นี่คือคำสั่ง ipa-adtrust-install ที่สามารถเรียกใช้ในผู้ให้บริการโฮสติ้งฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ipa-adtrust-install - เตรียมเซิร์ฟเวอร์ IPA เพื่อให้สามารถสร้างความสัมพันธ์ที่เชื่อถือได้
ด้วยโดเมน AD
เรื่องย่อ
ipa-adtrust-ติดตั้ง [ทางเลือกที่] ...
DESCRIPTION
เพิ่มอ็อบเจ็กต์และการกำหนดค่าที่จำเป็นทั้งหมดเพื่อให้เซิร์ฟเวอร์ IPA สร้าง trust to
โดเมน Active Directory สิ่งนี้ต้องการให้ติดตั้งเซิร์ฟเวอร์ IPA แล้วและ
กำหนดค่า
โปรดทราบว่าคุณจะไม่สามารถสร้างความเชื่อถือให้กับโดเมน Active Directory
เว้นแต่ชื่อขอบเขตของเซิร์ฟเวอร์ IPA ตรงกับชื่อโดเมน
ipa-adtrust-install สามารถรันได้หลายครั้งเพื่อติดตั้งออบเจกต์ที่ถูกลบหรือเสียหาย
ไฟล์การกำหนดค่า เช่นการกำหนดค่าแซมบ้าใหม่ (ไฟล์ smb.conf และรีจิสตรีตาม
สามารถสร้างคอนฟิกได้ รายการอื่นๆ เช่น การกำหนดค่าของช่วงในพื้นที่
ไม่สามารถเปลี่ยนแปลงได้โดยเรียกใช้ ipa-adtrust-install เป็นครั้งที่สองเพราะมีการเปลี่ยนแปลงที่นี่
วัตถุอื่นอาจได้รับผลกระทบเช่นกัน
ไฟร์วอลล์ ความต้องการ
นอกเหนือจากข้อกำหนดไฟร์วอลล์เซิร์ฟเวอร์ IPA แล้ว ipa-adtrust-install ยังต้องการ
พอร์ตต่อไปนี้จะเปิดขึ้นเพื่อให้ IPA และ Active Directory สามารถสื่อสารร่วมกันได้:
TCP พอร์ต
· 135/tcp EPMAP
· 138/tcp NetBIOS-DGM
· 139/tcp NetBIOS-SSN
· 445/tcp Microsoft-DS
· 1024/tcp ถึง 1300/tcp เพื่ออนุญาตให้ EPMAP บนพอร์ต 135/tcp สร้าง TCP listener
ขึ้นอยู่กับการร้องขอที่เข้ามา
UDP พอร์ต
· 138/udp NetBIOS-DGM
· 139/udp NetBIOS-SSN
· 389/udp LDAP
OPTIONS
-d, --debug
เปิดใช้งานการบันทึกการดีบักเมื่อต้องการเอาต์พุตที่ละเอียดมากขึ้น
--netbios-ชื่อ=เน็ตไบออส_NAME
ชื่อ NetBIOS สำหรับโดเมน IPA หากไม่ระบุ ค่านี้จะพิจารณาตาม
บนองค์ประกอบชั้นนำของชื่อโดเมน DNS การรัน ipa-adtrust-install สำหรับ a
ครั้งที่สองด้วยชื่อ NetBIOS อื่นจะเปลี่ยนชื่อ โปรดทราบว่า
การเปลี่ยนชื่อ NetBIOS อาจทำลายความสัมพันธ์ที่เชื่อถือได้กับผู้อื่น
โดเมน
--no-msdcs
อย่าสร้างระเบียนบริการ DNS สำหรับ Windows ในเซิร์ฟเวอร์ DNS ที่มีการจัดการ ตั้งแต่นั้นมา
ระเบียนบริการ DNS เป็นวิธีเดียวในการค้นหาตัวควบคุมโดเมนของผู้อื่น
โดเมนจะต้องเพิ่มด้วยตนเองในเซิร์ฟเวอร์ DNS อื่นเพื่อให้เชื่อถือ
ความเป็นจริงทำงานอย่างถูกต้อง บันทึกการบริการที่จำเป็นทั้งหมดจะแสดงเมื่อ
ipa-adtrust-install เสร็จสิ้นและ --no-msdcs ได้รับหรือไม่มีบริการ IPA DNS
มีการกำหนดค่า โดยทั่วไปจำเป็นต้องมีบันทึกการบริการสำหรับชื่อบริการต่อไปนี้
สำหรับโดเมน IPA ซึ่งควรชี้ไปที่เซิร์ฟเวอร์ IPA ทั้งหมด:
· _ldap._tcp
· _kerberos._tcp
· _kerberos._udp
· _ldap._tcp.dc._msdcs
· _kerberos._tcp.dc._msdcs
· _kerberos._udp.dc._msdcs
· _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
· _kerberos._udp.Default-First-Site-Name._sites.dc._msdcs
--เพิ่ม-sids
เพิ่ม SID ให้กับผู้ใช้และกลุ่มที่มีอยู่ตามขั้นตอนสุดท้ายของ
เรียกใช้ ipa-adtrust-install หากมีผู้ใช้และกลุ่มที่มีอยู่จำนวนมากและอีกสองสามราย
การจำลองในสภาพแวดล้อมการดำเนินการนี้อาจนำไปสู่การรับส่งข้อมูลการจำลองแบบสูง
และลดประสิทธิภาพของเซิร์ฟเวอร์ IPA ทั้งหมดในสภาพแวดล้อม เพื่อหลีกเลี่ยงสิ่งนี้
การสร้าง SID สามารถรันได้หลังจากรันและกำหนดเวลา ipa-adtrust-install แล้ว
อย่างอิสระ ในการเริ่มต้นงานนี้ คุณต้องโหลด ipa-sidgen- เวอร์ชันที่แก้ไข
task-run.ldif ด้วยคำสั่ง ldapmodify ข้อมูลไดเร็กทอรีเซิร์ฟเวอร์
--add-ตัวแทน
เพิ่ม IPA master ลงในรายการที่อนุญาตให้แสดงข้อมูลเกี่ยวกับผู้ใช้จาก
ป่าที่เชื่อถือได้ เริ่มต้นด้วย FreeIPA 4.2 ต้นแบบ IPA ปกติสามารถจัดเตรียมสิ่งนี้ได้
ข้อมูลไปยังไคลเอนต์ SSSD ต้นแบบ IPA จะไม่ถูกเพิ่มลงในรายการโดยอัตโนมัติเนื่องจาก
จำเป็นต้องเริ่มบริการ LDAP ใหม่ในแต่ละบริการ เจ้าภาพที่ไหน
กำลังเรียกใช้ ipa-adtrust-install จะถูกเพิ่มโดยอัตโนมัติ
โปรดทราบว่า IPA masters ที่ไม่ได้รัน ipa-adtrust-install สามารถให้บริการข้อมูลได้
เกี่ยวกับผู้ใช้จากฟอเรสต์ที่เชื่อถือได้ก็ต่อเมื่อเปิดใช้งานผ่าน ipa-adtrust-install
ทำงานบนต้นแบบ IPA อื่น ๆ ต้องมี SSSD เวอร์ชัน 1.13 เป็นอย่างน้อยใน IPA master
ให้สามารถดำเนินการเป็นตัวแทนทรัสต์ได้
-U, --ไม่ต้องใส่
การติดตั้งแบบไม่ต้องใส่ข้อมูลซึ่งจะไม่แจ้งเตือนให้ผู้ใช้ป้อนข้อมูล
-U, --rid-ฐาน=RID_BASE
ค่า RID แรกของโดเมนท้องถิ่น Posix ID แรกของโดเมนท้องถิ่นจะเป็น
มอบหมายให้กับ RID นี้ ครั้งที่สองให้กับ RID+1 เป็นต้น ดูความช่วยเหลือออนไลน์ของ idrange
CLI สำหรับรายละเอียด
-U, --รอง-กำจัด-ฐาน=SECONDARY_RID_BASE
ค่าเริ่มต้นของช่วง RID รอง ซึ่งใช้เฉพาะในกรณีที่ผู้ใช้และa
กลุ่มใช้ตัวเลข Posix ID เดียวกัน ดูความช่วยเหลือออนไลน์ของ idrange CLI
เพื่อดูรายละเอียด
-A, --admin-ชื่อ=ผู้ดูแลระบบ_NAME
ชื่อของผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบสำหรับเซิร์ฟเวอร์ IPA นี้ ค่าเริ่มต้น
ถึง 'ผู้ดูแลระบบ'
-a, --admin-รหัสผ่าน=รหัสผ่าน
รหัสผ่านของผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบสำหรับเซิร์ฟเวอร์ IPA นี้ จะ
จะถูกถามแบบโต้ตอบถ้า -U ไม่ได้ระบุ
ข้อมูลประจำตัวของผู้ดูแลระบบจะใช้เพื่อรับตั๋ว Kerberos ก่อน
การกำหนดค่าการสนับสนุน cross-realm trusts และหลังจากนั้น เพื่อให้แน่ใจว่าตั๋วมี
ต้องใช้ข้อมูล MS-PAC เพื่อเพิ่มความน่าเชื่อถือให้กับโดเมน Active Directory ผ่าน 'ipa
trust-add --type=ad' คำสั่ง
--enable-เข้ากันได้
เปิดใช้งานการสนับสนุนสำหรับผู้ใช้โดเมนที่เชื่อถือได้สำหรับไคลเอนต์เก่าผ่าน Schema
ปลั๊กอินความเข้ากันได้ SSSD รองรับโดเมนที่เชื่อถือได้โดยเริ่มแรกด้วยเวอร์ชัน
1.9. สำหรับแพลตฟอร์มที่ไม่มี SSSD หรือเรียกใช้ SSSD เวอร์ชันเก่า จำเป็นต้องใช้สิ่งนี้
ตัวเลือก. เมื่อเปิดใช้งาน จะต้องติดตั้งแพ็คเกจ slapi-nis และ
schema-compat-plugin จะได้รับการกำหนดค่าให้ค้นหาผู้ใช้และกลุ่มจาก
โดเมนที่เชื่อถือได้ผ่าน SSSD บนเซิร์ฟเวอร์ IPA ผู้ใช้และกลุ่มเหล่านี้จะพร้อมใช้งาน
ภายใต้ cn=ผู้ใช้,cn=compat,$SUFFIX และ cn=กลุ่ม,cn=compat,$คำต่อท้าย ต้นไม้ SSSD จะ
ทำให้ชื่อผู้ใช้และกลุ่มเป็นมาตรฐานเป็นตัวพิมพ์เล็ก
นอกเหนือจากการให้ผู้ใช้และกลุ่มเหล่านี้ผ่านแผนผังที่สัมพันธ์กันนี้
ตัวเลือกเปิดใช้งานการพิสูจน์ตัวตนผ่าน LDAP สำหรับผู้ใช้โดเมนที่เชื่อถือได้ที่มี DN ภายใต้
ต้นไม้ร่วมเช่นใช้ผูกDN
uid=[ป้องกันอีเมล],cn=ผู้ใช้,cn=compat,$SUFFIX.
การพิสูจน์ตัวตน LDAP ที่ดำเนินการโดยแผนผังที่เปรียบเทียบทำได้ผ่าน PAM 'ระบบรับรองความถูกต้อง'
บริการ. บริการนี้มีอยู่ตามค่าเริ่มต้นบนระบบ Linux และให้บริการโดย pam
แพ็คเกจเป็น /etc/pam.d/system-auth. หากการติดตั้ง IPA ของคุณไม่มี HBAC . เริ่มต้น
เปิดใช้งานกฎ 'allow_all' แล้วตรวจสอบให้แน่ใจว่าได้กำหนดในบริการพิเศษของ IPA ที่เรียกว่า
'ระบบรับรองความถูกต้อง' และสร้างกฎ HBAC เพื่ออนุญาตให้ทุกคนเข้าถึงกฎนี้บนIPA
ปริญญาโท
เนื่องจาก 'ระบบรับรองความถูกต้อง' แอปพลิเคชันอื่นไม่ได้ใช้บริการ PAM โดยตรง มันคือ
ปลอดภัยสำหรับผู้ใช้โดเมนที่เชื่อถือได้ผ่านเส้นทางที่เข้ากันได้
EXIT สถานภาพ
0 หากการติดตั้งสำเร็จ
1 หากเกิดข้อผิดพลาดขึ้น
ใช้ ipa-adtrust-install ออนไลน์โดยใช้บริการ onworks.net
