
tanımladı.
Bir master kaldırıldığında, onun DNA aralığını/aralıklarını başka bir master üzerine kaydetme girişiminde bulunulur.
güverte menzilinde. IPA, aralıkları genişletmeye veya birleştirmeye çalışmayacaktır. yoksa
mevcut güverte menzil yuvaları daha sonra bu kullanıcıya bildirilir. Aralık etkili
başka bir master aralığına manuel olarak birleştirilmediği sürece kaybolur.
DNA aralığı ve güverte üzerindeki (sonraki) değerler, dnarange-set kullanılarak yönetilebilir ve
dnanextrange-set komutları. Bu aralıkları yönetmek için kurallar şunlardır:
- Aralık, ipa tarafından tanımlanan şekilde tamamen yerel bir aralık içinde yer almalıdır.
idrange komutu.
- Aralık, başka bir IPA master'daki DNA aralığı veya güverte üstü aralığı ile çakışamaz.
- Aralık, bir AD Trust'ın kimlik aralığıyla çakışamaz.
- Birincil DNA aralığı kaldırılamaz.
- Güverte üzeri menzil aralığı 0-0 olarak ayarlanarak kaldırılabilir. varsayım
aralığın başka bir yere manuel olarak taşınacağını veya birleştirileceğini.
Belirli bir master'ın aralığı ve sonraki aralığı, bunun FQDN'si geçirilerek görüntülenebilir.
dnarange-show veya dnanextrange-show komutunda ustalaşın.
Yetkili bir yönetici olarak aralık değişiklikleri gerçekleştirme (örn. Dizin'i kullanmama)
Yönetici parolası) ek 389-ds ACI'ler gerektirir. Bunlar yükseltilmiş masterlere kurulur
ama mevcut olanlar değil. Değişiklikler, kopyalanmayan cn=config içinde yapılır. NS
sonuç, DNA aralıklarının yetkilendirilmiş olarak yükseltilmemiş ana sistemlerde yönetilememesidir.
Yönetici.
ÖRNEKLER
Tüm ustaları listele:
# ipa-replika-yönet listesi
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Bir sunucunun çoğaltma sözleşmelerini listeleyin.
# ipa-replika-yönetme listesi srv1.example.com
srv2.example.com
srv3.example.com
Bir kopyayı yeniden başlatın:
# ipa-replica-manage yeniden başlat --from srv2.example.com
Bu, komutu yürüttüğünüz sunucudaki verileri yeniden başlatacaktır,
srv2.example.com kopyasından verileri alma
Yeni bir çoğaltma sözleşmesi ekleyin:
# ipa-replica-yönet bağlantı srv2.example.com srv4.example.com
Mevcut bir çoğaltma sözleşmesini kaldırın:
# ipa-replica-manage bağlantıyı kes srv1.example.com srv3.example.com
Bir kopyayı tamamen kaldırın:
# ipa-replika-yönet del srv4.example.com
Bağlan/bağlantıyı kes özelliğini kullanarak çoğaltma topolojisini yönetebilirsiniz.
Kullanılan çoğaltma kimliklerini listeleyin:
# ipa-replika-listeyi yönet-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
Artık ve silinmiş bir ana öğeye yapılan referansları kaldırın:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Windows AD Eşitleme sözleşmesi oluşturmak, IPA çoğaltması oluşturmaya benzer
anlaşma, sadece birkaç ekstra adım var.
PassSync hizmeti için özel bir kullanıcı girişi oluşturulur. Bu girişin DN'si
uid=passsync,cn=sysaccounts,cn=vb, . kullanmak için PassSync kullanmanız gerekmez.
Windows senkronizasyon sözleşmesi, ancak kullanıcı için bir parola ayarlanması gerekiyor.
Aşağıdaki örnekler, senkronizasyon kullanıcısı olarak AD yönetici hesabını kullanır. Bu
zorunlu değildir, ancak kullanıcının alt ağaca okuma erişimi olmalıdır.
1. Base64 kodlu Windows AD CA Sertifikasını IPA Sunucunuza aktarın
2. Mevcut tüm kerberos kimlik bilgilerini kaldırın
#kdestroy
3. winsync çoğaltma sözleşmesini ekleyin
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=yönetici,cn=kullanıcılar,dc=ad,dc=örnek,dc=com" --bindpw
-v
Dizin Yöneticisinin parolasını girmeniz istenecektir.
Bir winsync çoğaltma sözleşmesi oluşturun:
# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=yönetici,cn=kullanıcılar,dc=ad,dc=örnek,dc=com" --bindpw MySecret -v
windows.ad.example.com
Bir winsync çoğaltma sözleşmesini kaldırın:
# ipa-replica-manage bağlantı kesme windows.ad.example.com
GEÇİŞLİ
PassSync, parolayı ele geçirmek için AD Etki Alanı Denetleyicilerinde çalışan bir Windows hizmetidir.
değişir. Bu şifre değişikliklerini TLS üzerinden IPA LDAP sunucusuna gönderir. Bu şifre
değişiklikler normal IPA parola ilkesi ayarlarını atlar ve parola şu şekilde ayarlanmaz:
derhal sona erer. Bunun nedeni, IPA'nın sahip olduğu parola değişikliğini aldığı zaman
AD tarafından zaten kabul edildi, bu yüzden reddetmek için çok geç.
IPA, parola ilkesinden muaf tutulan DN'lerin bir listesini tutar. Özel bir kullanıcı eklendi
bir winsync çoğaltma sözleşmesi oluşturulduğunda otomatik olarak. Bu kullanıcının DN'si
girişte passSyncManagersDNs'de saklanan muafiyet listesine eklendi
cn=ipa_pwd_extop,cn=eklentiler,cn=config.
EXIT DURUMU
0 komut başarılıysa
1 bir hata meydana gelirse
onworks.net hizmetlerini kullanarak ipa-replica-manage'i çevrimiçi kullanın
