这是命令 ipa-server-install,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ipa-server-install - 配置 IPA 服务器
概要
ipa-服务器-安装 [OPTION] ...
商品描述
配置 IPA 服务器所需的服务。 这包括设置 Kerberos 密钥
分发中心 (KDC) 和带有 LDAP 后端的 Kadmin 守护进程,配置 Apache,
配置 NTP 并可选地配置和启动 LDAP 支持的 DNS 服务器。 经过
默认情况下,将配置基于 dogtag 的 CA 来颁发服务器证书。
配置
基本 配置
-r REALM_NAME, - 领域=REALM_NAME
IPA 服务器的 Kerberos 领域名称。 你将无法建立
除非领域名称是大写的域名,否则信任 Active Directory。
-n DOMAIN_NAME, - 领域=DOMAIN_NAME
您的 DNS 域名
-p DM_密码, --ds-密码=DM_密码
目录服务器为目录管理员用户使用的密码
-a 管理员密码, --管理员密码=管理员密码
IPA 管理员用户的密码
--mkhomedir
首次登录时为用户创建主目录
- 主机名=主机名
此服务器的完全限定 DNS 名称。 如果主机名与系统不匹配
主机名,系统主机名将相应更新以防止服务
失败。
- IP地址=IP地址
此服务器的 IP 地址。 如果此地址与主机地址不匹配
解析为并且未选择 --setup-dns 安装将失败。 如果
服务器主机名不可解析,主机名和 IP_ADDRESS 的记录是
添加到 /etc/hosts。 此选项可多次使用以指定更多
服务器的 IP 地址(例如多宿主和/或双栈服务器)。
-N, --无ntp
不配置NTP
--idstart=身份开始
起始用户和组 ID 号(默认随机)
--idmax=最大ID
最大用户和组 ID 号(默认:idstart+199999)。 如果设置为零,则
将使用默认值。
--no_hbac_allow
不要安装 allow_all HBAC 规则。 此规则允许来自任何主机的任何用户访问任何
在任何其他主机上提供服务。 预计用户将在此之前删除此规则
转向生产。
--忽略拓扑断开
忽略 IPA 服务器卸载时报告的错误会导致断开连接
拓扑。 仅当域级别为 1 或更高时才能使用此选项。
--无用户界面重定向
不要自动重定向到 Web UI。
--ssh-信任-dns
将 OpenSSH 客户端配置为信任 DNS SSHFP 记录。
--无 ssh
不要配置 OpenSSH 客户端。
--无 sshd
不要配置 OpenSSH 服务器。
-d, -调试
需要更详细的输出时启用调试日志记录
-U, --无人值守
无人值守安装,永远不会提示用户输入
--dirsrv-配置文件
LDIF 文件的路径,将用于在期间修改 dse.ldif 的配置
安装目录服务器实例
证书 系统 配置
--外部CA
为要由外部 CA 签名的 IPA CA 证书生成 CSR。
--external-ca 类型=型
外部 CA 的类型。 可能的值为“通用”、“ms-cs”。 默认值为
“通用的”。 使用“ms-cs”包含 Microsoft 证书所需的模板名称
生成的 CSR 中的服务 (MS CS)。
--外部证书文件=文件
包含 IPA CA 证书和外部 CA 证书链的文件。 这
文件以 PEM 和 DER 证书以及 PKCS#7 证书链格式被接受。
此选项可以多次使用。
--no-pkinit
禁用 pkinit 设置步骤
--dirsrv-证书文件=文件
包含目录服务器 SSL 证书和私钥的文件。 这些文件是
在 PEM 和 DER 证书、PKCS#7 证书链、PKCS#8 和 raw 中接受
私钥和 PKCS#12 格式。 此选项可以多次使用。
--http-cert 文件=文件
包含 Apache 服务器 SSL 证书和私钥的文件。 这些文件是
在 PEM 和 DER 证书、PKCS#7 证书链、PKCS#8 和 raw 中接受
私钥和 PKCS#12 格式。 此选项可以多次使用。
--pkinit-cert-文件=文件
包含 Kerberos KDC SSL 证书和私钥的文件。 这些文件是
在 PEM 和 DER 证书、PKCS#7 证书链、PKCS#8 和 raw 中接受
私钥和 PKCS#12 格式。 此选项可以多次使用。
--dirsrv-pin=密码
解锁目录服务器私钥的密码
--http-pin=密码
用于解锁 Apache 服务器私钥的密码
--pkinit-pin=密码
解锁 Kerberos KDC 私钥的密码
--dirsrv-证书名称=您的姓名
要安装的目录服务器 SSL 证书的名称
--http-证书名称=您的姓名
要安装的 Apache 服务器 SSL 证书的名称
--pkinit 证书名称=您的姓名
要安装的 Kerberos KDC SSL 证书的名称
--ca-证书文件=文件
包含颁发目录服务器的 CA 的 CA 证书的文件,
Apache 服务器和 Kerberos KDC 证书。 该文件被 PEM 和 DER 接受
证书和 PKCS#7 证书链格式。 此选项可多次使用
次。 如果证书中不存在 CA 证书,请使用此选项
文件。
- 主题=分科
证书主题库(默认 O=REALM.NAME)
--ca 签名算法=算法
IPA CA 证书的签名算法。 可能的值为 SHA1withRSA,
SHA256withRSA,SHA512withRSA。 默认值为 SHA256withRSA。 将此选项与
--external-ca 如果外部 CA 不支持默认签名算法。
DNS 配置
--设置-dns
如果 DNS 区域尚不存在,则生成该区域并配置 DNS 服务器。
此选项要求您通过以下方式指定至少一个 DNS 转发器
--转发器 选项或使用 --无转发器 选项。
请注意,您可以在初始 IPA 服务器安装后随时设置 DNS
运行 ipa-dns-安装 (见 ipa-dns-安装(1))。
--转发器=IP地址
将 DNS 转发器添加到 DNS 配置。 您可以多次使用此选项
指定更多转发器的次数,但必须至少提供一个,除非
--无转发器 选项被指定。
--无转发器
不要添加任何 DNS 转发器。 将改用根 DNS 服务器。
--自动转发器
添加配置的 DNS 转发器 / etc / resolv.conf中 到使用的转发器列表
IPA DNS。
--反向区域=反向区域
要使用的反向 DNS 区域。 这个选项可以多次使用来指定
多个反向区域。
--无反向
不要创建反向 DNS 区域
--自动反转
尝试解析服务器 IP 地址的反向记录和反向区域,如果
两者都不可解析创建这些反向区域。
--zonemgr
DNS 区域管理器的电子邮件地址。 默认为 hostmaster@DOMAIN
--无主机 DNS
在安装过程中不要使用 DNS 进行主机名查找
--no-dns-sshfp
不要自动创建 DNS SSHFP 记录。
--no-dnssec-验证
在此服务器上禁用 DNSSEC 验证。
--允许区域重叠
即使区域已经可解析,也允许创建(反向)区域。 使用这个
不鼓励选项,因为它会导致以后的域名解析问题。
卸载 配置
- 卸载
卸载现有的 IPA 安装
-U, --无人值守
无人值守卸载,永远不会提示用户输入
弃用 配置
-P 主密码, - 主密码=主密码
kerberos 主密码(通常自动生成)。
退出 状态
0 如果(卸载)安装成功
1 如果发生错误
使用 onworks.net 服务在线使用 ipa-server-install