Це команда ipa-replica-manage, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
ipa-replica-manage - Керування реплікою IPA
СИНТАКСИС
ipa-replica-manage [ВАРІАНТ]... [КОМАНД]
ОПИС
Керує угодами про реплікацію сервера IPA.
Щоб керувати угодами про реплікацію IPA в домені на рівні домену 1, використовуйте IPA CLI або Web UI,
див. "Довідкова топологія ipa" для отримання додаткової інформації.
Доступні команди:
з'єднуватися [SERVER_A]
- Додає нову угоду про реплікацію між SERVER_A/localhost і SERVER_B. В
рівень домену 1 застосовний лише для угод winsync.
відключати [SERVER_A]
- Видаляє угоду про реплікацію між SERVER_A/localhost і SERVER_B. В
рівень домену 1 застосовний лише для угод winsync.
Дель
- Видаляє всі угоди про реплікацію та дані про СЕРВЕР. На рівні домену 1 це
видаляє дані та угоди для обох суфіксів - домену та ca.
список [СЕРВЕР]
- Перелік усіх серверів або список угод SERVER
повторно ініціалізувати
- Примусове повну повторну ініціалізацію сервера IPA для отримання даних із сервера
вказано за допомогою параметра --from
примусова синхронізація
- Негайно скиньте будь-які дані, які будуть репліковані, із сервера, зазначеного в
--з варіанта
список-рув
- Перелік ідентифікаторів реплікації на цьому сервері.
чистий-рув [REPLICATION_ID]
- Запустіть завдання CLEANALLRUV, щоб видалити ідентифікатор реплікації.
чистий-висячий-рув
- Видаляє всі RUV та CS-RUV, які залишилися в системі
репліки.
abort-clean-ruv [REPLICATION_ID]
- Припиніть виконання завдання CLEANALLRUV. З опцією --force завдання не чекає
всі сервери-репліки, яким раніше було надіслано завдання скасування, або вони були онлайн
завершення.
список-чистий-рув
- Перелік усіх запущених завдань CLEANALLRUV та скасування завдань CLEANALLRUV.
dnarange-шоу [СЕРВЕР]
- Перерахуйте діапазони ДНК
набір dnarange SERVER ПОЧАТК-КІНЕЦЬ
- Встановіть діапазон ДНК на головному
dnanextrange-шоу [СЕРВЕР]
- Перерахуйте наступні діапазони ДНК
dnanextrange-set SERVER ПОЧАТК-КІНЕЦЬ
- Встановіть наступний діапазон ДНК на головному
Параметри підключення та відключення використовуються для керування топологією реплікації. Коли а
репліка створена, вона пов’язана лише з майстром, який її створив. Підключення
Опція може використовуватися для підключення до інших існуючих реплік.
Параметр відключення не можна використовувати для видалення останнього посилання репліки. Щоб видалити а
репліка з топології використовуйте параметр del.
Якщо репліку видалено, а потім повторно додано протягом короткого періоду часу, 389-ds
екземпляр на головному пристрої, який його створив, слід перезапустити, перш ніж повторно інсталювати файл
репліка. Майстер буде кешувати старі принципи служби, що призведе до
невдача реплікації.
Кожен головний сервер IPA має унікальний ідентифікатор реплікації. Цей ідентифікатор використовується 389-ds-base, коли
зберігання інформації про стан реплікації. Вихід складається з майстрів та їх
відповідний ідентифікатор реплікації. Побачити чистий-рув
Коли майстер видаляється, всі інші головні мають видалити його ідентифікатор реплікації з
список майстрів. Зазвичай це відбувається автоматично, коли головне зображення видаляється за допомогою
ipa-replica-manage. Якщо один або кілька майстрів не працювали або були недоступні під час ipa-replica-manage
було виконано, то цей ідентифікатор репліки все ще може існувати. Для цього можна використовувати команду clean-ruv
очистити невикористаний ідентифікатор реплікації.
ПРИМІТКА: clean-ruv є ДУЖЕ НЕБЕЗПЕЧНО. Може призвести до виконання проти неправильного ідентифікатора реплікації
у суперечливих даних на цьому головному. Майстер слід повторно ініціалізувати з іншого if
таке буває.
Топологія реплікації перевіряється, коли головний пристрій видаляється, і намагається запобігти
майстра від осиротіння. Наприклад, якщо ваша топологія A <-> B <-> C і ви
спроба видалити майстер B не вдасться, тому що це призведе до залишення майстрів і A і C
осиротіла.
Список майстрів зберігається в cn=masters,cn=ipa,cn=etc,dc=example,dc=com. Це повинно
очищатися автоматично, коли головну частину видалено. Якщо трапиться, що ви видалили
головний і всі угоди, але ці записи все ще існують, то ви не зможете
щоб повторно встановити IPA на ньому, установка не вийде з:
Головний хост IPA не можна видалити або вимкнути за допомогою стандартних команд (host-del, for
приклад).
Осиротілий майстер можна очистити за допомогою директиви del з опцією --cleanup.
Це видалить записи з cn=masters,cn=ipa,cn=etc, які в іншому випадку запобігають host-del
з роботи, його профіль ДНК, конфігурацію s4u2proxy, принципали служби та видаліть його
із стандартного профілю DUA defaultServerList.
ВАРІАНТИ
-H HOST, --господар=HOST
Сервер IPA для керування. За замовчуванням є машина, на якій виконується команда
Команда повторної ініціалізації не виконується.
-p DM_PASSWORD, --пароль=DM_PASSWORD
Пароль Менеджера каталогів для автентифікації
-v, -багатослівний
Надайте додаткову інформацію
-f, --сила
Ігноруйте деякі типи помилок, не запитуйте під час видалення головного
-c, --без пошуку
Не виконуйте перевірки пошуку DNS.
-c, --прибирати
Видаляючи основний файл із прапорцем --force, видаліть залишкові посилання на файл
вже видалений майстер.
--binddn=ADMIN_DN
Прив’язати DN для використання з віддаленим сервером (за замовчуванням cn=Диспетчер каталогів) – будьте обережні
введіть це значення в лапки в командному рядку
--bindpw=ADMIN_PWD
Пароль для Bind DN для використання з віддаленим сервером (за замовчуванням є DM_PASSWORD вище)
--winsync
Визначає створення/використання угоди про синхронізацію Windows
--cacert=/шлях/до/cacertfile
Повний шлях та ім'я файлу сертифіката ЦС для використання з TLS/SSL до віддаленого сервера -
цей сертифікат ЦС буде встановлено в сертифікаті сервера каталогів
база даних
--win-піддерево=cn=Користувачі,dc=приклад,dc=com
DN піддерева Windows, що містить користувачів, яких потрібно синхронізувати (за замовчуванням
cn=Користувачі, - зазвичай це те, що Windows AD використовує за замовчуванням
value) - Будьте обережні, вводячи це значення в лапки в командному рядку
--passync=PASSSYNC_PWD
Пароль для користувача системи IPA, який використовується плагіном Windows PassSync для синхронізації
паролі. Необхідний при використанні --winsync. Це не означає, що ви повинні використовувати
Сервіс PassSync.
--від=SERVER
Сервер для отримання даних, який використовується для повторної ініціалізації та примусової синхронізації
команди.
ДИАПАЗОНИ
IPA використовує плагін розподіленого числового присвоєння (DNA) 389-ds для виділення ідентифікаторів POSIX для
користувачів і груп. Діапазон створюється, коли встановлено IPA і призначається половина діапазону
до першого майстра IPA для цілей розподілу.
Нові майстри IPA не отримують автоматично призначення діапазону ДНК. Призначення діапазону є
виконується лише тоді, коли користувач або група POSIX додано до цього майстра.
Плагін DNA також підтримує конфігурацію "на палубі" або наступного діапазону. Коли первинна
діапазон вичерпано, замість того, щоб звернутися до іншого майстра, щоб попросити більше, він скористається своїм
дальність на палубі, якщо вона визначена. Кожен майстер може мати тільки один діапазон і один діапазон на палубі
визначений.
Коли хозяїн видаляється, робиться спроба зберегти його діапазон(и) ДНК на іншому головному
у своєму діапазоні на палубі. IPA не намагатиметься розширити чи об’єднати діапазони. Якщо немає
доступні слоти діапазону на палубі, про це повідомляється користувачеві. Асортимент ефективний
втрачено, якщо його вручну не об’єднати з діапазоном іншого головного.
Діапазоном ДНК і значеннями на палубі (наступні) можна керувати за допомогою набору dnarange і
команди dnanextrange-set. Правила керування цими діапазонами:
- Діапазон повинен повністю міститися в локальному діапазоні, визначеному ipa
команда idrange.
- Діапазон не може перекривати діапазон ДНК або діапазон на палубі на іншому головному IPA.
- Діапазон не може перекривати діапазон ідентифікаторів AD Trust.
- Первинний діапазон ДНК не можна видалити.
- Діапазон на палубі можна видалити, встановивши його на 0-0. Припущення таке
що діапазон буде вручну переміщено або об’єднано в іншому місці.
Діапазон і наступний діапазон певного головного пристрою можна відобразити, передавши повне доменне ім’я цього
майстер команди dnarange-show або dnanextrange-show.
Виконання змін діапазону як уповноважений адміністратор (наприклад, не використання каталогу
Пароль менеджера) вимагає додаткових 389-ds ACI. Вони встановлені в оновлених головках
але не існуючі. Зміни вносяться в cn=config, який не реплікується. The
результатом є те, що діапазонами ДНК не можна керувати на неоновлених майстрах як делеговані
адміністратор
ПРИКЛАДИ
Перелік усіх майстрів:
# список ipa-replica-manage
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
Перелік угод про реплікацію сервера.
# ipa-replica-manage list srv1.example.com
srv2.example.com
srv3.example.com
Повторно ініціалізуйте репліку:
# ipa-replica-manage re-initialize --from srv2.example.com
Це повторно ініціалізує дані на сервері, де ви виконуєте команду,
отримання даних із репліки srv2.example.com
Додайте нову угоду про реплікацію:
# ipa-replica-manage підключення srv2.example.com srv4.example.com
Видаліть існуючу угоду про реплікацію:
# ipa-replica-manage disconnect srv1.example.com srv3.example.com
Повністю видалити репліку:
# ipa-replica-manage del srv4.example.com
За допомогою підключення/відключення ви можете керувати топологією реплікації.
Перелік ідентифікаторів реплікації, які використовуються:
# ipa-replica-manage list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4
Видаліть посилання на осиротілий і видалений майстер:
# ipa-replica-manage del --force --cleanup master.example.com
WINSYNC
Створення угоди про синхронізацію Windows AD схоже на створення реплікації IPA
угоди, є лише кілька додаткових кроків.
Для служби PassSync створюється спеціальний запис користувача. DN цього запису
uid=passsync,cn=sysaccounts,cn=etc, . Вам не потрібно використовувати PassSync для використання a
Угода про синхронізацію Windows, але потрібно встановити пароль для користувача.
Наведені нижче приклади використовують обліковий запис адміністратора AD як користувача синхронізації. Це
не є обов’язковим, але користувач повинен мати доступ для читання до піддерева.
1. Перенесіть сертифікат CA Windows AD із кодуванням base64 на свій сервер IPA
2. Видаліть усі наявні облікові дані Kerberos
# kdestroy
3. Додайте угоду про реплікацію winsync
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v
Вам буде запропоновано ввести пароль менеджера каталогів.
Створіть угоду про реплікацію winsync:
# ipa-replica-manage connect --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
Видаліть угоду про реплікацію winsync:
# ipa-replica-manage відключити windows.ad.example.com
PASSSYNC
PassSync — це служба Windows, яка працює на контролерах домену AD для перехоплення пароля
зміни. Він надсилає ці зміни пароля на сервер IPA LDAP через TLS. Ці паролі
змінює обхід звичайних налаштувань політики паролів IPA, і пароль не встановлено
негайно закінчується. Це пов’язано з тим, що до того моменту, коли IPA отримує зміну пароля, яку він має
вже прийнято AD, тому відхиляти його надто пізно.
IPA підтримує список DN, які звільнені від політики паролів. Додано спеціального користувача
автоматично, коли створюється угода про реплікацію winsync. DN цього користувача
додано до списку винятків, що зберігається в passSyncManagersDNs у записі
cn=ipa_pwd_extop,cn=плагіни,cn=конфігурація.
EXIT СТАТУС
0, якщо команда була успішною
1, якщо сталася помилка
Використовуйте ipa-replica-manage онлайн за допомогою служб onworks.net
