Це команда ipa-client-install, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
ipa-client-install - Налаштувати клієнта IPA
СИНТАКСИС
ipa-клієнт-інсталяція [ВАРІАНТ]...
ОПИС
Налаштовує клієнтську машину на використання IPA для аутентифікації та служб ідентифікації.
За замовчуванням це налаштовує SSSD для підключення до сервера IPA для аутентифікації та
авторизація. За бажанням можна налаштувати PAM і NSS (Служба перемикання імен)
для роботи з сервером IPA через Kerberos і LDAP.
Для приєднання клієнтської машини до IPA потрібен авторизований користувач. Це може мати форму
принципал kerberos або одноразовий пароль, пов’язаний з комп’ютером.
Цей же інструмент використовується для деконфігурації IPA і намагається повернути машину до її стану
попередній стан. Частиною цього процесу є скасування реєстрації хоста на сервері IPA.
Скасування реєстрації полягає у вимкненні основного ключа на сервері IPA, щоб він міг бути
повторно зарахований. Принципал машини в /etc/krb5.keytab (host/ @REALM) звик
аутентифікуватися на сервері IPA, щоб скасувати реєстрацію. Якщо цього принципу не існує, то
скасування реєстрації не вдасться, і адміністратору потрібно буде вимкнути принципала хоста (ipa
хост-вимкнення ).
Припущення
Сценарій ipa-client-install передбачає, що машина вже створила ключі SSH. Це
не генеруватиме ключі SSH за власним бажанням. Якщо ключі SSH відсутні (наприклад, коли
запуск ipa-client-install на кикстарті, перш ніж запустити sshd), вони не будуть
завантажується в запис клієнтського хосту на сервері.
Hostname Вимога
Клієнт повинен використовувати a статичний ім'я хоста. Якщо ім’я хоста машини змінюється, наприклад, через a
динамічне призначення імені хоста DHCP-сервером, реєстрація клієнта на сервері IPA зриви та
тоді користувач не зможе виконати аутентифікацію Kerberos.
Опція --hostname може використовуватися для вказівки статичного імені хоста, яке зберігається під час перезавантаження.
DNS Автовиявлення
Програма встановлення клієнта за замовчуванням намагається шукати записи _ldap._tcp.DOMAIN DNS SRV для всіх
доменів, які є батьківськими для його імені хоста. Наприклад, якщо клієнтська машина має ім’я хоста
'client1.lab.example.com', інсталятор спробує отримати ім'я хоста сервера IPA з
Записи _ldap._tcp.lab.example.com, _ldap._tcp.example.com та _ldap._tcp.com DNS SRV,
відповідно. Потім виявлений домен використовується для налаштування клієнтських компонентів (наприклад, SSSD
та конфігурації Kerberos 5) на машині.
Якщо ім’я хоста клієнтської машини не знаходиться в субдомені сервера IPA, його домен може бути
передається з параметром --domain. У цьому випадку компоненти SSSD і Kerberos мають
домен, встановлений у файлах конфігурації, і використовуватиме його для автоматичного виявлення серверів IPA.
Клієнтську машину також можна налаштувати без автовиявлення DNS взагалі. Коли обидва
Використовуються параметри --server та --domain, інсталятор клієнта використовуватиме вказаний сервер і
безпосередньо домен. Опція --server приймає декілька імен хостів серверів, які можна використовувати для
механізм відбою. Без автоматичного виявлення DNS Kerberos налаштовується з фіксованим списком
KDC і сервери адміністратора. SSSD все ще налаштований на спробу прочитати SRV домену
записів або вказаного фіксованого списку серверів. Коли вказано параметр --fixed-primary,
SSSD взагалі не намагатиметься прочитати запис DNS SRV (див sssd-ipa(5) для деталей).
Команда Failover Механізм
Коли деякі сервери IPA недоступні, клієнтські компоненти можуть використовувати резервні засоби
іншу копію IPA і таким чином зберігаючи безперервне обслуговування. Коли клієнтська машина є
налаштовано на використання автовиявлення запису DNS SRV (жоден фіксований сервер не був переданий до
інсталятор), клієнтські компоненти виконують резервний резерв автоматично на основі сервера IPA
імена хостів та пріоритети, виявлені із записів DNS SRV.
Якщо автовиявлення DNS недоступне, клієнти мають бути налаштовані принаймні з фіксованим
список серверів IPA, які можна використовувати у разі збою. Коли є лише один сервер IPA
налаштовані, клієнтські служби IPA не будуть доступні у разі збою IPA
сервер. Зверніть увагу, що у випадку фіксованого списку серверів IPA, список фіксованих серверів
у клієнтських компонентах необхідно оновлювати, коли реєструється новий сервер IPA або поточний IPA
сервер виведений з експлуатації.
Співіснування з Інше Каталог Сервери
Можуть використовуватися інші сервери каталогів, розгорнуті в мережі (наприклад, Microsoft Active Directory).
ті самі записи DNS SRV для позначення хостів із службою каталогів (_ldap._tcp.DOMAIN).
Такі записи DNS SRV можуть порушити встановлення, якщо інсталятор виявить ці DNS
записів, перш ніж знайти записи DNS SRV, які вказують на сервери IPA. Тоді б установник
не вдалося виявити сервер IPA і вийти з помилкою.
Щоб уникнути вищезгаданих проблем з автовиявленням DNS, ім’я хоста клієнтської машини
має бути в домені з правильно визначеними записами DNS SRV, які вказують на сервери IPA,
вручну за допомогою спеціального DNS-сервера або за допомогою інтегрованого рішення IPA DNS. Секунда
Підхід полягав у тому, щоб уникнути автоматичного виявлення та налаштувати програму встановлення на використання фіксованого списку
імен хостів серверів IPA за допомогою параметра --server та параметра --fixed-primary
вимкнення автоматичного виявлення запису DNS SRV на SSSD.
Повторне зарахування of господар
Вимоги:
1. Хост не був скасований (команда ipa-client-install --uninstall не була
бігати).
2. Запис хосту не було вимкнено за допомогою команди ipa host-disable.
Якщо це сталося, хост можна повторно зареєструвати за допомогою звичайних методів.
Існує два способи аутентифікації повторної реєстрації:
1. Ви можете використовувати параметр --force-join з командою ipa-client-install. Це підтверджує автентичність
повторна реєстрація за допомогою облікових даних адміністратора, наданих за допомогою параметра -w/--password.
2. Якщо введення пароля адміністратора через командний рядок неможливе (наприклад, ви хочете
щоб створити сценарій для повторної реєстрації хоста та збереження пароля адміністратора в безпеці), можна використовувати
резервну копію ключової вкладки з попередньої реєстрації цього хоста для автентифікації. Дивіться --keytab
варіант.
Наслідки повторної реєстрації на записі хоста:
1. Видається новий сертифікат хоста
2. Старий сертифікат хоста скасовано
3. Генеруються нові ключі SSH
4. ipaUniqueID збережено
ВАРІАНТИ
BASIC ВАРІАНТИ
--домен=Домен
Встановіть ім’я домену DOMAIN. Якщо параметр --server не вказано, інсталятор
спробує виявити всі доступні сервери за допомогою автоматичного виявлення запису DNS SRV (див
Розділ автовиявлення DNS для детальної інформації).
--сервер=SERVER
Налаштуйте сервер IPA для підключення. Можна вказати кілька разів, щоб додати кілька
servers до значення ipa_server у sssd.conf або krb5.conf. Є лише перше значення
розглядається при використанні з --no-sssd. Коли використовується цей параметр, автоматичне виявлення DNS
для Kerberos вимкнено та налаштовано фіксований список серверів KDC та адміністратора.
--царство=REALM_NAME
Встановіть назву області IPA на REALM_NAME. За звичайних обставин цей варіант є
не потрібен, оскільки ім'я області витягується з сервера IPA.
--фіксована-первинна
Налаштуйте SSSD на використання фіксованого сервера як основного сервера IPA. За замовчуванням – до
використовуйте записи DNS SRV, щоб визначити основний сервер для використання та повернутися до
сервер, на якому зареєстрований клієнт. Якщо використовується разом із --server, тоді ні
Значення _srv_ встановлюється в параметрі ipa_server у sssd.conf.
-p, --директор
Авторизований принципал Kerberos для приєднання до сфери IPA.
-w ПАРОЛЬ, --пароль=ПАРОЛЬ
Пароль для приєднання машини до сфери IPA. Припускає масовий пароль, якщо
також встановлюється довіра.
-W Запитайте пароль для приєднання машини до області IPA.
-k, --клавіша
Шлях до резервної копії ключової вкладки хоста з попередньої реєстрації. Приєднується до хоста, навіть якщо він
вже зареєстрований.
--mkhomedir
Налаштуйте PAM для створення домашнього каталогу користувача, якщо він не існує.
--ім'я хоста
Ім’я хоста цієї машини (FQDN). Якщо вказано, буде встановлено ім’я хоста та
конфігурація системи буде оновлена, щоб зберегти її після перезавантаження. За замовчуванням ім'я вузла
бути результатом Uname(2) використовується.
--примусово приєднатися
Приєднуйтесь до хоста, навіть якщо він уже зареєстрований.
--ntp-сервер=NTP_SERVER
Налаштуйте ntpd для використання цього NTP-сервера. Цю опцію можна використовувати кілька разів.
-N, --no-ntp
Не налаштовуйте та не вмикайте NTP.
--force-ntpd
Зупиніть та вимкніть будь-які служби синхронізації часу та дати, крім ntpd.
--nisdomain=NIS_DOMAIN
Встановіть доменне ім’я NIS, як зазначено. За замовчуванням це домен IPA
ім'я.
--no-nisdomain
Не налаштовуйте доменне ім’я NIS.
--ssh-trust-dns
Налаштуйте клієнт OpenSSH на довіру до записів SSHFP DNS.
--ні-ssh
Не налаштовуйте клієнта OpenSSH.
--no-sshd
Не налаштовуйте сервер OpenSSH.
--no-sudo
Не налаштовуйте SSSD як джерело даних для sudo.
--no-dns-sshfp
Не створюйте автоматично записи DNS SSHFP.
--ноак Не використовуйте Authconfig для зміни конфігурації nsswitch.conf та PAM.
-f, --сила
Примусове налаштування, навіть якщо виникають помилки
--kinit-спроби=KINIT_ATTEMPTS
У разі невідповідності KDC (наприклад, при реєстрації кількох хостів одночасно у важкому
завантажте середовище) повторіть запит на квиток Kerberos хоста до загальної кількості
of KINIT_ATTEMPTS разів, перш ніж припинити встановлення клієнта. За замовчуванням
кількість спроб 5. Запит не повторюється, якщо є проблема з
самі облікові дані хоста (наприклад, неправильний формат ключової вкладки або недійсний принципал).
використання цієї опції не призведе до блокування облікового запису.
-d, --відлагоджувати
Друк налагоджувальної інформації на стандартний вихід
-U, --без нагляду
Установка без нагляду. Користувачу не буде запропоновано.
--ca-сертифікований файл=CA_FILE
Не намагайтеся отримати сертифікат CA IPA за допомогою автоматизованих засобів, замість цього використовуйте
сертифікат ЦС, знайдений локально в CA_FILE, CA_FILE має бути абсолютним
шлях до файлу сертифіката у форматі PEM. Сертифікат ЦС знайдено в CA_FILE is
вважається авторитетним і буде встановлено без перевірки, чи це так
дійсний для домену IPA.
--запит-сертифікат
Запит на сертифікат на машину. Сертифікат буде зберігатися в
/etc/ipa/nssdb під псевдонімом «Локальний хост IPA».
--automount-location=МІСЦЕ
Налаштуйте автоматичне монтування, запустивши ipa-клієнт-автомонтування(1) з МІСЦЕ як автомонтування
Місцезнаходження.
--configure-firefox
Налаштуйте Firefox на використання облікових даних домену IPA.
--firefox-dir=DIR
Вкажіть каталог встановлення Firefox. Наприклад: '/usr/lib/firefox'
--IP-адреса=IP-АДРЕСА
Скористайтесь IP-АДРЕСА у записі DNS A/AAAA для цього хоста. Можна вказати кілька разів
щоб додати кілька записів DNS.
--усі IP-адреси
Створіть запис DNS A/AAAA для кожної IP-адреси на цьому хості.
SSSD ВАРІАНТИ
--дозвіл
Налаштуйте SSSD, щоб дозволити весь доступ. В іншому випадку машиною буде керувати
Контроль доступу на основі хосту (HBAC) на сервері IPA.
--enable-dns-updates
Ця опція повідомляє SSSD автоматично оновлювати DNS за допомогою IP-адреси цього
клієнт.
--no-krb5-offline-passwords
Налаштуйте SSSD так, щоб пароль користувача не зберігався, коли сервер не в мережі.
-S, --no-sssd
Не налаштовуйте клієнта на використання SSSD для аутентифікації, замість цього використовуйте nss_ldap.
--preserve-sssd
Вимкнено за замовчуванням. Якщо ввімкнено, зберігає стару конфігурацію SSSD, якщо це не так
можливо об'єднати його з новим. Ефективно, якщо злиття неможливе через
для зчитувача SSSDConfig, який зустрічає непідтримувані параметри, ipa-клієнт-інсталяція не буде
запустіть далі та попросіть спочатку виправити конфігурацію SSSD. Якщо цей параметр не вказано,
ipa-клієнт-інсталяція створить резервну копію конфігурації SSSD та створить нову. Резервна версія
буде відновлено під час видалення.
НЕУСТАНОВА ВАРІАНТИ
--видалити
Видаліть клієнтське програмне забезпечення IPA та відновіть конфігурацію до стану, що передував IPA.
-U, --без нагляду
Деінсталяція без нагляду. Користувачу не буде запропоновано.
Використовуйте ipa-client-install онлайн за допомогою служб onworks.net
