Це команда ipa-adtrust-install, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
ipa-adtrust-install - Підготуйте сервер IPA для встановлення довірчих відносин
з доменами AD
СИНТАКСИС
ipa-adtrust-install [ВАРІАНТ]...
ОПИС
Додає всі необхідні об’єкти та конфігурацію, щоб дозволити серверу IPA створити довіру
домен Active Directory. Для цього потрібно, щоб сервер IPA вже був встановлений і
налаштовано.
Зауважте, що ви не зможете встановити довіру до домену Active Directory
якщо ім’я області сервера IPA не відповідає його доменному імені.
ipa-adtrust-install можна запускати кілька разів, щоб перевстановити видалені або зламані об’єкти
файли конфігурації. Наприклад, нова конфігурація samba (файл smb.conf і реєстр
можна створити конфігурацію. Інші елементи, наприклад, конфігурація локального діапазону
не можна змінити, запустивши ipa-adtrust-install вдруге, оскільки зі змінами тут
інші об'єкти також можуть постраждати.
брандмауер Вимога
На додаток до вимог до брандмауера сервера IPA, ipa-adtrust-install вимагає
Наступні порти повинні бути відкритими, щоб дозволити IPA та Active Directory взаємодіяти разом:
TCP порти
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· Від 1024/tcp до 1300/tcp, щоб дозволити EPMAP на порту 135/tcp створити прослуховувач TCP
на основі вхідного запиту.
UDP порти
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
ВАРІАНТИ
-d, --відлагоджувати
Увімкніть журнал налагодження, коли потрібен більш докладний вихід
--netbios-назва=NETBIOS_NAME
Ім’я NetBIOS для домену IPA. Якщо не надано, то це визначається на основі
на провідному компоненті доменного імені DNS. Запуск ipa-adtrust-install для a
другий раз з іншою назвою NetBIOS змінить назву. Будь ласка, зверніть увагу, що
зміна імені NetBIOS може порушити існуючі довірчі відносини з іншими
домени.
--no-msdcs
Не створюйте записи служби DNS для Windows на керованому DNS-сервері. З тих
Записи служби DNS – це єдиний спосіб виявити інші контролери домену
доменів їх потрібно додати вручну на інший DNS-сервер, щоб дозволити довіру
відносини працюють належним чином. Усі необхідні службові записи вказано, коли
ipa-adtrust-install завершується, і або --no-msdcs було надано, або не було служби IPA DNS
налаштовано. Зазвичай необхідні службові записи для таких назв послуг
для домену IPA, який має вказувати на всі сервери IPA:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sides
Додайте ідентифікатори SID до наявних користувачів і груп на останніх кроках
ipa-adtrust-install запустити. Якщо є багато існуючих користувачів і груп і пара
реплік у середовищі, ця операція може призвести до високого трафіку реплікації
і погіршення продуктивності всіх серверів IPA в середовищі. Щоб уникнути цього
Генерація SID може бути запущена після запуску та запланування ipa-adtrust-install
самостійно. Щоб розпочати це завдання, вам потрібно завантажити відредаговану версію ipa-sidgen-
task-run.ldif за допомогою команди ldapmodify інформація про сервер каталогів.
--add-агенти
Додайте IPA masters до списку, який дозволяє обслуговувати інформацію про користувачів
надійні ліси. Починаючи з FreeIPA 4.2, звичайний майстер IPA може забезпечити це
інформацію для клієнтів SSSD. Майстри IPA не додаються до списку автоматично як
потрібен перезапуск служби LDAP на кожному з них. Господар де
ipa-adtrust-install виконується додається автоматично.
Зауважте, що головні файли IPA, де ipa-adtrust-install не було запущено, можуть надавати інформацію
про користувачів із довірених лісів, лише якщо їх увімкнено через ipa-adtrust-install
запустити на будь-якому іншому головному пристрої IPA. Потрібен принаймні SSSD версії 1.13 на IPA master
мати можливість виконувати функції довірчого агента.
-U, --без нагляду
Інсталяція без нагляду, яка ніколи не запитуватиме введення користувача
-U, --rid-base=RID_BASE
Перше значення RID локального домену. Першим Posix ID локального домену буде
призначений цьому RID, другий — RID+1 тощо. Дивіться онлайн-довідку idrange
CLI для деталей.
-U, --secondary-rid-base=SECONDARY_RID_BASE
Початкове значення вторинного діапазону RID, яке використовується лише у випадку користувача та a
група поділяє чисельно однаковий Posix ID. Перегляньте онлайн-довідку про idrange CLI
for details.
-A, --ім'я адміністратора=ADMIN_NAME
Ім’я користувача з правами адміністратора для цього сервера IPA. Значення за замовчуванням
до "адміністратора".
-a, --адмін-пароль=пароль
Пароль користувача з правами адміністратора для цього IPA-сервера. Воля
запитати в інтерактивному режимі, якщо -U не вказано.
Облікові дані користувача адміністратора будуть використані для отримання квитка Kerberos раніше
налаштувати підтримку міжсферних довір, а потім переконатися, що квиток містить
Інформація MS-PAC, необхідна для фактичного додавання довіри до домену Active Directory через 'ipa
команда trust-add --type=ad'.
--enable-compat
Вмикає підтримку користувачів надійних доменів для старих клієнтів через схему
Плагін сумісності. SSSD підтримує надійні домени, починаючи з версії
1.9. Для платформ, на яких не вистачає SSSD або запущено старішу версію SSSD, потрібно використовувати це
варіант. Якщо ввімкнено, пакет slapi-nis потрібно встановити та
schema-compat-plugin буде налаштовано для пошуку користувачів і груп із
надійні домени через SSSD на сервері IPA. Ці користувачі та групи будуть доступні
при cn=користувачі,cn=compat,$SUFFIX та cn=групи,cn=compat,$SUFFIX дерева. SSSD буде
нормалізувати імена користувачів і груп у нижній регістр.
На додаток до надання цих користувачів і груп через дерево зрівняння, це
Опція вмикає автентифікацію через LDAP для довірених користувачів домену з DN нижче
compat дерево, тобто використання bind DN
uid=[захищено електронною поштою],cn=користувачі,cn=compat,$SUFFIX.
Аутентифікація LDAP, що виконується деревом компатингу, виконується через PAM 'система-авт'
обслуговування. Ця служба за замовчуванням існує в системах Linux і надається pam
упакувати як /etc/pam.d/system-auth. Якщо ваша установка IPA не має HBAC за замовчуванням
правило 'allow_all' увімкнено, а потім обов'язково визначте в IPA спеціальну службу, яка називається
'система-авт' і створіть правило HBAC, щоб надати доступ будь-кому до цього правила на IPA
майстри.
як 'система-авт' Служба PAM не використовується безпосередньо жодною іншою програмою
безпечно використовувати його для довірених користувачів домену через шлях сумісності.
EXIT СТАТУС
0, якщо установка пройшла успішно
1, якщо сталася помилка
Використовуйте ipa-adtrust-install онлайн за допомогою служб onworks.net
