这是命令 ipa-client-install 可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ipa-client-install - 配置 IPA 客户端
概要
ipa 客户端安装 [OPTION] ...
商品描述
配置客户端机器以使用 IPA 进行身份验证和身份服务。
默认情况下,这会将 SSSD 配置为连接到 IPA 服务器进行身份验证和
授权。 可以选择配置 PAM 和 NSS(名称交换服务)
通过 Kerberos 和 LDAP 使用 IPA 服务器。
需要授权用户才能将客户端计算机加入 IPA。 这可以采取以下形式
与机器关联的 kerberos 主体或一次性密码。
这个相同的工具用于取消配置 IPA 并尝试将机器恢复到其
以前的状态。 此过程的一部分是从 IPA 服务器取消注册主机。
取消注册包括禁用 IPA 服务器上的主体密钥,以便它可以
重新注册。 /etc/krb5.keytab (host/ @REALM) 用于
向 IPA 服务器进行身份验证以取消注册。 如果此主体不存在,则
取消注册将失败,管理员将需要禁用主机主体 (ipa
主机禁用)。
假设
ipa-client-install 脚本假定机器已经生成了 SSH 密钥。 它
不会自行生成 SSH 密钥。 如果 SSH 密钥不存在(例如,当
在运行 sshd 之前在 kickstart 中运行 ipa-client-install,它们将不会
上传到服务器上的客户端主机条目。
主机名 岗位要求
客户端必须使用 静止 主机. 如果机器主机名更改,例如由于
DHCP 服务器动态主机名分配,客户端注册到 IPA 服务器中断和
用户将无法执行 Kerberos 身份验证。
--hostname 选项可用于指定在重启后仍然存在的静态主机名。
DNS 自动发现
默认情况下,客户端安装程序会尝试为所有用户搜索 _ldap._tcp.DOMAIN DNS SRV 记录
其主机名的父域。 例如,如果客户端机器有一个主机名
'client1.lab.example.com',安装程序将尝试从中检索 IPA 服务器主机名
_ldap._tcp.lab.example.com、_ldap._tcp.example.com 和 _ldap._tcp.com DNS SRV 记录,
分别。 然后使用发现的域来配置客户端组件(例如 SSSD
和 Kerberos 5 配置)在机器上。
当客户端机器主机名不在 IPA 服务器的子域中时,它的域可以是
使用 --domain 选项传递。 在这种情况下,SSSD 和 Kerberos 组件都具有
配置文件中设置的域,并将使用它来自动发现 IPA 服务器。
客户端机器也可以在没有 DNS 自动发现的情况下进行配置。 当两个
--server 和 --domain 选项被使用,客户端安装程序将使用指定的服务器和
域直接。 --server 选项接受多个服务器主机名,可用于
故障转移机制。 如果没有 DNS 自动发现,Kerberos 配置了一个固定的列表
KDC 和管理服务器。 SSSD 仍配置为尝试读取域的 SRV
记录或指定的固定服务器列表。 当指定 --fixed-primary 选项时,
SSSD 根本不会尝试读取 DNS SRV 记录(请参阅 SSD-IPA(5) 详情)。
故障转移 机制
当某些 IPA 服务器不可用时,客户端组件能够回退到
其他 IPA 副本,从而保留持续的服务。 当客户端机器是
配置为使用 DNS SRV 记录自动发现(没有固定服务器传递给
安装程序),客户端组件根据 IPA 服务器自动执行回退
从 DNS SRV 记录中发现的主机名和优先级。
如果 DNS 自动发现不可用,则应至少为客户端配置一个固定的
出现故障时可以使用的 IPA 服务器列表。 当只有一台 IPA 服务器时
如果 IPA 出现故障,IPA 客户端服务将不可用
服务器。 请注意,如果是固定的 IPA 服务器列表,则固定服务器列表
在注册新的 IPA 服务器或当前的 IPA 时需要更新客户端组件
服务器已退役。
共存 其他名称 目录 服务器
部署在网络中的其他目录服务器(例如 Microsoft Active Directory)可能会使用
相同的 DNS SRV 记录来表示具有目录服务 (_ldap._tcp.DOMAIN) 的主机。
如果安装程序发现这些 DNS,此类 DNS SRV 记录可能会破坏安装
在找到指向 IPA 服务器的 DNS SRV 记录之前记录。 然后安装程序会
无法发现 IPA 服务器并错误退出。
为了避免上述 DNS 自动发现问题,客户端机器主机名
应该位于具有正确定义的指向 IPA 服务器的 DNS SRV 记录的域中,
手动使用自定义 DNS 服务器或使用 IPA DNS 集成解决方案。 一秒
方法是避免自动发现并将安装程序配置为使用固定列表
使用 --server 选项和 --fixed-primary 选项的 IPA 服务器主机名
在 SSSD 中禁用 DNS SRV 记录自动发现。
重新注册 of 此 主持人
要求:
1. 主机未注销(ipa-client-install --uninstall 命令未注销)
跑)。
2. 没有通过ipa host-disable 命令禁用host 条目。
如果是这种情况,可以使用通常的方法重新注册主机。
有两种验证重新注册的方法:
1. 您可以在 ipa-client-install 命令中使用 --force-join 选项。 这验证了
使用通过 -w/--password 选项提供的管理员凭据重新注册。
2. 如果无法通过命令行提供管理员密码(例如您想要
创建脚本以重新注册主机并确保管理员密码安全),您可以使用
从该主机的先前注册中备份密钥表以进行身份验证。 见--keytab
选项。
重新注册主机条目的后果:
1. 颁发新的主机证书
2.旧主机证书被吊销
3.生成新的SSH密钥
4. ipaUniqueID 被保留
配置
基本 配置
- 领域=域
将域名设置为 DOMAIN。 当未指定 --server 选项时,安装程序
将尝试通过 DNS SRV 记录自动发现发现所有可用的服务器(请参阅
DNS 自动发现部分了解详细信息)。
- 服务器=服务器
设置要连接的 IPA 服务器。 可以指定多次添加多个
服务器到 sssd.conf 或 krb5.conf 中的 ipa_server 值。 只有第一个值是
与 --no-sssd 一起使用时考虑。 使用此选项时,DNS 自动发现
禁用 Kerberos 并配置了固定的 KDC 和管理服务器列表。
- 领域=REALM_NAME
将 IPA 领域名称设置为 REALM_NAME。 一般情况下,这个选项是
不需要,因为域名是从 IPA 服务器检索的。
--固定-主要
将 SSSD 配置为使用固定服务器作为主 IPA 服务器。 默认为
使用 DNS SRV 记录来确定要使用的主服务器并回退到
客户端注册的服务器。 当与 --server 结合使用时,则没有
_srv_ 值在 sssd.conf 的 ipa_server 选项中设置。
-p, - 主要的
用于加入 IPA 领域的授权 kerberos 主体。
-w 密码, - 密码=密码
将机器加入 IPA 领域的密码。 假设批量密码,除非
校长也设置了。
-W 提示输入将机器加入 IPA 领域的密码。
-k, --密钥表
从以前的注册中备份的主机密钥表的路径。 加入主机,即使它
已经注册。
--mkhomedir
配置 PAM 以创建用户主目录(如果它不存在)。
- 主机名
这台机器的主机名 (FQDN)。 如果指定,将设置主机名并且
系统配置将更新以在重新启动后保持不变。 默认一个节点名
产生于 UNAME(2) 使用。
--强制加入
加入主机,即使它已经注册。
--ntp-服务器=NTP_服务器
配置 ntpd 以使用此 NTP 服务器。 此选项可以多次使用。
-N, --无ntp
不要配置或启用 NTP。
--强制-ntpd
停止和禁用除 ntpd 之外的任何时间和日期同步服务。
--nis域=NIS_域
按照指定设置 NIS 域名。 默认情况下,这设置为 IPA 域
名称。
--no-nisdomain
请勿配置 NIS 域名。
--ssh-信任-dns
将 OpenSSH 客户端配置为信任 DNS SSHFP 记录。
--无 ssh
不要配置 OpenSSH 客户端。
--无 sshd
不要配置 OpenSSH 服务器。
--no-须藤
不要将 SSSD 配置为 sudo 的数据源。
--no-dns-sshfp
不要自动创建 DNS SSHFP 记录。
--诺亚克 不要使用 Authconfig 修改 nsswitch.conf 和 PAM 配置。
-f, - 力量
即使发生错误也强制设置
--kinit-尝试=KINIT_ATTEMPTS
在 KDC 无响应的情况下(例如,在繁重的任务中同时注册多个主机时
负载环境)重复请求主机 Kerberos 票最多一个总数
of KINIT_ATTEMPTS 放弃和中止客户端安装之前的时间。 默认
尝试次数为 5. 出现问题时不重复请求
主机凭据本身(例如错误的密钥表格式或无效的主体)所以
使用此选项不会导致帐户锁定。
-d, -调试
将调试信息打印到标准输出
-U, --无人值守
无人值守安装。 不会提示用户。
--ca-证书文件=文件
不要尝试通过自动化方式获取 IPA CA 证书,而是使用
在本地找到的 CA 证书 文件。 该 文件 必须是绝对的
PEM 格式的证书文件的路径。 找到的 CA 证书 文件 is
被认为是权威的,将在安装时不检查它是否
对 IPA 域有效。
--请求证书
为机器申请证书。 证书将存储在
/etc/ipa/nssdb 在昵称“本地 IPA 主机”下。
--自动挂载位置=地点
通过运行配置自动挂载 ipa 客户端自动挂载(1)与 地点 作为自动挂载
的位置。
--配置-火狐
配置 Firefox 以使用 IPA 域凭据。
--firefox 目录=DIR
指定火狐安装目录。 例如:'/usr/lib/firefox'
- IP地址=IP地址
使用 IP地址 在此主机的 DNS A/AAAA 记录中。 可以多次指定
添加多个 DNS 记录。
--所有IP地址
为该主机上的每个 IP 地址创建 DNS A/AAAA 记录。
固态硬盘 配置
- 允许
配置 SSSD 以允许所有访问。 否则机器将被控制
IPA 服务器上的基于主机的访问控制 (HBAC)。
--启用-dns-更新
此选项告诉 SSSD 使用此 IP 地址自动更新 DNS
顾客。
--no-krb5-离线密码
配置 SSSD 在服务器离线时不存储用户密码。
-S, --无 SSD
不要将客户端配置为使用 SSSD 进行身份验证,而是使用 nss_ldap。
--保留 SSD
默认禁用。 启用后,如果不是,则保留旧的 SSSD 配置
可以将其与新的合并。 实际上,如果合并是不可能的
到 SSSDConfig 阅读器遇到不支持的选项, ipa 客户端安装 不会
进一步运行并要求首先修复 SSSD 配置。 未指定此选项时,
ipa 客户端安装 将备份 SSSD 配置并创建新配置。 备份版本
将在卸载过程中恢复。
卸载 配置
- 卸载
删除 IPA 客户端软件并将配置恢复到 IPA 之前的状态。
-U, --无人值守
无人值守卸载。 不会提示用户。
使用 onworks.net 服务在线使用 ipa-client-install
