这是命令 ipa-replica-manage 可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ipa-replica-manage - 管理 IPA 副本
概要
ipa 副本管理 [OPTION]... [命令]
商品描述
管理 IPA 服务器的复制协议。
要在域级别 1 管理域中的 IPA 复制协议,请使用 IPA CLI 或 Web UI,
有关其他信息,请参阅“ipa 帮助拓扑”。
可用的命令有:
联接 [服务器_A]
- 在 SERVER_A/localhost 和 SERVER_B 之间添加新的复制协议。 在
域级别 1 仅适用于 winsync 协议。
断开 [服务器_A]
- 删除 SERVER_A/localhost 和 SERVER_B 之间的复制协议。 在
域级别 1 仅适用于 winsync 协议。
该
- 删除有关 SERVER 的所有复制协议和数据。 在域级别 1 它
删除两个后缀的数据和协议 - domain 和 ca。
名单 [服务器]
- 列出所有服务器或SERVER的协议列表
重新初始化
- 强制从服务器检索数据的 IPA 服务器完全重新初始化
使用 --from 选项指定
强制同步
- 立即刷新任何要从指定的服务器复制的数据
--从选项
列表-ruv
- 列出此服务器上的复制 ID。
清洁汽车 [REPLICATION_ID]
- 运行 CLEANALLRUV 任务以删除复制 ID。
干净的悬垂ruv
- 清除系统中所有未卸载的 RUV 和 CS-RUV
副本。
中止清洁ruv [REPLICATION_ID]
- 中止正在运行的 CLEANALLRUV 任务。 使用 --force 选项,任务不会等待
所有副本服务器都已发送中止任务,或在线,之前
完成。
列表清洁 ruv
- 列出所有正在运行的 CLEANALLRUV 并中止 CLEANALLRUV 任务。
dnarange-秀 [服务器]
- 列出 DNA 范围
dnarange 集 服务器 开始-结束
- 在母版上设置 DNA 范围
dnanextrange-显示 [服务器]
- 列出下一个 DNA 范围
dnanextrange 组 服务器 开始-结束
- 在母版上设置 DNA 下一个范围
连接和断开连接选项用于管理复制拓扑。 当一个
副本被创建,它只与创建它的主节点连接。 连接
选项可用于将其连接到其他现有副本。
断开连接选项不能用于删除副本的最后一个链接。 删除一个
拓扑中的副本使用 del 选项。
如果一个副本被删除,然后在短时间内重新添加,那么 389-ds
创建它的 master 上的实例应该在重新安装之前重新启动
复制品。 主服务器将缓存旧的服务主体,这将导致
复制失败。
每个 IPA 主服务器都有一个唯一的复制 ID。 当 389-ds-base 使用此 ID 时
存储有关复制状态的信息。 输出由主人和他们的
各自的复制 ID。 看 清洁汽车
当一个 master 被删除时,所有其他的 master 都需要从
大师名单。 通常,当使用以下命令删除 master 时,会自动发生这种情况
ipa-副本-管理。 如果在 ipa-replica-manage 时一个或多个 master 宕机或无法访问
被执行,那么这个副本 ID 可能仍然存在。 clean-ruv 命令可用于
清理未使用的复制 ID。
注意: 清洁 ruv 是 很 危险的. 可能会导致针对错误的复制 ID 执行
在该主机上的不一致数据中。 主节点应该从另一个重新初始化,如果
有时候是这样的。
删除主服务器时会检查复制拓扑,并将尝试阻止
成为孤儿的主人。 例如,如果您的拓扑是 A <-> B <-> C 并且您
尝试删除主 B 它将失败,因为这会留下主以及 A 和 C
孤儿。
master 列表存储在 cn=masters,cn=ipa,cn=etc,dc=example,dc=com 中。 这应该
删除 master 时会自动清理。 如果发生您已删除
主人和所有的协议,但这些条目仍然存在,那么你将无法
要在其上重新安装 IPA,安装将失败:
不能使用标准命令(host-del,对于
例)。
可以使用带有 --cleanup 选项的 del 指令清理孤立的 master。
这将从 cn=masters,cn=ipa,cn=etc 中删除否则会阻止 host-del 的条目
从工作中,它的 dna 配置文件,s4u2proxy 配置,服务主体并将其删除
来自默认的 DUA 配置文件 defaultServerList。
配置
-H HOST, - 主持人=HOST
要管理的 IPA 服务器。 默认是运行命令的机器
不遵守重新初始化命令。
-p DM_密码, - 密码=DM_密码
用于身份验证的目录管理员密码
-v, --详细
提供其他信息
-f, - 力量
忽略某些类型的错误,删除master时不提示
-c, --无查找
不要执行 DNS 查找检查。
-c, - 清理
删除带有 --force 标志的 master 时,删除对
已经删除了主人。
--绑定=ADMIN_DN
绑定 DN 以用于远程服务器(默认为 cn=Directory Manager) - 注意
在命令行上引用此值
--bindpw=管理员_密码
绑定 DN 与远程服务器一起使用的密码(默认为上面的 DM_PASSWORD)
--winsync
指定创建/使用 Windows 同步协议
--cacert=/路径/到/cacertfile
与 TLS/SSL 一起使用的 CA 证书的完整路径和文件名到远程服务器 -
此 CA 证书将安装在目录服务器的证书中
数据库
--win-子树=cn=用户,dc=示例,dc=com
包含要同步的用户的 Windows 子树的 DN(默认
cn=用户, - 这通常是 Windows AD 使用的默认值
value) - 小心在命令行上引用这个值
--密码同步=密码同步_密码
Windows PassSync 插件用于同步的 IPA 系统用户的密码
密码。 使用 --winsync 时需要。 这并不意味着您必须使用
PassSync 服务。
- 从=服务器
从中提取数据的服务器,由重新初始化和强制同步使用
命令。
范围
IPA 使用 389-ds 分布式数字分配 (DNA) 插件来分配 POSIX ids
用户和组。 安装 IPA 时会创建一个范围,并分配了一半的范围
分配给第一个 IPA 主机。
新 IPA 大师不会自动获得 DNA 范围分配。 范围分配是
仅当在该主服务器上添加用户或 POSIX 组时才完成。
DNA 插件还支持“甲板上”或下一个范围配置。 当初级
range 用完了,它不会去另一个 master 要求更多,它会用它的
如果定义了甲板上的范围。 每个大师只能有一个范围和一个甲板范围
定义。
当一个母版被移除时,会尝试将其 DNA 范围保存到另一个母版上
在其甲板范围内。 IPA 不会尝试扩展或合并范围。 如果没有
可用的甲板范围插槽然后将其报告给用户。 范围是有效的
除非手动将其合并到另一个 master 的范围内,否则会丢失。
DNA 范围和甲板上(下一个)值可以使用 dnarange-set 和
dnanextrange-set 命令。 管理这些范围的规则是:
- 该范围必须完全包含在 ipa 定义的本地范围内
idrange 命令。
- 该范围不能与另一个 IPA 主机上的 DNA 范围或甲板上的范围重叠。
- 该范围不能与 AD 信任的 ID 范围重叠。
- 无法删除主要 DNA 范围。
- 甲板上的范围可以通过将其设置为 0-0 来删除。 假设是
该范围将被手动移动或合并到其他地方。
可以通过传递该主机的 FQDN 来显示特定主机的范围和下一个范围
掌握 dnarange-show 或 dnanextrange-show 命令。
作为委派管理员执行范围更改(例如不使用目录
管理员密码)需要额外的 389-ds ACI。 这些安装在升级的主服务器中
但不是现有的。 更改是在 cn=config 中进行的,不会被复制。 这
结果是无法在未升级的主服务器上管理 DNA 范围作为委派
管理员。
示例
列出所有大师:
# ipa-replica-manage 列表
srv1.example.com
srv2.example.com
srv3.example.com
srv4.example.com
列出服务器的复制协议。
# ipa-replica-manage 列表 srv1.example.com
srv2.example.com
srv3.example.com
重新初始化副本:
# ipa-replica-manage 重新初始化 --from srv2.example.com
这将重新初始化您执行命令的服务器上的数据,
从 srv2.example.com 副本中检索数据
添加新的复制协议:
# ipa-replica-manage 连接 srv2.example.com srv4.example.com
删除现有的复制协议:
# ipa-replica-manage 断开 srv1.example.com srv3.example.com
完全删除副本:
# ipa-replica-manage del srv4.example.com
使用连接/断开连接,您可以管理复制拓扑。
列出正在使用的复制 ID:
# ipa-replica-manage 列表-ruv
srv1.example.com:389:7
srv2.example.com:389:4
删除对孤立和已删除的母版的引用:
# ipa-replica-manage del --force --cleanup master.example.com
温同步
创建 Windows AD 同步协议类似于创建 IPA 复制
协议,只需要几个额外的步骤。
为 PassSync 服务创建了一个特殊的用户条目。 此条目的 DN 是
uid=passsync,cn=sysaccounts,cn=etc, . 您无需使用 PassSync 即可使用
Windows 同步协议,但需要为用户设置密码。
以下示例使用 AD 管理员帐户作为同步用户。 这个
不是强制性的,但用户必须对子树具有读访问权限。
1. 将 base64 编码的 Windows AD CA 证书传输到您的 IPA 服务器
2. 删除任何现有的 kerberos 凭据
#kdestroy
3.添加winsync复制协议
# ipa-replica-manage connect --winsync --passsync=
will_be_used_for_agreement> --cacert=/path/to/adscacert/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw
-v
系统将提示您提供目录管理员的密码。
创建winsync复制协议:
# ipa-replica-manage 连接 --winsync --passsync=MySecret
--cacert=/root/WIN-CA.cer --binddn
"cn=administrator,cn=users,dc=ad,dc=example,dc=com" --bindpw MySecret -v
windows.ad.example.com
删除一个 winsync 复制协议:
# ipa-replica-manage 断开 windows.ad.example.com
密码同步
PassSync 是在 AD 域控制器上运行以拦截密码的 Windows 服务
变化。 它通过 TLS 将这些密码更改发送到 IPA LDAP 服务器。 这些密码
更改绕过正常的 IPA 密码策略设置,并且密码未设置为
立即过期。 这是因为当 IPA 收到密码更改时,它已经
已经被AD接受了所以拒绝它为时已晚。
IPA 维护着一个不受密码策略限制的 DN 列表。 添加了一个特殊用户
创建 winsync 复制协议时自动执行。 该用户的DN是
添加到条目中存储在 passSyncManagersDNs 中的豁免列表
cn=ipa_pwd_extop,cn=plugins,cn=config。
退出 状态
0 如果命令成功
1 如果发生错误
使用 onworks.net 服务在线使用 ipa-replica-manage
