Đây là lệnh ipa-adtrust-install có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
ipa-adtrust-install - Chuẩn bị một máy chủ IPA để có thể thiết lập mối quan hệ tin cậy
với miền AD
SYNOPSIS
ipa-adtrust-cài đặt [TÙY CHỌN] ...
MÔ TẢ
Thêm tất cả các đối tượng và cấu hình cần thiết để cho phép máy chủ IPA tạo sự tin cậy
miền Active Directory. Điều này yêu cầu máy chủ IPA đã được cài đặt và
đã cấu hình.
Xin lưu ý rằng bạn sẽ không thể thiết lập độ tin cậy cho miền Active Directory
trừ khi tên vùng của máy chủ IPA khớp với tên miền của nó.
ipa-adtrust-install có thể được chạy nhiều lần để cài đặt lại các đối tượng đã bị xóa hoặc bị hỏng
các tệp cấu hình. Ví dụ: cấu hình samba mới (tệp smb.conf và dựa trên sổ đăng ký
cấu hình có thể được tạo. Các mục khác như cấu hình của phạm vi cục bộ
không thể thay đổi bằng cách chạy ipa-adtrust-install lần thứ hai vì với các thay đổi ở đây
các đối tượng khác cũng có thể bị ảnh hưởng.
tường lửa Yêu cầu
Ngoài các yêu cầu về tường lửa của máy chủ IPA, ipa-adtrust-install còn yêu cầu
Các cổng sau sẽ được mở để cho phép IPA và Active Directory giao tiếp với nhau:
TCP cổng
· 135 / tcp EPMAP
· 138 / tcp NetBIOS-DGM
· 139 / tcp NetBIOS-SSN
· 445 / tcp Microsoft-DS
· 1024 / tcp đến 1300 / tcp để cho phép EPMAP trên cổng 135 / tcp tạo bộ nghe TCP
dựa trên một yêu cầu đến.
UDP cổng
· 138 / udp NetBIOS-DGM
· 139 / udp NetBIOS-SSN
· 389 / udp LDAP
LỰA CHỌN
-d, --gỡ lỗi
Bật ghi nhật ký gỡ lỗi khi cần đầu ra dài dòng hơn
--netbios-tên=NETBIOS_NAME
Tên NetBIOS cho miền IPA. Nếu không được cung cấp thì điều này được xác định dựa trên
trên thành phần hàng đầu của tên miền DNS. Chạy ipa-adtrust-install cho một
lần thứ hai với một tên NetBIOS khác sẽ thay đổi tên. Xin lưu ý rằng
thay đổi tên NetBIOS có thể phá vỡ các mối quan hệ tin cậy hiện có thành
tên miền.
--no-msdcs
Không tạo bản ghi dịch vụ DNS cho Windows trong máy chủ DNS được quản lý. Kể từ khi những
Bản ghi dịch vụ DNS là cách duy nhất để khám phá bộ điều khiển miền của các
các miền chúng phải được thêm theo cách thủ công vào một máy chủ DNS khác để cho phép tin cậy
các mối quan hệ thực tế hoạt động bình thường. Tất cả các hồ sơ dịch vụ cần thiết được liệt kê khi
ipa-adtrust-install hoàn tất và --no-msdcs đã được cung cấp hoặc không có dịch vụ DNS IPA
được cấu hình. Thông thường, hồ sơ dịch vụ cho các tên dịch vụ sau đây là cần thiết
cho miền IPA sẽ trỏ đến tất cả các máy chủ IPA:
· _Ldap._tcp
· _Kerberos._tcp
· _Kerberos._udp
· _Ldap._tcp.dc._msdcs
· _Kerberos._tcp.dc._msdcs
· _Kerberos._udp.dc._msdcs
· _Ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--add-sids
Thêm SID cho những người dùng và nhóm hiện tại ở các bước cuối cùng của
chạy ipa-adtrust-install. Nếu có nhiều người dùng và nhóm hiện có và một vài
bản sao trong môi trường hoạt động này có thể dẫn đến lưu lượng sao chép cao
và sự suy giảm hiệu suất của tất cả các máy chủ IPA trong môi trường. Để tránh điều này
thế hệ SID có thể được chạy sau khi chạy và lập lịch ipa-adtrust-install
một cách độc lập. Để bắt đầu tác vụ này, bạn phải tải phiên bản đã chỉnh sửa của ipa-sidgen-
task-run.ldif với lệnh ldapmodify thông tin về máy chủ thư mục.
--add-agent
Thêm IPA chính vào danh sách cho phép cung cấp thông tin về người dùng từ
những khu rừng đáng tin cậy. Bắt đầu với FreeIPA 4.2, một IPA master thông thường có thể cung cấp
thông tin cho khách hàng SSSD. IPA chính không được tự động thêm vào danh sách như
khởi động lại dịch vụ LDAP trên mỗi dịch vụ trong số chúng là bắt buộc. Chủ nhà ở đâu
ipa-adtrust-install đang được chạy sẽ tự động được thêm vào.
Lưu ý rằng IPA chính mà ipa-adtrust-install không chạy, có thể cung cấp thông tin
về người dùng từ các khu rừng đáng tin cậy chỉ khi họ được bật qua ipa-adtrust-install
chạy trên bất kỳ IPA master nào khác. Cần có ít nhất SSSD phiên bản 1.13 trên IPA master
để có thể hoạt động như một đại lý đáng tin cậy.
-U, - giám sát
Một cài đặt không cần giám sát sẽ không bao giờ nhắc người dùng nhập
-U, --rid-cơ sở=RID_BASE
Giá trị RID đầu tiên của miền cục bộ. ID Posix đầu tiên của miền cục bộ sẽ là
được gán cho RID này, thứ hai cho RID + 1, v.v. Xem trợ giúp trực tuyến của idrange
CLI để biết chi tiết.
-U, --thứ cấp-loại bỏ-cơ sở=THỨ HAI_RID_BASE
Giá trị bắt đầu của dải RID phụ, chỉ được sử dụng trong trường hợp người dùng và
nhóm chia sẻ về số lượng cùng một ID Posix. Xem trợ giúp trực tuyến của idrange CLI
để biết thêm chi tiết.
-A, --admin-tên=ADMIN_NAME
Tên của người dùng có đặc quyền quản trị đối với máy chủ IPA này. Mặc định
tới 'quản trị viên'.
-a, --mật khẩu quản trị=mật khẩu
Mật khẩu của người dùng có đặc quyền quản trị đối với máy chủ IPA này. Sẽ
được hỏi một cách tương tác nếu -U không được chỉ định.
Thông tin đăng nhập của người dùng quản trị sẽ được sử dụng để lấy vé Kerberos trước đây
định cấu hình hỗ trợ tin cậy giữa các lĩnh vực và sau đó, để đảm bảo rằng vé chứa
Cần có thông tin MS-PAC để thực sự thêm tin cậy với miền Active Directory qua 'ipa
lệnh trust-add --type = ad '.
--enable-tương thích
Cho phép hỗ trợ người dùng miền đáng tin cậy cho khách hàng cũ thông qua Schema
Plugin tương thích. SSSD hỗ trợ các miền đáng tin cậy bắt đầu từ phiên bản
1.9. Đối với các nền tảng thiếu SSSD hoặc chạy phiên bản SSSD cũ hơn, người ta cần sử dụng điều này
Lựa chọn. Khi được kích hoạt, gói sli-nis cần được cài đặt và
schema-compat-plugin sẽ được định cấu hình để cung cấp tra cứu người dùng và nhóm từ
miền đáng tin cậy thông qua SSSD trên máy chủ IPA. Những người dùng và nhóm này sẽ khả dụng
Dưới cn = người dùng, cn = compat, $ SUFFIX và cn = nhóm, cn = compat, $ SUFFIX cây. SSSD sẽ
bình thường hóa tên của người dùng và nhóm thành chữ thường.
Ngoài việc cung cấp cho những người dùng và nhóm này thông qua cây so sánh, điều này
tùy chọn cho phép xác thực qua LDAP cho người dùng miền đáng tin cậy có DN dưới
cây compat, tức là sử dụng bind DN
uid =[email được bảo vệ], cn = người dùng, cn = compat, $ SUFFIX.
Xác thực LDAP được thực hiện bởi cây compat được thực hiện thông qua PAM 'hệ thống auth'
Dịch vụ. Dịch vụ này tồn tại theo mặc định trên hệ thống Linux và được cung cấp bởi pam
gói dưới dạng /etc/pam.d/system-auth. Nếu cài đặt IPA của bạn không có HBAC mặc định
quy tắc 'allow_all' được bật, sau đó đảm bảo xác định trong dịch vụ đặc biệt IPA được gọi là
'hệ thống auth'và tạo quy tắc HBAC để cho phép bất kỳ ai truy cập quy tắc này trên IPA
thạc sĩ.
Như 'hệ thống auth'Dịch vụ PAM không được sử dụng trực tiếp bởi bất kỳ ứng dụng nào khác, nó là
an toàn để sử dụng nó cho người dùng miền đáng tin cậy thông qua đường dẫn tương thích.
EXIT TÌNH TRẠNG
0 nếu cài đặt thành công
1 nếu xảy ra lỗi
Sử dụng ipa-adtrust-install trực tuyến bằng các dịch vụ onworks.net
