ipa-replica-management - Trực tuyến trên đám mây

Chạy ipa-replica-management trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks trên Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Đây là lệnh ipa-replica-management có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

ipa-replica-management - Quản lý một bản sao IPA

SYNOPSIS

ipa-replica-management [TÙY CHỌN]... [CHỈ HUY]

MÔ TẢ

Quản lý các thỏa thuận sao chép của một máy chủ IPA.

Để quản lý các thỏa thuận sao chép IPA trong miền ở cấp độ miền 1, hãy sử dụng IPA CLI hoặc Web UI,
xem `topo trợ giúp ipa` để biết thêm thông tin.

Các lệnh có sẵn là:

kết nối [SERVER_A]
- Thêm thỏa thuận sao chép mới giữa SERVER_A / localhost và SERVER_B. Tại
miền cấp 1 chỉ áp dụng cho các thỏa thuận wonync.

ngắt kết nối [SERVER_A]
- Xóa thỏa thuận sao chép giữa SERVER_A / localhost và SERVER_B. Tại
miền cấp 1 chỉ áp dụng cho các thỏa thuận wonync.

các
- Xóa tất cả các thỏa thuận sao chép và dữ liệu về SERVER. Ở cấp độ miền 1 nó
xóa dữ liệu và thỏa thuận cho cả hai hậu tố - miền và ca.

[NGƯỜI PHỤC VỤ]
- Liệt kê tất cả các máy chủ hoặc danh sách các thỏa thuận của SERVER

khởi tạo lại
- Buộc khởi tạo lại toàn bộ máy chủ IPA lấy dữ liệu từ máy chủ
được chỉ định với tùy chọn --from

đồng bộ hóa lực lượng
- Xóa ngay lập tức mọi dữ liệu cần được sao chép từ một máy chủ được chỉ định với
--từ tùy chọn

danh sách-ruv
- Liệt kê các ID sao chép trên máy chủ này.

sạch sẽ [REPLICATION_ID]
- Chạy tác vụ CLEANALLRUV để xóa ID sao chép.

sạch sẽ-treo-ruv
- Xóa tất cả RUV và CS-RUV còn lại trong hệ thống khỏi bị gỡ cài đặt
bản sao.

hủy bỏ-sạch-ruv [REPLICATION_ID]
- Hủy bỏ một tác vụ CLEANALLRUV đang chạy. Với tùy chọn --force, nhiệm vụ không chờ đợi
tất cả các máy chủ bản sao đã được gửi tác vụ hủy bỏ hoặc trực tuyến, trước đây
đang hoàn thành.

danh sách-sạch-ruv
- Liệt kê tất cả các CLEANALLRUV đang chạy và hủy bỏ các tác vụ CLEANALLRUV.

dnarange-show [NGƯỜI PHỤC VỤ]
- Liệt kê các dãy DNA

bộ dnarange MÁY CHỦ BẮT ĐẦU-KẾT THÚC
- Đặt phạm vi DNA trên một bản gốc

dnanexrange-show [NGƯỜI PHỤC VỤ]
- Liệt kê các dãy DNA tiếp theo

dnanexrange-set MÁY CHỦ BẮT ĐẦU-KẾT THÚC
- Đặt phạm vi tiếp theo của DNA trên một bản gốc

Các tùy chọn kết nối và ngắt kết nối được sử dụng để quản lý cấu trúc liên kết sao chép. Khi một
bản sao được tạo ra nó chỉ được kết nối với bản chính đã tạo ra nó. Kết nối
có thể được sử dụng để kết nối nó với các bản sao hiện có khác.

Không thể sử dụng tùy chọn ngắt kết nối để xóa liên kết cuối cùng của một bản sao. Để loại bỏ một
bản sao từ cấu trúc liên kết sử dụng tùy chọn del.

Nếu một bản sao bị xóa và sau đó được thêm lại trong một khung thời gian ngắn thì 389-ds
phiên bản trên cái chính đã tạo nó phải được khởi động lại trước khi cài đặt lại
bản sao. Bản gốc sẽ có các nguyên tắc dịch vụ cũ được lưu vào bộ nhớ cache, điều này sẽ gây ra
nhân rộng để thất bại.

Mỗi máy chủ IPA có một ID sao chép duy nhất. ID này được sử dụng bởi 389-ds-base khi
lưu trữ thông tin về tình trạng sao chép. Đầu ra bao gồm các bậc thầy và
ID nhân rộng tương ứng. Nhìn thấy sạch sẽ

Khi một bản chính bị xóa, tất cả các bản chính khác cần xóa ID bản sao của nó khỏi
danh sách các thạc sĩ. Thông thường, điều này xảy ra tự động khi một trang cái bị xóa bằng
ipa-sao-quản lý. Nếu một hoặc nhiều bản gốc bị lỗi hoặc không thể truy cập được khi ipa-replica-management
đã được thực thi thì ID bản sao này có thể vẫn tồn tại. Lệnh clean-ruv có thể được sử dụng để
xóa một ID sao chép không sử dụng.

LƯU Ý: clean-ruv là VERY NGUY HIỂM. Có thể dẫn đến việc thực thi đối với ID sao chép sai
trong dữ liệu không nhất quán trên trang cái đó. Bản chính phải được khởi tạo lại từ một bản khác nếu
điều này xảy ra.

Cấu trúc liên kết sao chép được kiểm tra khi một cái chính bị xóa và sẽ cố gắng ngăn chặn
một chủ từ mồ côi. Ví dụ: nếu cấu trúc liên kết của bạn là A <-> B <-> C và bạn
cố gắng xóa cái B sẽ không thành công vì điều đó sẽ để lại cái chính và A và C
mồ côi.

Danh sách các bậc thầy được lưu trữ trong cn = master, cn = ipa, cn = etc, dc = example, dc = com. Cái này nên
được dọn dẹp tự động khi một trang cái bị xóa. Nếu nó xảy ra rằng bạn đã xóa
master và tất cả các thỏa thuận nhưng những mục này vẫn tồn tại thì bạn sẽ không thể
để cài đặt lại IPA trên đó, quá trình cài đặt sẽ không thành công với:

Không thể xóa hoặc vô hiệu hóa máy chủ IPA bằng các lệnh tiêu chuẩn (host-del, cho
thí dụ).

Có thể làm sạch một bản gốc mồ côi bằng cách sử dụng lệnh del với tùy chọn --cleanup.
Thao tác này sẽ xóa các mục từ cn = master, cn = ipa, cn = etc, nếu không sẽ ngăn host-del
khỏi hoạt động, cấu hình dna của nó, cấu hình s4u2proxy, các nguyên tắc dịch vụ và xóa nó
từ defaultServerList hồ sơ DUA mặc định.

LỰA CHỌN

-H HOST, --tổ chức=HOST
Máy chủ IPA để quản lý. Mặc định là máy chạy lệnh
Không được chấp nhận bởi lệnh khởi tạo lại.

-p DM_PASSWORD, --mật khẩu mở khóa=DM_PASSWORD
Mật khẩu Trình quản lý thư mục để sử dụng để xác thực

-v, --dài dòng
Cung cấp thông tin bổ sung

-f, --lực lượng
Bỏ qua một số loại lỗi, không nhắc khi xóa trang cái

-c, --không cần tra cứu
Không thực hiện kiểm tra tra cứu DNS.

-c, --dọn dẹp
Khi xóa một trang cái bằng cờ --force, hãy xóa các tham chiếu còn sót lại đến một
đã bị xóa chính.

--binddn=ADMIN_DN
Ràng buộc DN để sử dụng với máy chủ từ xa (mặc định là cn = Directory Manager) - Hãy cẩn thận
trích dẫn giá trị này trên dòng lệnh

--bindpw=ADMIN_PWD
Mật khẩu cho Bind DN để sử dụng với máy chủ từ xa (mặc định là DM_PASSWORD ở trên)

--winsync
Chỉ định tạo / sử dụng Thỏa thuận đồng bộ hóa Windows

--cacert=/ path / to / cacertfile
Đường dẫn đầy đủ và tên tệp của chứng chỉ CA để sử dụng với TLS / SSL đến máy chủ từ xa -
chứng chỉ CA này sẽ được cài đặt trong chứng chỉ của máy chủ thư mục
cơ sở dữ liệu

--win-cây con=cn = Người dùng, dc = ví dụ, dc = com
DN của cây con Windows chứa những người dùng bạn muốn đồng bộ hóa (mặc định
cn = Người dùng, - đây thường là những gì Windows AD sử dụng làm mặc định
value) - Hãy cẩn thận trích dẫn giá trị này trên dòng lệnh

--passsync=PASSSYNC_PWD
Mật khẩu cho người dùng hệ thống IPA được plugin Windows PassSync sử dụng để đồng bộ hóa
mật khẩu. Bắt buộc khi sử dụng --winsync. Điều này không có nghĩa là bạn phải sử dụng
Dịch vụ PassSync.

--từ=MÁY CHỦ
Máy chủ để lấy dữ liệu từ đó, được sử dụng bởi quá trình khởi tạo lại và buộc đồng bộ hóa
lệnh.

CÁC DÃY

IPA sử dụng Trình cắm chỉ định số phân tán (DNA) 389 ds để phân bổ id POSIX cho
người dùng và nhóm. Một phạm vi được tạo khi IPA được cài đặt và một nửa phạm vi được chỉ định
tới IPA chính đầu tiên cho các mục đích phân bổ.

IPA chính mới không tự động nhận được chỉ định phạm vi DNA. Một chỉ định phạm vi là
chỉ được thực hiện khi người dùng hoặc nhóm POSIX được thêm vào trang cái đó.

Plugin DNA cũng hỗ trợ cấu hình "trên boong" hoặc phạm vi tiếp theo. Khi chính
phạm vi được sử dụng hết, thay vì đi đến một tổng thể khác để yêu cầu nhiều hơn, nó sẽ sử dụng
phạm vi trên boong nếu một được xác định. Mỗi bậc thầy chỉ có thể có một phạm vi và một phạm vi trên boong
xác định.

Khi một bản gốc bị xóa, một nỗ lực được thực hiện để lưu (các) dải DNA của nó vào một bản gốc khác
trong phạm vi trên boong của nó. IPA sẽ không cố gắng mở rộng hoặc hợp nhất các phạm vi. Nếu không có
các khe cắm trên boong có sẵn sau đó điều này được báo cáo cho người dùng. Phạm vi hiệu quả
bị mất trừ khi nó được hợp nhất theo cách thủ công vào phạm vi của một cái khác.

Phạm vi DNA và các giá trị trên boong (tiếp theo) có thể được quản lý bằng cách sử dụng bộ dnarange và
lệnh dnanextrange-set. Các quy tắc để quản lý các phạm vi này là:
- Phạm vi phải được chứa hoàn toàn trong một phạm vi cục bộ như được xác định bởi ipa
lệnh idrange.

- Phạm vi không được chồng lên phạm vi DNA hoặc phạm vi trên boong trên IPA chính khác.

- Phạm vi không được chồng lên phạm vi ID của AD Trust.

- Không thể loại bỏ dải DNA chính.

- Có thể loại bỏ phạm vi phạm vi trên boong bằng cách đặt thành 0-0. Giả định là
rằng phạm vi sẽ được di chuyển hoặc hợp nhất theo cách thủ công ở nơi khác.

Phạm vi và phạm vi tiếp theo của một tổng thể cụ thể có thể được hiển thị bằng cách chuyển FQDN của
thành thạo lệnh dnarange-show hoặc dnanextrange-show.

Thực hiện các thay đổi phạm vi với tư cách là quản trị viên được ủy quyền (ví dụ: không sử dụng Thư mục
Mật khẩu người quản lý) yêu cầu ACI 389-ds bổ sung. Chúng được cài đặt trong các bản chính được nâng cấp
nhưng không phải những cái hiện có. Các thay đổi được thực hiện trong cn = config mà không được sao chép. Các
kết quả là không thể quản lý các phạm vi DNA trên các bản gốc không được nâng cấp với tư cách là
người quản lý.

VÍ DỤ

Liệt kê tất cả các trang cái:
# ipa-replica-management danh sách
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com

Liệt kê các thỏa thuận sao chép của máy chủ.
# ipa-replica-management list srv1.example.com
srv2.example.com
srv3.example.com

Khởi tạo lại một bản sao:
# ipa-replica-management khởi tạo lại - từ srv2.example.com

Thao tác này sẽ khởi tạo lại dữ liệu trên máy chủ nơi bạn thực thi lệnh,
truy xuất dữ liệu từ bản sao srv2.example.com

Thêm một thỏa thuận sao chép mới:
# ipa-replica-management connect srv2.example.com srv4.example.com

Xóa một thỏa thuận sao chép hiện có:
# ipa-replica-quản lý ngắt kết nối srv1.example.com srv3.example.com

Loại bỏ hoàn toàn một bản sao:
# ipa-replica-management del srv4.example.com

Sử dụng kết nối / ngắt kết nối, bạn có thể quản lý cấu trúc liên kết sao chép.

Liệt kê các ID sao chép đang được sử dụng:
# ipa-replica-management list-ruv
srv1.example.com:389: 7
srv2.example.com:389: 4

Xóa các tham chiếu đến trang cái mồ côi và đã xóa:
# ipa-replica-management del --force --cleanup master.example.com

WINSYNC

Tạo thỏa thuận Đồng bộ hóa Windows AD tương tự như tạo bản sao IPA
đồng ý, chỉ có một vài bước bổ sung.

Một mục người dùng đặc biệt được tạo cho dịch vụ PassSync. DN của mục này là
uid = passsync, cn = sysaccounts, cn = etc, . Bạn không bắt buộc phải sử dụng PassSync để sử dụng
Thỏa thuận đồng bộ hóa Windows nhưng phải đặt mật khẩu cho người dùng.

Các ví dụ sau sử dụng tài khoản quản trị viên AD làm người dùng đồng bộ hóa. Cái này
không bắt buộc nhưng người dùng phải có quyền truy cập đọc vào cây con.

1. Chuyển Chứng chỉ Windows AD CA được mã hóa base64 sang Máy chủ IPA của bạn

2. Xóa mọi thông tin đăng nhập kerberos hiện có
#kdiệt

3. Thêm thỏa thuận sao chép wonync
# ipa-replica-management connect --winsync --passsync =
will_be_used_for_agosystem> --cacert = / path / to / adscacert / WIN-CA.cer --binddn
"cn = administrator, cn = users, dc = ad, dc = example, dc = com" --bindpw
-v

Bạn sẽ được nhắc cung cấp mật khẩu của Trình quản lý thư mục.

Tạo thỏa thuận sao chép wonync:

# ipa-replica-management connect --winsync --passsync = MySecret
--cacert = / root / WIN-CA.cer --binddn
"cn = administrator, cn = users, dc = ad, dc = example, dc = com" --bindpw MySecret -v
windows.ad.example.com

Xóa thỏa thuận sao chép wonync:
# ipa-replica-quản lý ngắt kết nối windows.ad.example.com

MẬT KHẨU

PassSync là một dịch vụ Windows chạy trên AD Domain Controllers để chặn mật khẩu
những thay đổi. Nó gửi những thay đổi mật khẩu này tới máy chủ IPA LDAP qua TLS. Mật khẩu này
thay đổi bỏ qua cài đặt chính sách mật khẩu IPA thông thường và mật khẩu không được đặt thành
hết hạn ngay lập tức. Điều này là do vào thời điểm IPA nhận được mật khẩu, nó đã thay đổi
đã được AD chấp nhận rồi nên từ chối thì muộn rồi.

IPA duy trì danh sách các DN được miễn chính sách mật khẩu. Một người dùng đặc biệt được thêm vào
tự động khi thỏa thuận sao chép wonync được tạo. DN của người dùng này là
được thêm vào danh sách miễn trừ được lưu trữ trong passSyncManagersDNs trong mục nhập
cn = ipa_pwd_extop, cn = plugins, cn = config.

EXIT TÌNH TRẠNG

0 nếu lệnh thành công

1 nếu xảy ra lỗi

Sử dụng ipa-replica-management trực tuyến bằng các dịch vụ onworks.net