Đây là lệnh ipa-client-install có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
ipa-client-install - Định cấu hình máy khách IPA
SYNOPSIS
ipa-client-cài đặt [TÙY CHỌN] ...
MÔ TẢ
Định cấu hình máy khách để sử dụng IPA cho các dịch vụ xác thực và nhận dạng.
Theo mặc định, điều này định cấu hình SSSD để kết nối với máy chủ IPA để xác thực và
sự ủy quyền. Theo tùy chọn, người ta có thể định cấu hình PAM và NSS (Dịch vụ chuyển đổi tên)
để làm việc với máy chủ IPA qua Kerberos và LDAP.
Người dùng được ủy quyền được yêu cầu tham gia máy khách với IPA. Điều này có thể có dạng
mã chính kerberos hoặc mật khẩu dùng một lần được liên kết với máy.
Công cụ tương tự này được sử dụng để bỏ cấu hình IPA và cố gắng đưa máy về trạng thái
trạng thái trước đó. Một phần của quá trình này là hủy đăng ký máy chủ khỏi máy chủ IPA.
Việc hủy đăng ký bao gồm việc vô hiệu hóa khóa chính trên máy chủ IPA để khóa có thể
đăng ký lại. Máy chính trong /etc/krb5.keytab (host / @REALM) được sử dụng để
xác thực với máy chủ IPA để hủy đăng ký chính nó. Nếu khoản tiền gốc này không tồn tại thì
việc hủy đăng ký sẽ không thành công và quản trị viên sẽ cần phải vô hiệu hóa hiệu trưởng máy chủ lưu trữ (ipa
máy chủ-vô hiệu hóa ).
Giả định
Tập lệnh ipa-client-install giả định rằng máy đã tạo khóa SSH. Nó
sẽ không tạo khóa SSH theo cách riêng của nó. Nếu không có khóa SSH (ví dụ: khi
chạy ipa-client-install trong một lần khởi động, trước khi chạy sshd), chúng sẽ không
được tải lên mục nhập máy khách trên máy chủ.
hostname Yêu cầu
Khách hàng phải sử dụng tĩnh hostname. Nếu tên máy chủ của máy thay đổi, chẳng hạn do
chỉ định tên máy chủ động bởi máy chủ DHCP, đăng ký máy khách vào ngắt máy chủ IPA và
người dùng sau đó sẽ không thể thực hiện xác thực Kerberos.
Tùy chọn --hostname có thể được sử dụng để chỉ định một tên máy chủ tĩnh vẫn tồn tại sau khi khởi động lại.
DNS Tự động khám phá
Theo mặc định, trình cài đặt ứng dụng khách cố gắng tìm kiếm các bản ghi _ldap._tcp.DOMAIN DNS SRV cho tất cả
các miền là mẹ của tên máy chủ của nó. Ví dụ: nếu một máy khách có tên máy chủ
'client1.lab.example.com', trình cài đặt sẽ cố gắng truy xuất tên máy chủ IPA từ
_ldap._tcp.lab.example.com, _ldap._tcp.example.com và _ldap._tcp.com Bản ghi DNS SRV,
tương ứng. Miền được phát hiện sau đó được sử dụng để định cấu hình các thành phần máy khách (ví dụ: SSSD
và cấu hình Kerberos 5) trên máy.
Khi tên máy khách không nằm trong miền phụ của máy chủ IPA, miền của nó có thể
được thông qua với tùy chọn --domain. Trong trường hợp đó, cả hai thành phần SSSD và Kerberos đều có
miền được đặt trong các tệp cấu hình và sẽ sử dụng miền đó để tự động phát hiện các máy chủ IPA.
Máy khách cũng có thể được định cấu hình mà không cần tự động phát hiện DNS. Khi cả hai
- tùy chọn máy chủ và - miền được sử dụng, trình cài đặt máy khách sẽ sử dụng máy chủ được chỉ định và
miền trực tiếp. - tùy chọn máy chủ chấp nhận nhiều tên máy chủ có thể được sử dụng cho
cơ chế chuyển đổi dự phòng. Không có tính năng tự động phát hiện DNS, Kerberos được định cấu hình với một danh sách cố định
Máy chủ KDC và Quản trị viên. SSSD vẫn được định cấu hình để cố gắng đọc SRV của miền
hồ sơ hoặc danh sách máy chủ cố định được chỉ định. Khi tùy chọn --fixed-primary được chỉ định,
SSSD sẽ không cố gắng đọc bản ghi DNS SRV (xem sssd-ipa(5) để biết chi tiết).
Sản phẩm Failover Cơ chế
Khi một số máy chủ IPA không khả dụng, các thành phần máy khách có thể dự phòng cho
bản sao IPA khác và do đó duy trì một dịch vụ liên tục. Khi máy khách
được định cấu hình để sử dụng tự động phát hiện bản ghi DNS SRV (không có máy chủ cố định nào được chuyển đến
trình cài đặt), các thành phần máy khách tự động thực hiện dự phòng, dựa trên máy chủ IPA
tên máy chủ và mức độ ưu tiên được phát hiện từ bản ghi DNS SRV.
Nếu tính năng tự động phát hiện DNS không khả dụng, ít nhất máy khách phải được định cấu hình với một
danh sách các máy chủ IPA có thể được sử dụng trong trường hợp bị lỗi. Khi chỉ có một máy chủ IPA
đã định cấu hình, các dịch vụ máy khách IPA sẽ không khả dụng trong trường hợp IPA bị lỗi
người phục vụ. Xin lưu ý rằng trong trường hợp danh sách máy chủ IPA cố định, máy chủ cố định sẽ liệt kê
trong các thành phần máy khách cần được cập nhật khi máy chủ IPA mới được đăng ký hoặc IPA hiện tại
máy chủ ngừng hoạt động.
Cùng tồn tại Với Nền tảng khác thư mục Các máy chủ
Các máy chủ thư mục khác được triển khai trong mạng (ví dụ: Microsoft Active Directory) có thể sử dụng
các bản ghi DNS SRV giống nhau để biểu thị các máy chủ có dịch vụ thư mục (_ldap._tcp.DOMAIN).
Các bản ghi DNS SRV như vậy có thể phá vỡ cài đặt nếu trình cài đặt phát hiện ra các DNS này
bản ghi trước khi nó tìm thấy bản ghi DNS SRV trỏ đến máy chủ IPA. Sau đó, trình cài đặt sẽ
không phát hiện ra máy chủ IPA và thoát với lỗi.
Để tránh các vấn đề tự động phát hiện DNS nói trên, tên máy khách
phải nằm trong miền có các bản ghi DNS SRV được xác định đúng cách trỏ đến máy chủ IPA,
hoặc theo cách thủ công với máy chủ DNS tùy chỉnh hoặc với giải pháp tích hợp DNS IPA. Một giây
cách tiếp cận sẽ là tránh tự động phát hiện và định cấu hình trình cài đặt để sử dụng một danh sách cố định
tên máy chủ IPA bằng cách sử dụng tùy chọn - máy chủ và với tùy chọn - được sửa lỗi-chính
tắt tự động phát hiện bản ghi DNS SRV trong SSSD.
Tai nhập học of các chủ nhà
yêu cầu:
1. Máy chủ chưa được đăng ký (lệnh ipa-client-install --uninstall chưa được
chạy).
2. Mục nhập máy chủ chưa bị vô hiệu hóa thông qua lệnh tắt máy chủ lưu trữ ipa.
Nếu đúng như vậy, máy chủ có thể được đăng ký lại bằng các phương pháp thông thường.
Có hai phương pháp xác thực đăng ký lại:
1. Bạn có thể sử dụng tùy chọn --force-join với lệnh ipa-client-install. Điều này xác thực
đăng ký lại bằng thông tin đăng nhập của quản trị viên được cung cấp thông qua tùy chọn -w / - mật khẩu.
2. Nếu cung cấp mật khẩu của quản trị viên thông qua dòng lệnh không phải là một tùy chọn (ví dụ: bạn muốn
để tạo tập lệnh đăng ký lại máy chủ lưu trữ và giữ an toàn cho mật khẩu của quản trị viên), bạn có thể sử dụng
đã sao lưu keytab từ lần đăng ký trước của máy chủ này để xác thực. Xem --keytab
tùy chọn.
Hậu quả của việc đăng ký lại mục nhập máy chủ:
1. Chứng chỉ máy chủ mới được cấp
2. Chứng chỉ máy chủ cũ bị thu hồi
3. Các khóa SSH mới được tạo
4. ipaUniqueID được giữ nguyên
LỰA CHỌN
BASIC LỰA CHỌN
--miền=DOMAIN
Đặt tên miền thành DOMAIN. Khi không có tùy chọn --server nào được chỉ định, trình cài đặt
sẽ cố gắng khám phá tất cả các máy chủ có sẵn thông qua tự động phát hiện bản ghi DNS SRV (xem
Phần Tự động phát hiện DNS để biết thêm chi tiết).
--người phục vụ=MÁY CHỦ
Đặt máy chủ IPA để kết nối. Có thể được chỉ định nhiều lần để thêm nhiều
máy chủ đến giá trị ipa_server trong sssd.conf hoặc krb5.conf. Chỉ giá trị đầu tiên là
được cân nhắc khi sử dụng với --no-sssd. Khi tùy chọn này được sử dụng, tự động phát hiện DNS
cho Kerberos bị tắt và một danh sách cố định gồm các máy chủ KDC và Quản trị viên được định cấu hình.
- hiện thực=REALM_NAME
Đặt tên vùng IPA thành REALM_NAME. Trong các trường hợp bình thường, tùy chọn này là
không cần thiết vì tên vùng được truy xuất từ máy chủ IPA.
--fixed-chính
Định cấu hình SSSD để sử dụng một máy chủ cố định làm máy chủ IPA chính. Mặc định là
sử dụng bản ghi DNS SRV để xác định máy chủ chính sẽ sử dụng và quay trở lại
máy chủ mà khách hàng đã đăng ký. Khi được sử dụng cùng với --server thì không
Giá trị _srv_ được đặt trong tùy chọn ipa_server trong sssd.conf.
-p, --hiệu trưởng
Hiệu trưởng kerberos được ủy quyền sử dụng để tham gia lĩnh vực IPA.
-w PASSWORD, --mật khẩu mở khóa=PASSWORD
Mật khẩu để tham gia một máy vào lĩnh vực IPA. Giả sử mật khẩu số lượng lớn trừ khi
hiệu trưởng cũng được thiết lập.
-W Nhắc mật khẩu để tham gia một máy vào lĩnh vực IPA.
-k, --keytab
Đường dẫn đến keytab máy chủ đã sao lưu từ lần đăng ký trước. Tham gia máy chủ ngay cả khi nó
đã được đăng ký.
--mkhomedir
Định cấu hình PAM để tạo thư mục chính cho người dùng nếu nó không tồn tại.
- tên máy chủ
Tên máy chủ của máy này (FQDN). Nếu được chỉ định, tên máy chủ sẽ được đặt và
cấu hình hệ thống sẽ được cập nhật để tiếp tục khởi động lại. Theo mặc định, một tên nút
kết quả từ uname(2) được sử dụng.
- lực lượng tham gia
Tham gia máy chủ ngay cả khi nó đã được đăng ký.
--ntp-máy chủ=NTP_SERVER
Định cấu hình ntpd để sử dụng máy chủ NTP này. Tùy chọn này có thể được sử dụng nhiều lần.
-N, --không-ntp
Không cấu hình hoặc kích hoạt NTP.
--force-ntpd
Dừng và tắt bất kỳ dịch vụ đồng bộ ngày giờ nào ngoài ntpd.
--nisdomain=NIS_DOMAIN
Đặt tên miền NIS như đã chỉ định. Theo mặc định, điều này được đặt thành miền IPA
tên.
--no-nisdomain
Không cấu hình tên miền NIS.
--ssh-tin cậy-dns
Định cấu hình ứng dụng khách OpenSSH để tin cậy các bản ghi DNS SSHFP.
--không-ssh
Không cấu hình máy khách OpenSSH.
--không-sshd
Không cấu hình máy chủ OpenSSH.
--không-Sudo
Không định cấu hình SSSD làm nguồn dữ liệu cho sudo.
--no-dns-sshfp
Không tự động tạo bản ghi DNS SSHFP.
--noac Không sử dụng Authconfig để sửa đổi cấu hình nsswitch.conf và PAM.
-f, --lực lượng
Buộc cài đặt ngay cả khi lỗi xảy ra
--kinit-try=KINIT_ATTEMPTS
Trong trường hợp KDC không phản hồi (ví dụ: khi đăng ký nhiều máy chủ cùng một lúc trong một
môi trường tải) lặp lại yêu cầu đối với vé máy chủ lưu trữ Kerberos lên đến tổng số
of KINIT_ATTEMPTS lần trước khi từ bỏ và hủy cài đặt máy khách. Vỡ nợ
số lần thử là 5. Yêu cầu không được lặp lại khi có sự cố với
chính thông tin đăng nhập của máy chủ (ví dụ: định dạng keytab sai hoặc mã chính không hợp lệ) vì vậy
sử dụng tùy chọn này sẽ không dẫn đến khóa tài khoản.
-d, --gỡ lỗi
In thông tin gỡ lỗi ra stdout
-U, - giám sát
Cài đặt không cần giám sát. Người dùng sẽ không được nhắc.
--ca-cert-file=CA_FILE
Đừng cố lấy chứng chỉ IPA CA thông qua các phương tiện tự động, thay vào đó hãy sử dụng
chứng chỉ CA được tìm thấy cục bộ trong CA_FILE. Các CA_FILE phải là một tuyệt đối
đường dẫn đến tệp chứng chỉ có định dạng PEM. Chứng chỉ CA được tìm thấy trong CA_FILE is
được coi là có thẩm quyền và sẽ được cài đặt mà không cần kiểm tra xem nó có
hợp lệ cho miền IPA.
--request-chứng chỉ
Yêu cầu chứng chỉ cho máy. Chứng chỉ sẽ được lưu trữ trong
/ etc / ipa / nssdb dưới biệt hiệu "Máy chủ IPA cục bộ".
- tài khoản-vị trí=ĐỊA ĐIỂM
Định cấu hình số tự động bằng cách chạy ipa-client-automount(1) với ĐỊA ĐIỂM như tự động
vị trí.
--configure-firefox
Định cấu hình Firefox để sử dụng thông tin đăng nhập miền IPA.
--firefox-dir=DIR
Chỉ định thư mục cài đặt Firefox. Ví dụ: '/ usr / lib / firefox'
--địa chỉ IP=ĐỊA CHỈ IP
Sử dụng ĐỊA CHỈ IP trong bản ghi DNS A / AAAA cho máy chủ này. Có thể được chỉ định nhiều lần
để thêm nhiều bản ghi DNS.
- tất cả các địa chỉ ip
Tạo bản ghi DNS A / AAAA cho từng địa chỉ IP trên máy chủ lưu trữ này.
SSSD LỰA CHỌN
--cho phép làm gì
Định cấu hình SSSD để cho phép tất cả quyền truy cập. Nếu không, máy sẽ được điều khiển bởi
Kiểm soát truy cập dựa trên máy chủ (HBAC) trên máy chủ IPA.
--enable-dns-Updates
Tùy chọn này yêu cầu SSSD tự động cập nhật DNS với địa chỉ IP của
khách hàng.
--no-krb5-offline-password
Định cấu hình SSSD không lưu mật khẩu người dùng khi máy chủ ngoại tuyến.
-S, --không-sssd
Không định cấu hình máy khách sử dụng SSSD để xác thực, hãy sử dụng nss_ldap để thay thế.
--bảo quản-sssd
Bị tắt theo mặc định. Khi được bật, hãy giữ nguyên cấu hình SSSD cũ nếu không
có thể hợp nhất nó với một cái mới. Hiệu quả, nếu không thể hợp nhất do
đến trình đọc SSSDConfig gặp phải các tùy chọn không được hỗ trợ, ipa-client-cài đặt sẽ không
chạy thêm và yêu cầu sửa cấu hình SSSD trước. Khi tùy chọn này không được chỉ định,
ipa-client-cài đặt sẽ sao lưu cấu hình SSSD và tạo một cấu hình mới. Phiên bản sao lưu
sẽ được khôi phục trong quá trình gỡ cài đặt.
KHÔNG GIỚI HẠN LỰA CHỌN
- gỡ cài đặt
Gỡ bỏ phần mềm máy khách IPA và khôi phục cấu hình về trạng thái trước IPA.
-U, - giám sát
Gỡ cài đặt không cần giám sát. Người dùng sẽ không được nhắc.
Sử dụng ipa-client-install trực tuyến bằng các dịch vụ onworks.net
