这是命令 ipa-adtrust-install 可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ipa-adtrust-install - 准备 IPA 服务器以建立信任关系
带有 AD 域
概要
ipa-adtrust-安装 [OPTION] ...
商品描述
添加所有必要的对象和配置以允许 IPA 服务器创建信任
一个 Active Directory 域。 这需要已经安装了 IPA 服务器并且
配置。
请注意,您将无法建立对 Active Directory 域的信任
除非 IPA 服务器的域名与其域名匹配。
ipa-adtrust-install 可以多次运行以重新安装已删除的对象或损坏的对象
配置文件。 例如一个新的 samba 配置(smb.conf 文件和基于注册表的
可以创建配置。 其他项目,例如本地范围的配置
无法通过第二次运行 ipa-adtrust-install 来更改,因为这里有更改
其他对象也可能受到影响。
防火墙 岗位要求
除了 IPA 服务器防火墙要求外,ipa-adtrust-install 还需要
要打开以下端口以允许 IPA 和 Active Directory 一起通信:
TCP 端口
· 135/TCP EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp 微软-DS
· 1024/tcp 到 1300/tcp 允许 EPMAP 在端口 135/tcp 上创建 TCP 侦听器
基于传入的请求。
UDP 端口
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
配置
-d, -调试
需要更详细的输出时启用调试日志记录
--netbios-名称=NETBIOS_NAME
IPA 域的 NetBIOS 名称。 如果未提供,则根据
在 DNS 域名的主要组成部分。 为 a 运行 ipa-adtrust-install
第二次使用不同的 NetBIOS 名称将更改名称。 请注意
更改 NetBIOS 名称可能会破坏与其他人的现有信任关系
域。
--no-msdcs
不要在托管 DNS 服务器中为 Windows 创建 DNS 服务记录。 由于那些
DNS 服务记录是发现其他域控制器的唯一途径
域,它们必须手动添加到不同的 DNS 服务器以允许信任
关系正常工作。 列出所有需要的服务记录时
ipa-adtrust-install 完成并且提供了 --no-msdcs 或没有 IPA DNS 服务
已配置。 通常需要以下服务名称的服务记录
对于应该指向所有 IPA 服务器的 IPA 域:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.默认第一个站点名称._sites.dc._msdcs
· _kerberos._tcp.默认第一个站点名称._sites.dc._msdcs
· _kerberos._udp.默认第一个站点名称._sites.dc._msdcs
--add-sids
将 SID 添加到现有用户和组,作为最后一步
ipa-adtrust-install 运行。 如果有许多现有用户和组以及几个
环境中的副本此操作可能会导致高复制流量
以及环境中所有 IPA 服务器的性能下降。 为避免这种情况
可以在 ipa-adtrust-install 运行和调度后运行 SID 生成
独立。 要开始此任务,您必须加载经过编辑的 ipa-sidgen-
task-run.ldif 与 ldapmodify 命令信息目录服务器。
--添加代理
将 IPA 主机添加到允许提供有关用户信息的列表中
受信任的森林。 从 FreeIPA 4.2 开始,一个普通的 IPA 大师可以提供这个
SSSD 客户端的信息。 IPA 大师不会自动添加到列表中
需要在每个服务器上重新启动 LDAP 服务。 主机在哪里
ipa-adtrust-install 正在运行是自动添加的。
请注意,未运行 ipa-adtrust-install 的 IPA 主机可以提供信息
只有通过 ipa-adtrust-install 启用了来自受信任森林的用户
在任何其他 IPA 主机上运行。 至少需要 IPA master 上的 SSSD 1.13 版
能够担任信托代理人。
-U, --无人值守
无人值守安装,永远不会提示用户输入
-U, --rid-base=RID_BASE
本地域的第一个 RID 值。 本地域的第一个 Posix ID 将是
分配给这个RID,第二个给RID+1等等看idrange的在线帮助
CLI 了解详情。
-U, --次级-rid-基地=SECONDARY_RID_BASE
次要 RID 范围的起始值,仅在用户和用户的情况下使用
组在数字上共享相同的 Posix ID。 查看 idrange CLI 的在线帮助
了解详情。
-A, --管理员名称=ADMIN_NAME
对此 IPA 服务器具有管理权限的用户的名称。 默认值
到“管理员”。
-a, --管理员密码=密码
对此 IPA 服务器具有管理权限的用户的密码。 将要
以交互方式询问是否 -U 未指定。
admin 用户的凭据将用于获取 Kerberos 票证之前
配置跨领域信任支持和之后,以确保票包含
通过“ipa”实际添加与 Active Directory 域的信任所需的 MS-PAC 信息
trust-add --type=ad' 命令。
--启用兼容
通过架构为旧客户端启用对受信任域用户的支持
兼容性插件。 SSSD 支持从版本开始的本地可信域
1.9. 对于缺少 SSSD 或运行较旧 SSSD 版本的平台,需要使用此
选项。 启用后,需要安装 slapi-nis 包
schema-compat-plugin 将被配置为提供用户和组的查找
通过 IPA 服务器上的 SSSD 信任域。 这些用户和组将可用
下 cn=用户,cn=compat,$SUFFIX 和 cn=组,cn=compat,$SUFFIX 树木。 SSSD 将
将用户和组的名称规范化为小写。
除了通过兼容树提供这些用户和组之外,这
选项为 DN 下的受信任域用户启用 LDAP 身份验证
兼容树,即使用绑定 DN
用户名=管理员@ad.domain,cn=用户,cn=兼容,$SUFFIX.
兼容树执行的 LDAP 身份验证是通过 PAM 完成的系统认证'
服务。 该服务默认存在于 Linux 系统上,由 pam 提供
打包为 /etc/pam.d/system-auth。 如果您的 IPA 安装没有默认的 HBAC
规则 'allow_all' 启用,然后确保在 IPA 特殊服务中定义称为
'系统认证' 并创建一个 HBAC 规则以允许任何人访问 IPA 上的此规则
大师。
作为 '系统认证' PAM 服务不被任何其他应用程序直接使用,它是
通过兼容性路径将其用于受信任的域用户是安全的。
退出 状态
0 如果安装成功
1 如果发生错误
使用 onworks.net 服务在线使用 ipa-adtrust-install