Este es el comando ipa-adtrust-install que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ipa-adtrust-install - Prepare un servidor IPA para poder establecer relaciones de confianza
con dominios AD
SINOPSIS
ipa-adtrust-instalar [OPCIÓN] ...
DESCRIPCIÓN
Agrega todos los objetos y la configuración necesarios para permitir que un servidor IPA cree una confianza para
un dominio de Active Directory. Esto requiere que el servidor IPA ya esté instalado y
configurado.
Tenga en cuenta que no podrá establecer una confianza en un dominio de Active Directory
a menos que el nombre de dominio del servidor IPA coincida con su nombre de dominio.
ipa-adtrust-install se puede ejecutar varias veces para reinstalar objetos eliminados o rotos
Archivos de configuración. Por ejemplo, una nueva configuración de samba (archivo smb.conf y basado en el registro
se puede crear la configuración. Otros elementos como, por ejemplo, la configuración del rango local
no se puede cambiar ejecutando ipa-adtrust-install una segunda vez porque con los cambios aquí
otros objetos también pueden verse afectados.
Firewall Requisitos
Además de los requisitos de firewall del servidor IPA, ipa-adtrust-install requiere la
los siguientes puertos deben estar abiertos para permitir que IPA y Active Directory se comuniquen juntos:
TCP Puertos
· 135 / tcp EPMAP
· 138 / tcp NetBIOS-DGM
· 139 / tcp NetBIOS-SSN
· 445 / tcp Microsoft-DS
· 1024 / tcp a 1300 / tcp para permitir que EPMAP en el puerto 135 / tcp cree un oyente TCP
basado en una solicitud entrante.
UDP Puertos
· 138 / udp NetBIOS-DGM
· 139 / udp NetBIOS-SSN
· 389 / udp LDAP
OPCIONES
-d, --depurar
Habilite el registro de depuración cuando se necesite una salida más detallada
--nombre-netbios=NOMBRE_NETBIOS
El nombre NetBIOS del dominio IPA. Si no se proporciona, esto se determina en función de
en el componente principal del nombre de dominio DNS. Ejecutando ipa-adtrust-install para un
la segunda vez con un nombre NetBIOS diferente cambiará el nombre. Tenga en cuenta que
cambiar el nombre NetBIOS podría romper las relaciones de confianza existentes con otros
dominios
--no-msdcs
No cree registros de servicio DNS para Windows en un servidor DNS administrado. Ya que esos
Los registros de servicio DNS son la única forma de descubrir controladores de dominio de otros
dominios, deben agregarse manualmente a un servidor DNS diferente para permitir la confianza
las relaciones funcionan correctamente. Todos los registros de servicio necesarios se enumeran cuando
ipa-adtrust-install finaliza y no se proporcionó --no-msdcs o no se proporcionó ningún servicio IPA DNS
está configurado. Normalmente se necesitan registros de servicio para los siguientes nombres de servicio
para el dominio IPA que debe apuntar a todos los servidores IPA:
· _Ldap._tcp
· _Kerberos._tcp
· _Kerberos._udp
· _Ldap._tcp.dc._msdcs
· _Kerberos._tcp.dc._msdcs
· _Kerberos._udp.dc._msdcs
· _Ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _Kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--añadir-sids
Agregue los SID a los usuarios y grupos existentes a partir de los pasos finales del
ipa-adtrust-install ejecutar. Si hay muchos usuarios y grupos existentes y un par de
réplicas en el entorno, esta operación puede generar un alto tráfico de replicación
y una degradación del rendimiento de todos los servidores IPA del entorno. Para evitar esto
la generación de SID se puede ejecutar después de ejecutar y programar ipa-adtrust-install
independientemente. Para iniciar esta tarea, debe cargar una versión editada de ipa-sidgen-
task-run.ldif con el comando ldapmodify informa el servidor de directorio.
--add-agentes
Agregue maestros de IPA a la lista que permite brindar información sobre los usuarios de
bosques de confianza. A partir de FreeIPA 4.2, un maestro IPA normal puede proporcionar este
información a los clientes SSSD. Los maestros de IPA no se agregan a la lista automáticamente como
Es necesario reiniciar el servicio LDAP en cada uno de ellos. El anfitrión donde
ipa-adtrust-install se está ejecutando se agrega automáticamente.
Tenga en cuenta que los archivos maestros de IPA en los que no se ejecutó ipa-adtrust-install pueden proporcionar información
sobre los usuarios de bosques de confianza solo si están habilitados a través de ipa-adtrust-install
ejecutar en cualquier otro maestro IPA. Se requiere al menos SSSD versión 1.13 en el maestro IPA
para poder desempeñarse como agente fiduciario.
-U, --desesperado
Una instalación desatendida que nunca solicitará la entrada del usuario
-U, --red-base=RID_BASE
Primer valor RID del dominio local. El primer ID de Posix del dominio local será
asignado a este RID, el segundo a RID + 1, etc. Consulte la ayuda en línea del idrange
CLI para obtener más detalles.
-U, --base-secundaria-eliminada=SECONDARY_RID_BASE
Valor inicial del rango RID secundario, que solo se usa en el caso de que un usuario y un
grupo comparte numéricamente el mismo ID de Posix. Consulte la ayuda en línea de la CLI de idrange
para obtener más detalles.
-A, --admin-nombre=ADMIN_NOMBRE
El nombre del usuario con privilegios administrativos para este servidor IPA. Defaults
a 'admin'.
-a, --clave de administrador=la contraseña
La contraseña del usuario con privilegios administrativos para este servidor IPA. Voluntad
ser preguntado de forma interactiva si -U no se especifica
Las credenciales del usuario administrador se utilizarán para obtener el ticket Kerberos antes
configurar el soporte de confianzas entre dominios y, posteriormente, garantizar que el ticket contenga
Se requiere información de MS-PAC para agregar realmente una confianza con el dominio de Active Directory a través de 'ipa
comando trust-add --type = ad '.
--habilitar-compatibilidad
Habilita el soporte para usuarios de dominios confiables para clientes antiguos a través de Schema
Complemento de compatibilidad. SSSD admite dominios de confianza de forma nativa a partir de la versión
1.9. Para las plataformas que carecen de SSSD o ejecutan una versión SSSD anterior, es necesario usar esto
opción. Cuando está habilitado, el paquete slapi-nis debe instalarse y
El complemento schema-compat-plugin se configurará para proporcionar búsqueda de usuarios y grupos desde
dominios de confianza a través de SSSD en el servidor IPA. Estos usuarios y grupos estarán disponibles
bajo cn = usuarios, cn = compat, $ SUFIJO y cn = grupos, cn = compat, $ SUFIJO árboles. SSSD lo
normalice los nombres de usuarios y grupos a minúsculas.
Además de proporcionar estos usuarios y grupos a través del árbol de compatibilidad, este
La opción habilita la autenticación sobre LDAP para usuarios de dominio de confianza con DN bajo
árbol de compatibilidad, es decir, usando bind DN
uid =[email protected], cn = usuarios, cn = compat, $ SUFIJO.
La autenticación LDAP realizada por el árbol de compatibilidad se realiza a través de PAM 'autenticación del sistema'
Servicio. Este servicio existe de forma predeterminada en los sistemas Linux y lo proporciona pam
paquete como /etc/pam.d/system-auth. Si su instalación de IPA no tiene HBAC predeterminado
regla 'allow_all' habilitada, luego asegúrese de definir en el servicio especial de IPA llamado
'autenticación del sistema'y cree una regla HBAC para permitir el acceso de cualquier persona a esta regla en IPA
Maestros
Como 'autenticación del sistema'El servicio PAM no es utilizado directamente por ninguna otra aplicación, es
Es seguro usarlo para usuarios de dominio de confianza a través de una ruta de compatibilidad.
SALIR ESTADO
0 si la instalación fue exitosa
1 si ocurrió un error
Utilice ipa-adtrust-install en línea utilizando los servicios de onworks.net
