Zen

Translation


Groups of users

Manage groups of users. By default, new groups are POSIX groups. You
can add the --nonposix option to the group-add command to mark a new group
as non-POSIX. You can use the --posix argument with the group-mod command
to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.

Every group must have a description.

POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.

EXAMPLES:

Add a new group:
ipa group-add --desc='local administrators' localadmins

Add a new non-POSIX group:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Convert a non-POSIX group to posix:
ipa group-mod --posix remoteadmins

Add a new POSIX group with a specific Group ID number:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Add a new POSIX group and let IPA assign a Group ID number:
ipa group-add --desc='printer admins' printeradmins

Remove a group:
ipa group-del unixadmins

To add the "remoteadmins" group to the "localadmins" group:
ipa group-add-member --groups=remoteadmins localadmins

Add multiple users to the "localadmins" group:
ipa group-add-member --users=test1 --users=test2 localadmins

Remove a user from the "localadmins" group:
ipa group-remove-member --users=test2 localadmins

Display information about a named group.
ipa group-show localadmins

External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.

An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
group:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

ipa group-show ad_admins_external
3036/28880 · 2888

Sign in to save the translation.

English Russian Actions

Domain Name System (DNS)

Manage DNS zone and resource records.

SUPPORTED ZONE TYPES

* Master zone (dnszone-*), contains authoritative data.
* Forward zone (dnsforwardzone-*), forwards queries to configured forwarders
(a set of DNS servers).

USING STRUCTURED PER-TYPE OPTIONS

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1


EXAMPLES:

Add new zone:
ipa dnszone-add example.com --admin-email=admin@example.com

Add system permission that can be used for per-zone privilege delegation:
ipa dnszone-add-permission example.com

Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
ipa dnszone-mod example.com --dynamic-update=TRUE

This is the equivalent of:
ipa dnszone-mod example.com --dynamic-update=TRUE --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

Modify the zone to allow zone transfers for local network only:
ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

Add new reverse zone specified by network IP address:
ipa dnszone-add --name-from-ip=192.0.2.0/24

Add second nameserver for example.com:
ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

Add a mail server for example.com:
ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

Add another record using MX record specific options:
ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
or dnsrecord-del are executed with no options):
ipa dnsrecord-add example.com @
Please choose a type of DNS resource record to be added
The most common types for this type of zone are: NS, MX, LOC

DNS resource record type: MX
MX Preference: 30
MX Exchanger: mail3
Record name: example.com
MX record: 10 mail1, 20 mail2, 30 mail3
NS record: nameserver.example.com., nameserver2.example.com.

Delete previously added nameserver from example.com:
ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

Add LOC record for example.com:
ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

Add new A record for www.example.com. Create a reverse record in appropriate
reverse zone as well. In this case a PTR record "2" pointing to www.example.com
will be created in zone 2.0.192.in-addr.arpa.
ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

Add new PTR record for www.example.com
ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

Add new SRV records for LDAP servers. Three quarters of the requests
should go to fast.example.com, one quarter to slow.example.com. If neither
is available, switch to backup.example.com.
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

The interactive mode can be used for easy modification:
ipa dnsrecord-mod example.com _ldap._tcp
No option to modify specific record provided.
Current DNS record contents:

SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
SRV Priority [0]: (keep the default value)
SRV Weight [1]: 2 (modified value)
SRV Port [389]: (keep the default value)
SRV Target [slow.example.com]: (keep the default value)
1 SRV record skipped. Only one value per DNS record type can be modified at one time.
Record name: _ldap._tcp
SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

After this modification, three fifths of the requests should go to
fast.example.com and two fifths to slow.example.com.

An example of the interactive mode for dnsrecord-del command:
ipa dnsrecord-del example.com www
No option to delete specific record provided.
Delete all? Yes/No (default No): (do not delete all records)
Current DNS record contents:

A record: 192.0.2.2, 192.0.2.3

Delete A record '192.0.2.2'? Yes/No (default No):
Delete A record '192.0.2.3'? Yes/No (default No): y
Record name: www
A record: 192.0.2.2 (A record 192.0.2.3 has been deleted)

Show zone example.com:
ipa dnszone-show example.com

Find zone with "example" in its domain name:
ipa dnszone-find example

Find records for resources with "www" in their name in zone example.com:
ipa dnsrecord-find example.com www

Find A records with value 192.0.2.2 in zone example.com
ipa dnsrecord-find example.com --a-rec=192.0.2.2

Show records for resource www in zone example.com
ipa dnsrecord-show example.com www

Delegate zone sub.example to another nameserver:
ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

Delete zone example.com with all resource records:
ipa dnszone-del example.com

If a global forwarder is configured, all queries for which this server is not
authoritative (e.g. sub.example.com) will be routed to the global forwarder.
Global forwarding configuration can be overridden per-zone.

Semantics of forwarding in IPA matches BIND semantics and depends on the type
of zone:
* Master zone: local BIND replies authoritatively to queries for data in
the given zone (including authoritative NXDOMAIN answers) and forwarding
affects only queries for names below zone cuts (NS records) of locally
served zones.

* Forward zone: forward zone contains no authoritative data. BIND forwards
queries, which cannot be answered from its local cache, to configured
forwarders.

Semantics of the --forward-policy option:
* none - disable forwarding for the given zone.
* first - forward all queries to configured forwarders. If they fail,
do resolution using DNS root servers.
* only - forward all queries to configured forwarders and if they fail,
return failure.

Disable global forwarding for given sub-tree:
ipa dnszone-mod example.com --forward-policy=none

This configuration forwards all queries for names outside the example.com
sub-tree to global forwarders. Normal recursive resolution process is used
for names inside the example.com sub-tree (i.e. NS records are followed etc.).

Forward all requests for the zone external.example.com to another forwarder
using a "first" policy (it will send the queries to the selected forwarder
and if not answered it will use global root servers):
ipa dnsforwardzone-add external.example.com --forward-policy=first --forwarder=203.0.113.1

Change forward-policy for external.example.com:
ipa dnsforwardzone-mod external.example.com --forward-policy=only

Show forward zone external.example.com:
ipa dnsforwardzone-show external.example.com

List all forward zones:
ipa dnsforwardzone-find

Delete forward zone external.example.com:
ipa dnsforwardzone-del external.example.com

Resolve a host name to see if it exists (will add default IPA domain
if one is not included):
ipa dns-resolve www.example.com
ipa dns-resolve www


GLOBAL DNS CONFIGURATION

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

Show global DNS configuration:
ipa dnsconfig-show

Modify global DNS configuration and set a list of global forwarders:
ipa dnsconfig-mod --forwarder=203.0.113.113

Система доменных имён (DNS)

Управление записями зон и ресурсов DNS.

ПОДДЕРЖИВАЕМЫЕ ТИПЫ ЗОН

* Главная зона (dnszone-*), содержит основные данные.
* Зона перенаправления (dnsforwardzone-*), перенаправляет запросы на настроенные перенаправители
(набор DNS-серверов).

ИСПОЛЬЗОВАНИЕ СТРУКТУРИРОВАННЫХ ПАРАМЕТРОВ ДЛЯ ОТДЕЛЬНЫХ ТИПОВ

Существует много структурированных типов записей ресурсов DNS, для которых данные DNS, хранящиеся на сервере LDAP, являются не просто скалярным значением, например IP-адрес или имя домена, а структурой данных, которая часто может быть сложной. Примером может быть запись LOC [RFC1876], которая состоит из многих обязательных и необязательных частей (градусов, минут, секунд широты и долготы, высоты и погрешности).

При работе с такими записями DNS может быть сложно не допустить ошибок и ввести корректное значение. Модуль DNS предоставляет в ваше распоряжение абстракцию над этими необработанными записями и позволяет управлять каждым из типов записей ресурсов с помощью определённых параметров. Для каждого из поддерживаемых типов записей ресурсов в модуле DNS предусмотрен стандартный параметр для работы с необработанными записями с помощью формата --<rrtype>-rec, например --mx-rec, и специальные параметры для каждой из частей структуры записи ресурса с помощью формата --<rrtype>-<partname>, например --mx-preference и --mx-exchanger.

При добавлении записи можно воспользоваться параметрами, специально предназначенными для записей ресурсов, или стандартным параметром для необработанного значения (сочетать эти варианты в одном действии по добавлению нельзя). При внесении изменений в существующую запись можно воспользоваться для изменения одной части записи DNS новыми специальными параметрами записей ресурсов, причём для определения изменённого значения будет использован стандартный вариант необработанного значения. В приведенном ниже примере показано изменение приоритета записи MX с 0 на 1 в записи без внесения изменений в обменник:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

ПРИМЕРЫ:

Добавить новую зону:
ipa dnszone-add example.com --admin-email=admin@example.com

Добавить общесистемные права доступа, которыми можно воспользоваться для делегирования привилегий для отдельных зон:
ipa dnszone-add-permission example.com

Изменить зону, чтобы разрешить динамическое обновление для собственных записей узлов в области (realm) EXAMPLE.COM:
ipa dnszone-mod example.com --dynamic-update=TRUE

Эта команда эквивалентна следующим командам:
ipa dnszone-mod example.com --dynamic-update=TRUE \
--update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

Изменить зону, чтобы разрешить перенос зоны только для локальной сети:
ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

Добавить новую обратную зону, указанную с помощью сетевого IP-адреса:
ipa dnszone-add --name-from-ip=192.0.2.0/24

Добавить другой сервер имён для example.com:
ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

Добавить почтовый сервер для example.com:
ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

Добавить другую запись с помощью специальных параметров записи MX:
ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

Добавить другую запись с помощью интерактивного режима (в который программа переходит в ответ на команды dnsrecord-add, dnsrecord-mod или dnsrecord-del без параметров):
ipa dnsrecord-add example.com @
Выберите тип записи ресурса DNS, который следует добавить
Наиболее распространённые типы для этого типа зон: NS, MX, LOC

Тип записи ресурса DNS: MX
Приоритет MX: 30
Обменник MX: mail3
Имя записи: example.com
Запись MX: 10 mail1, 20 mail2, 30 mail3
Запись NS: nameserver.example.com., nameserver2.example.com.

Удалить добавленный ранее сервер имён из example.com:
ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

Добавить запись LOC для example.com:
ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

Добавить новую запись A для www.example.com. Также создать обратную запись в соответствующей обратной зоне. В этом случае запись PTR "2", которая указывает на www.example.com, будет создана в зоне 2.0.192.in-addr.arpa.
ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

Добавить новую запись PTR для www.example.com:
ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

Добавить новые записи SRV для LDAP-серверов. Три четверти запросов должны отправляться на fast.example.com, одна четверть — на slow.example.com. Если обе службы недоступны, переключиться на backup.example.com.
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

Для облегчения внесения изменений можно воспользоваться интерактивным режимом:
ipa dnsrecord-mod example.com _ldap._tcp
Возможность внесения изменений в определённую запись не предусмотрена.
Текущее содержание записи DNS:

Запись SRV: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

Изменить запись SRV '0 3 389 fast.example.com'? Да/Нет (по умолчанию "Нет"):
Изменить запись SRV '0 1 389 slow.example.com'? Да/Нет (по умолчанию "Нет"): y
Приоритет SRV [0]: (сохранить значение по умолчанию)
Вес SRV [1]: 2 (изменённое значение)
Порт SRV [389]: (сохранить значение по умолчанию)
Цель SRV [slow.example.com]: (сохранить значение по умолчанию)
Пропущена 1 запись SRV. Одновременно можно изменять только одно значение на тип записи DNS.
Имя записи: _ldap._tcp
Запись SRV: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

После внесения этих изменений три пятых запросов должны направляться на fast.example.com, а две пятых — на slow.example.com.

Пример интерактивного режима для команды dnsrecord-del:
ipa dnsrecord-del example.com www
Не указан параметр удаления определённой записи.
Удалить все? Да/Нет (по умолчанию "Нет"): (не удалять все записи)
Текущее содержание записи DNS:

Запись A: 192.0.2.2, 192.0.2.3

Удалить запись A '192.0.2.2'? Да/Нет (по умолчанию "Нет"):
Удалить запись A '192.0.2.3'? Да/Нет (по умолчанию "Нет"): y
Имя записи: www
Запись A: 192.0.2.2 (запись A 192.0.2.3 удалена)

Показать зону example.com:
ipa dnszone-show example.com

Найти зону со словом "example" в имени домена:
ipa dnszone-find example

Найти записи для ресурсов с "www" в имени в зоне example.com:
ipa dnsrecord-find example.com www

Найти записи A со значением 192.0.2.2 в зоне example.com:
ipa dnsrecord-find example.com --a-rec=192.0.2.2

Показать записи для ресурса www в зоне example.com:
ipa dnsrecord-show example.com www

Делегировать зону sub.example другому серверу имён:
ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

Удалить зону example.com вместе со всеми записями ресурсов:
ipa dnszone-del example.com

Если настроен глобальный перенаправитель, все запросы, для которых этот сервер не является полномочным (например, sub.example.com), будут перенаправлены на глобальный перенаправитель. Конфигурацию глобального перенаправления можно переопределить для отдельных зон.

Семантика перенаправления в IPA соответствует семантике BIND и зависит от типа зоны:
* Главная зона: локальный BIND предоставляет надёжные ответы на запросы данных в указанной зоне (включая надёжные ответы NXDOMAIN), а перенаправление применяется только для запросов имён за пределами отрезков (записи NS) зон, которые обслуживаются локально.

* Зона перенаправления: зона перенаправления не содержит надёжные данные. BIND перенаправляет запросы, на которые не удалось получить ответы из локального кэша, на настроенные перенаправители.

Семантика параметра --forward-policy:
* none - отключить перенаправление для указанной зоны.
* first - перенаправить все запросы на настроенные перенаправители. Если они не сработают,
выполнить разрешение с помощью корневых серверов DNS.
* only - перенаправить все запросы на настроенные перенаправители и вернуть сообщение об ошибке, если они не сработают.

Отключить глобальное перенаправление для указанного поддерева:
ipa dnszone-mod example.com --forward-policy=none

Эта конфигурация перенаправляет все запросы имён за пределами поддерева example.com на глобальные перенаправители. Для имён в пределах поддерева example.com используется обычный рекурсивный процесс разрешения (то есть с переходом по записям NS и так далее).

Перенаправлять все запросы для зоны external.example.com на другой перенаправитель с помощью политики "first" (запросы будут направлены на выбранный перенаправитель, а если он не ответит, будут использованы глобальные корневые серверы):
ipa dnsforwardzone-add external.example.com --forward-policy=first \
--forwarder=203.0.113.1

Изменить политику перенаправления (параметр forward-policy) для external.example.com:
ipa dnsforwardzone-mod external.example.com --forward-policy=only

Показать зону перенаправления external.example.com:
ipa dnsforwardzone-show external.example.com

Вывести список всех зон перенаправления:
ipa dnsforwardzone-find

Удалить зону перенаправления external.example.com:
ipa dnsforwardzone-del external.example.com

Определить адрес по имени узла, чтобы узнать, существует ли он (будет добавлен стандартный домен IPA, если он не включён):
ipa dns-resolve www.example.com
ipa dns-resolve www

ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ DNS

Конфигурация DNS, которая передаётся сценарию командной строки для установки, хранится в локальном файле конфигурации на каждом IPA-сервере, где настроена служба DNS. Эти локальные настройки могут быть переопределены с помощью общей конфигурации, которая хранится на LDAP-сервере:

Показать глобальную конфигурацию DNS:
ipa dnsconfig-show

Изменить глобальную конфигурацию DNS и установить список глобальных перенаправителей:
ipa dnsconfig-mod --forwarder=203.0.113.113

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
or not. A full administrator is a member of the hostadmin role
or the admins group.
2. You are enrolling as a limited administrator. The host must already
exist. A limited administrator is a member a role with the
Host Enrollment privilege.
3. The host has been created with a one-time password.

РЕГИСТРАЦИЯ:

Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

EXAMPLES:

ПРИМЕРЫ:

Entitlements

Manage entitlements for client machines

Entitlements can be managed either by registering with an entitlement
server with a username and password or by manually importing entitlement
certificates. An entitlement certificate contains embedded information
such as the product being entitled, the quantity and the validity dates.

An entitlement server manages the number of client entitlements available.
To mark these entitlements as used by the IPA server you provide a quantity
and they are marked as consumed on the entitlement server.

Register with an entitlement server:
ipa entitle-register consumer

Import an entitlement certificate:
ipa entitle-import /home/user/ipaclient.pem

Display current entitlements:
ipa entitle-status

Retrieve details on entitlement certificates:
ipa entitle-get

Consume some entitlements from the entitlement server:
ipa entitle-consume 50

The registration ID is a Unique Identifier (UUID). This ID will be
IMPORTED if you have used entitle-import.

Changes to /etc/rhsm/rhsm.conf require a restart of the httpd service.

Права

Управление правами для клиентских компьютеров

Правами можно управлять либо путём регистрации на сервере прав с именем пользователя и паролем, либо путём импорта сертификатов прав вручную. Сертификат прав содержит сведения о продукте, на который выдано разрешение, количестве использований прав и сроке действия.

Сервер прав управляет количеством доступных клиентских прав.
Чтобы отметить эти права как использованные IPA-сервером, следует указать количество, и они будут отмечены, как использованные на сервере прав.

Зарегистрироваться на сервере прав:
ipa entitle-register consumer

Импортировать сертификат прав:
ipa entitle-import /home/user/ipaclient.pem

Показать текущие права:
ipa entitle-status

Получить сведения о сертификатах прав:
ipa entitle-get

Использовать некоторые права с сервера прав:
ipa entitle-consume 50

Регистрационный идентификатор является уникальным идентификатором (UUID). Этот идентификатор будет ИМПОРТИРОВАН, если использована команда entitle-import.

Для применения изменений к /etc/rhsm/rhsm.conf необходимо перезапустить службу httpd.

Get information about installed IPA servers.

Получить сведения об установленных IPA-серверах.

Get status of roles (DNS server, CA, etc.) provided by IPA masters.

Получить состояние ролей (DNS-сервер, CA и так далее), предоставленное главными IPA-серверами.

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

Add a delegation rule to allow managers to edit employee's addresses:
ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

When managing the list of attributes you need to include all attributes
in the list, including existing ones. Add postalCode to the list:
ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

Display our updated rule:
ipa delegation-show "managers edit employees' street"

Delete a rule:
ipa delegation-del "managers edit employees' street"

Межгрупповое делегирование

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Межгрупповое делегирование предоставляет участникам одной группы возможность обновлять набор атрибутов участников другой группы.

ПРИМЕРЫ:

Добавить правило делегирования, чтобы разрешить руководителям редактировать адреса сотрудников:
ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees" street"

В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить postalCode в список:
ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees" street"

Показать обновлённое правило:
ipa delegation-show "managers edit employees" street"

Удалить правило:
ipa delegation-del "managers edit employees" street"

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

Add a delegation rule to allow managers to edit employee's addresses:
ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

When managing the list of attributes you need to include all attributes
in the list, including existing ones. Add postalCode to the list:
ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees' street"

Display our updated rule:
ipa delegation-show "managers edit employees' street"

Delete a rule:
ipa delegation-del "managers edit employees' street"

Межгрупповое делегирование

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Межгрупповое делегирование предоставляет участникам одной группы возможность обновлять набор атрибутов участников другой группы.

ПРИМЕРЫ:

Добавить правило делегирования, чтобы разрешить руководителям редактировать адреса сотрудников:
ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees" street"

В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить postalCode в список:
ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees" street"

Показать обновлённое правило:
ipa delegation-show "managers edit employees" street"

Удалить правило:
ipa delegation-del "managers edit employees" street"

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

Add a new Sudo Command Group:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Remove a Sudo Command Group:
ipa sudocmdgroup-del admincmds

Manage Sudo Command Group membership, commands:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

Manage Sudo Command Group membership, commands:
ipa group-remove-member --sudocmds=/usr/bin/less admincmds

Show a Sudo Command Group:
ipa group-show localadmins

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

Добавить новую группу команд Sudo:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Удалить группу команд Sudo:
ipa sudocmdgroup-del admincmds

Управлять участием в группе команд Sudo, команды:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

Управлять участием в группе команд Sudo, команды:
ipa group-remove-member --sudocmds=/usr/bin/less admincmds

Показать группу команд Sudo:
ipa group-show localadmins

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

Add a new Sudo Command Group:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Remove a Sudo Command Group:
ipa sudocmdgroup-del admincmds

Manage Sudo Command Group membership, commands:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

Manage Sudo Command Group membership, commands:
ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

Show a Sudo Command Group:
ipa sudocmdgroup-show admincmds

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

Добавить новую группу команд Sudo:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Удалить группу команд Sudo:
ipa sudocmdgroup-del admincmds

Управлять участием в группе команд Sudo, команды:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

Управлять участием в группе команд Sudo, команды:
ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

Показать группу команд Sudo:
ipa sudocmdgroup-show admincmds

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

Add a new Sudo Command Group:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Remove a Sudo Command Group:
ipa sudocmdgroup-del admincmds

Manage Sudo Command Group membership, commands:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

Manage Sudo Command Group membership, commands:
ipa group-remove-member --sudocmds=/usr/bin/less admincmds

Show a Sudo Command Group:
ipa group-show localadmins

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

Добавить новую группу команд Sudo:
ipa sudocmdgroup-add --desc='administrators commands' admincmds

Удалить группу команд Sudo:
ipa sudocmdgroup-del admincmds

Управлять участием в группе команд Sudo, команды:
ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

Управлять участием в группе команд Sudo, команды:
ipa group-remove-member --sudocmds=/usr/bin/less admincmds

Показать группу команд Sudo:
ipa group-show localadmins

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

Add a new host group:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Add another new host group:
ipa hostgroup-add --desc="Maryland hosts" maryland

Add members to the hostgroup (using Bash brace expansion):
ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

Add a hostgroup as a member of another hostgroup:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Remove a host from the hostgroup:
ipa hostgroup-remove-member --hosts=box2 baltimore

Display a host group:
ipa hostgroup-show baltimore

Delete a hostgroup:
ipa hostgroup-del baltimore

Группы узлов.

Управление группами узлов. Оно полезно при применении управления доступом к ряду узлов с помощью управления доступом на основе узла (HBAC).

ПРИМЕРЫ:

Добавить новую группу узлов:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Добавить другую новую группу узлов:
ipa hostgroup-add --desc="Maryland hosts" maryland

Добавить участников в группу узлов (с использованием выражения Bash в фигурных скобках):
ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

Добавить группу узлов как участника другой группы узлов:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Удалить узел из группы узлов:
ipa hostgroup-remove-member --hosts=box2 baltimore

Показать группу узлов:
ipa hostgroup-show baltimore

Удалить группу узлов:
ipa hostgroup-del baltimore

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

Add a new host group:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Add another new host group:
ipa hostgroup-add --desc="Maryland hosts" maryland

Add members to the hostgroup:
ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore

Add a hostgroup as a member of another hostgroup:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Remove a host from the hostgroup:
ipa hostgroup-remove-member --hosts=box2 baltimore

Display a host group:
ipa hostgroup-show baltimore

Delete a hostgroup:
ipa hostgroup-del baltimore

Группы узлов.

Управление группами узлов. Оно полезно при применении управления доступом к ряду узлов с помощью управления доступом на основе узла (HBAC).

ПРИМЕРЫ:

Добавить новую группу узлов:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Добавить другую новую группу узлов:
ipa hostgroup-add --desc="Maryland hosts" maryland

Добавить участников в группу узлов:
ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore

Добавить группу узлов как участника другой группы узлов:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Удалить узел из группы узлов:
ipa hostgroup-remove-member --hosts=box2 baltimore

Показать группу узлов:
ipa hostgroup-show baltimore

Удалить группу узлов:
ipa hostgroup-del baltimore

Groups of users

Manage groups of users. By default, new groups are POSIX groups. You
can add the --nonposix option to the group-add command to mark a new group
as non-POSIX. You can use the --posix argument with the group-mod command
to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.

Every group must have a description.

POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.

EXAMPLES:

Add a new group:
ipa group-add --desc='local administrators' localadmins

Add a new non-POSIX group:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Convert a non-POSIX group to posix:
ipa group-mod --posix remoteadmins

Add a new POSIX group with a specific Group ID number:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Add a new POSIX group and let IPA assign a Group ID number:
ipa group-add --desc='printer admins' printeradmins

Remove a group:
ipa group-del unixadmins

To add the "remoteadmins" group to the "localadmins" group:
ipa group-add-member --groups=remoteadmins localadmins

Add multiple users to the "localadmins" group:
ipa group-add-member --users=test1 --users=test2 localadmins

Remove a user from the "localadmins" group:
ipa group-remove-member --users=test2 localadmins

Display information about a named group.
ipa group-show localadmins

External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.

An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
group:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

ipa group-show ad_admins_external

Группы пользователей

Управление группами пользователей. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы.

У каждой группы должно быть описание.

У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически.

ПРИМЕРЫ:

Добавить новую группу:
ipa group-add --desc='local administrators' localadmins

Добавить новую не-POSIX-группу:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Преобразовать не-POSIX-группу в posix-группу:
ipa group-mod --posix remoteadmins

Добавить новую POSIX-группу с определённым ID группы:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Добавить новую POSIX-группу и позволить IPA назначить ID группы:
ipa group-add --desc='printer admins' printeradmins

Удалить группу:
ipa group-del unixadmins

Чтобы добавить группу "remoteadmins" в группу "localadmins":
ipa group-add-member --groups=remoteadmins localadmins

Добавить нескольких пользователей в группу "localadmins":
ipa group-add-member --users=test1 --users=test2 localadmins

Удалить пользователя из группы "localadmins":
ipa group-remove-member --users=test2 localadmins

Показать сведения об именованной группе:
ipa group-show localadmins

Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из групп POSIX.

В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:

ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID:

ipa group-show ad_admins_external

HBAC Service Groups

HBAC service groups can contain any number of individual services,
or "members". Every group must have a description.

EXAMPLES:

Add a new HBAC service group:
ipa hbacsvcgroup-add --desc="login services" login

Add members to an HBAC service group:
ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

Display information about a named group:
ipa hbacsvcgroup-show login

Delete an HBAC service group:
ipa hbacsvcgroup-del login

Группы служб HBAC

Группы служб HBAC могут содержать любое количество отдельных служб (так называемых "участников"). У каждой группы должно быть описание.

ПРИМЕРЫ:

Добавить новую группу служб HBAC:
ipa hbacsvcgroup-add --desc="login services" login

Добавить участников в группу служб HBAC:
ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

Показать сведения об именованной группе:
ipa hbacsvcgroup-show login

Удалить группу служб HBAC:
ipa hbacsvcgroup-del login

HBAC Service Groups

HBAC service groups can contain any number of individual services,
or "members". Every group must have a description.

EXAMPLES:

Add a new HBAC service group:
ipa hbacsvcgroup-add --desc="login services" login

Add members to an HBAC service group:
ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login

Display information about a named group:
ipa hbacsvcgroup-show login

Add a new group to the "login" group:
ipa hbacsvcgroup-add --desc="switch users" login
ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login

Delete an HBAC service group:
ipa hbacsvcgroup-del login

Группы служб HBAC

Группы служб HBAC могут содержать любое количество отдельных служб (так называемых "участников"). У каждой группы должно быть описание.

ПРИМЕРЫ:

Добавить новую группу служб HBAC:
ipa hbacsvcgroup-add --desc="login services" login

Добавить участников в группу служб HBAC:
ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login

Показать сведения об именованной группе:
ipa hbacsvcgroup-show login

Добавить новую группу в группу "login":
ipa hbacsvcgroup-add --desc="switch users" login
ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login

Удалить группу служб HBAC:
ipa hbacsvcgroup-del login

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

Add a new HBAC service:
ipa hbacsvc-add tftp

Modify an existing HBAC service:
ipa hbacsvc-mod --desc="TFTP service" tftp

Search for HBAC services. This example will return two results, the FTP
service and the newly-added tftp service:
ipa hbacsvc-find ftp

Delete an HBAC service:
ipa hbacsvc-del tftp

Службы HBAC

Службы PAM, доступом к которым управляет HBAC. Используемое здесь имя должно соответствовать имени службы, которую оценивает PAM.

ПРИМЕРЫ:

Добавить новую службу HBAC:
ipa hbacsvc-add tftp

Изменить существующую службу HBAC:
ipa hbacsvc-mod --desc="TFTP service" tftp

Поиск служб HBAC. В этом примере будут возвращены два результата, служба FTP
и добавленная выше служба tftp:
ipa hbacsvc-find ftp

Удалить службу HBAC:
ipa hbacsvc-del tftp

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

Add a new HBAC service:
ipa hbacsvc-add tftp

Modify an existing HBAC service:
ipa hbacsvc-mod --desc="TFTP service" tftp

Search for HBAC services. This example will return two results, the FTP
service and the newly-added tftp service:
ipa hbacsvc-find ftp

Delete an HBAC service:
ipa hbacsvc-del tftp

Службы HBAC

Службы PAM, доступом к которым управляет HBAC. Используемое здесь имя должно соответствовать имени службы, которую оценивает PAM.

ПРИМЕРЫ:

Добавить новую службу HBAC:
ipa hbacsvc-add tftp

Изменить существующую службу HBAC:
ipa hbacsvc-mod --desc="TFTP service" tftp

Поиск служб HBAC. В этом примере будут возвращены два результата, служба FTP
и добавленная выше служба tftp:
ipa hbacsvc-find ftp

Удалить службу HBAC:
ipa hbacsvc-del tftp

Host-based access control

Control who can access what services on what hosts and from where. You
can use HBAC to control which users or groups on a source host can
access a service, or group of services, on a target host.

You can also specify a category of users, target hosts, and source
hosts. This is currently limited to "all", but might be expanded in the
future.

Target hosts and source hosts in HBAC rules must be hosts managed by IPA.

The available services and groups of services are controlled by the
hbacsvc and hbacsvcgroup plug-ins respectively.

EXAMPLES:

Create a rule, "test1", that grants all users access to the host "server" from
anywhere:
ipa hbacrule-add --usercat=all --srchostcat=all test1
ipa hbacrule-add-host --hosts=server.example.com test1

Display the properties of a named HBAC rule:
ipa hbacrule-show test1

Create a rule for a specific service. This lets the user john access
the sshd service on any machine from any machine:
ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd
ipa hbacrule-add-user --users=john john_sshd
ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

Create a rule for a new service group. This lets the user john access
the FTP service on any machine from any machine:
ipa hbacsvcgroup-add ftpers
ipa hbacsvc-add sftp
ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers
ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp
ipa hbacrule-add-user --users=john john_ftp
ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

Disable a named HBAC rule:
ipa hbacrule-disable test1

Remove a named HBAC rule:
ipa hbacrule-del allow_server

Управление доступом на основе узла

Управляйте тем, кто, на каких узлах и из каких узлов сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп на узле происхождения запроса, которые будут иметь доступ к определённой службе или группе служб на целевом узле.

Также можно указать категорию пользователей, целевых узлов и узлов происхождения запроса. В текущей версии доступен только вариант "all", но в будущих версиях, возможно, появятся и другие варианты.

Целевые узлы и узлы происхождения запроса в правилах HBAC должны быть узлами под управлением IPA.

Доступные службы и группы служб управляются, соответственно, с помощью подключаемых модулей hbacsvc и hbacsvcgroup.

ПРИМЕРЫ:

Создать правило, "test1", которое предоставляет всем пользователям доступ на узел "server" отовсюду:
ipa hbacrule-add --usercat=all --srchostcat=all test1
ipa hbacrule-add-host --hosts=server.example.com test1

Показать свойства именованного правила HBAC:
ipa hbacrule-show test1

Создать правило для определённой службы. Это правило предоставит пользователю john доступ к службе sshd на любом компьютере с любого компьютера:
ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd
ipa hbacrule-add-user --users=john john_sshd
ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

Создать правило для новой группы служб. Это правило предоставит пользователю john доступ к службе FTP на любом компьютере с любого компьютера:
ipa hbacsvcgroup-add ftpers
ipa hbacsvc-add sftp
ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers
ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp
ipa hbacrule-add-user --users=john john_ftp
ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

Отключить именованное правило HBAC:
ipa hbacrule-disable test1

Удалить именованное правило HBAC:
ipa hbacrule-del allow_server

Host-based access control

Control who can access what services on what hosts. You
can use HBAC to control which users or groups can
access a service, or group of services, on a target host.

You can also specify a category of users and target hosts.
This is currently limited to "all", but might be expanded in the
future.

Target hosts in HBAC rules must be hosts managed by IPA.

The available services and groups of services are controlled by the
hbacsvc and hbacsvcgroup plug-ins respectively.

EXAMPLES:

Create a rule, "test1", that grants all users access to the host "server" from
anywhere:
ipa hbacrule-add --usercat=all test1
ipa hbacrule-add-host --hosts=server.example.com test1

Display the properties of a named HBAC rule:
ipa hbacrule-show test1

Create a rule for a specific service. This lets the user john access
the sshd service on any machine from any machine:
ipa hbacrule-add --hostcat=all john_sshd
ipa hbacrule-add-user --users=john john_sshd
ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

Create a rule for a new service group. This lets the user john access
the FTP service on any machine from any machine:
ipa hbacsvcgroup-add ftpers
ipa hbacsvc-add sftp
ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
ipa hbacrule-add --hostcat=all john_ftp
ipa hbacrule-add-user --users=john john_ftp
ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

Disable a named HBAC rule:
ipa hbacrule-disable test1

Remove a named HBAC rule:
ipa hbacrule-del allow_server

Управление доступом на основе узла

Управляйте тем, кто и на каких узлах сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп, которые будут иметь доступ к определённой службе или группе служб на целевом узле.

Также можно указать категорию пользователей и целевых узлов. В текущей версии доступен только вариант "all", но в будущих версиях, возможно, появятся и другие варианты.

Целевые узлы в правилах HBAC должны быть узлами под управлением IPA.

Доступные службы и группы служб управляются, соответственно, с помощью подключаемых модулей hbacsvc и hbacsvcgroup.

ПРИМЕРЫ:

Создать правило, "test1", которое предоставляет всем пользователям доступ на узел "server" отовсюду:
ipa hbacrule-add --usercat=all test1
ipa hbacrule-add-host --hosts=server.example.com test1

Показать свойства именованного правила HBAC:
ipa hbacrule-show test1

Создать правило для определённой службы. Это правило предоставит пользователю john доступ к службе sshd на любом компьютере с любого компьютера:
ipa hbacrule-add --hostcat=all john_sshd
ipa hbacrule-add-user --users=john john_sshd
ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

Создать правило для новой группы служб. Это правило предоставит пользователю john доступ к службе FTP на любом компьютере с любого компьютера:
ipa hbacsvcgroup-add ftpers
ipa hbacsvc-add sftp
ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
ipa hbacrule-add --hostcat=all john_ftp
ipa hbacrule-add-user --users=john john_ftp
ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

Отключить именованное правило HBAC:
ipa hbacrule-disable test1

Удалить именованное правило HBAC:
ipa hbacrule-del allow_server

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
or not. A full administrator is a member of the hostadmin role
or the admins group.
2. You are enrolling as a limited administrator. The host must already
exist. A limited administrator is a member a role with the
Host Enrollment privilege.
3. The host has been created with a one-time password.

A host can only be enrolled once. If a client has enrolled and needs to
be re-enrolled, the host entry must be removed and re-created. Note that
re-creating the host entry will result in all services for the host being
removed, and all SSL certificates associated with those services being
revoked.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

EXAMPLES:

Add a new host:
ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

Delete a host:
ipa host-del test.example.com

Add a new host with a one-time password:
ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

Add a new host with a random one-time password:
ipa host-add --os='Fedora 12' --random test.example.com

Modify information about a host:
ipa host-mod --os='Fedora 12' test.example.com

Remove SSH public keys of a host and update DNS to reflect this change:
ipa host-mod --sshpubkey= --updatedns test.example.com

Disable the host Kerberos key, SSL certificate and all of its services:
ipa host-disable test.example.com

Add a host that can manage this host's keytab and certificate:
ipa host-add-managedby --hosts=test2 test

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

РЕГИСТРАЦИЯ:
Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

Узлу можно назначить роль только один раз. Если клиенту уже назначена роль и эту роль требуется изменить, запись узла должна быть удалена и создана повторно. Обратите внимание, что повторное создание записи узла приведет к удалению всех служб узла и отзыву всех связанных с этими службами SSL-сертификатов.

В запись узла при необходимости можно включить данные о его расположении, типе используемой операционной системы и так далее.

ПРИМЕРЫ:

Добавить новый узел:
ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

Удалить узел:
ipa host-del test.example.com

Добавить новый узел с одноразовым паролем:
ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

Добавить новый узел со случайным одноразовым паролем:
ipa host-add --os='Fedora 12' --random test.example.com

Изменить сведения об узле:
ipa host-mod --os='Fedora 12' test.example.com

Удалить открытые ключи SSH узла и обновить DNS для отображения изменений:
ipa host-mod --sshpubkey= --updatedns test.example.com

Отключить ключ Kerberos, SSL-сертификат и все службы узла:
ipa host-disable test.example.com

Добавить узел, который может управлять таблицей ключей и сертификатом этого узла:
ipa host-add-managedby --hosts=test2 test

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
or not. A full administrator is a member of the hostadmin role
or the admins group.
2. You are enrolling as a limited administrator. The host must already
exist. A limited administrator is a member a role with the
Host Enrollment privilege.
3. The host has been created with a one-time password.

RE-ENROLLMENT:

Host that has been enrolled at some point, and lost its configuration (e.g. VM
destroyed) can be re-enrolled.

For more information, consult the manual pages for ipa-client-install.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

EXAMPLES:

Add a new host:
ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

Delete a host:
ipa host-del test.example.com

Add a new host with a one-time password:
ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

Add a new host with a random one-time password:
ipa host-add --os='Fedora 12' --random test.example.com

Modify information about a host:
ipa host-mod --os='Fedora 12' test.example.com

Remove SSH public keys of a host and update DNS to reflect this change:
ipa host-mod --sshpubkey= --updatedns test.example.com

Disable the host Kerberos key, SSL certificate and all of its services:
ipa host-disable test.example.com

Add a host that can manage this host's keytab and certificate:
ipa host-add-managedby --hosts=test2 test

Allow user to create a keytab:
ipa host-allow-create-keytab test2 --users=tuser1

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

РЕГИСТРАЦИЯ:
Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

ПОВТОРНАЯ РЕГИСТРАЦИЯ

Если узел уже когда-то был зарегистрирован и затем утратил свою конфигурацию (например, была уничтожена виртуальная машина), его можно зарегистрировать повторно.

Дополнительные сведения доступны на страницах справочника по ipa-client-install.

В запись узла при необходимости можно включить данные о его расположении, типе используемой операционной системы и так далее.

ПРИМЕРЫ:

Добавить новый узел:
ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

Удалить узел:
ipa host-del test.example.com

Добавить новый узел с одноразовым паролем:
ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

Добавить новый узел со случайным одноразовым паролем:
ipa host-add --os='Fedora 12' --random test.example.com

Изменить сведения об узле:
ipa host-mod --os='Fedora 12' test.example.com

Удалить открытые ключи SSH узла и обновить DNS для отображения изменений:
ipa host-mod --sshpubkey= --updatedns test.example.com

Отключить ключ Kerberos, SSL-сертификат и все службы узла:
ipa host-disable test.example.com

Добавить узел, который может управлять таблицей ключей и сертификатом этого узла:
ipa host-add-managedby --hosts=test2 test

Разрешить пользователю создавать таблицу ключей:
ipa host-allow-create-keytab test2 --users=tuser1

ID Views

Manage ID Views

IPA allows to override certain properties of users and groups per each host.
This functionality is primarily used to allow migration from older systems or
other Identity Management solutions.

Представления идентификаторов

Управление представлениями идентификаторов

В IPA можно переопределять определённые свойства записей пользователей и групп для отдельных узлов. Эта возможность используется в основном для переноса данных из устаревших систем или других решений для управления идентификацией и учётными записями пользователей.

IPA certificate operations

Операции с сертификатами IPA

IPA certificate operations

Implements a set of commands for managing server SSL certificates.

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

If using the selfsign back end then the subject in the CSR needs to match
the subject configured in the server. The dogtag CA uses just the CN
value of the CSR and forces the rest of the subject.

A certificate is stored with a service principal and a service principal
needs a host.

In order to request a certificate:

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

EXAMPLES:

Request a new certificate and add the principal:
ipa cert-request --add --principal=HTTP/lion.example.com example.csr

Retrieve an existing certificate:
ipa cert-show 1032

Revoke a certificate (see RFC 5280 for reason details):
ipa cert-revoke --revocation-reason=6 1032

Remove a certificate from revocation hold status:
ipa cert-remove-hold 1032

Check the status of a signing request:
ipa cert-status 10

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

The following revocation reasons are supported:

* 0 - unspecified
* 1 - keyCompromise
* 2 - cACompromise
* 3 - affiliationChanged
* 4 - superseded
* 5 - cessationOfOperation
* 6 - certificateHold
* 8 - removeFromCRL
* 9 - privilegeWithdrawn
* 10 - aACompromise

Note that reason code 7 is not used. See RFC 5280 for more details:

http://www.ietf.org/rfc/rfc5280.txt

Операции с сертификатами IPA

Применение набора команд для управления сертификатами SSL-серверов.

Запросы сертификатов существуют в виде запроса подписи сертификата (Certificate Signing Request, CSR) в формате PEM.

Если используется бэкенд с самоподписанным сертификатом, субъект в CSR должен соответствовать субъекту, настроенному на сервере. Система выдачи сертификатов Dogtag Certificate System использует только значение CN в CSR и принудительно устанавливает остальные параметры субъекта.

Сертификат хранится в учётной записи службы, а учётной записи службы требуется узел.

Чтобы запросить сертификат:

* Должен существовать узел
* Должна существовать служба (либо следует использовать параметр --add для её автоматического добавления)

ПРИМЕРЫ:

Запросить новый сертификат и добавить учётную запись:
ipa cert-request --add --principal=HTTP/lion.example.com example.csr

Получить существующий сертификат:
ipa cert-show 1032

Отозвать сертификат (подробные сведения о причинах доступны в RFC 5280):
ipa cert-revoke --revocation-reason=6 1032

Удалить сертификат из списка отзыва:
ipa cert-remove-hold 1032

Проверить состояние запроса подписи:
ipa cert-status 10

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

Поддерживаются следующие причины отзыва:

* 0 - не указано
* 1 - keyCompromise
* 2 - cACompromise
* 3 - affiliationChanged
* 4 - superseded
* 5 - cessationOfOperation
* 6 - certificateHold
* 8 - removeFromCRL
* 9 - privilegeWithdrawn
* 10 - aACompromise

Обратите внимание, что код причины 7 не используется. Подробные сведения в RFC 5280:

http://www.ietf.org/rfc/rfc5280.txt

IPA certificate operations

Implements a set of commands for managing server SSL certificates.

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

The dogtag CA uses just the CN value of the CSR and forces the rest of the
subject to values configured in the server.

A certificate is stored with a service principal and a service principal
needs a host.

In order to request a certificate:

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

SEARCHING:

Certificates may be searched on by certificate subject, serial number,
revocation reason, validity dates and the issued date.

When searching on dates the _from date does a >= search and the _to date
does a <= search. When combined these are done as an AND.

Dates are treated as GMT to match the dates in the certificates.

The date format is YYYY-mm-dd.

EXAMPLES:

Request a new certificate and add the principal:
ipa cert-request --add --principal=HTTP/lion.example.com example.csr

Retrieve an existing certificate:
ipa cert-show 1032

Revoke a certificate (see RFC 5280 for reason details):
ipa cert-revoke --revocation-reason=6 1032

Remove a certificate from revocation hold status:
ipa cert-remove-hold 1032

Check the status of a signing request:
ipa cert-status 10

Search for certificates by hostname:
ipa cert-find --subject=ipaserver.example.com

Search for revoked certificates by reason:
ipa cert-find --revocation-reason=5

Search for certificates based on issuance date
ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

The following revocation reasons are supported:

* 0 - unspecified
* 1 - keyCompromise
* 2 - cACompromise
* 3 - affiliationChanged
* 4 - superseded
* 5 - cessationOfOperation
* 6 - certificateHold
* 8 - removeFromCRL
* 9 - privilegeWithdrawn
* 10 - aACompromise

Note that reason code 7 is not used. See RFC 5280 for more details:

http://www.ietf.org/rfc/rfc5280.txt

Операции с сертификатами IPA

Применение набора команд для управления сертификатами SSL-серверов.

Запросы сертификатов существуют в виде запроса подписи сертификата (Certificate Signing Request, CSR) в формате PEM.

Система выдачи сертификатов Dogtag Certificate System использует только значение CN в CSR и принудительно устанавливает остальные параметры субъекта в соответствии со значениями, настроенными на сервере.

Сертификат хранится в учётной записи службы, а учётной записи службы требуется узел.

Чтобы запросить сертификат:

* Должен существовать узел
* Должна существовать служба (либо следует использовать параметр --add для её автоматического добавления)

ПОИСК:

Сертификаты можно искать по субъекту, серийному номеру, причине отзыва, датам действия и дате выдачи.

Если поиск выполняется по дате _с, используется сравнение >=, а если выполняется поиск _до — сравнение <=. Сочетание обоих видов поиска приводит к поиску с логической операцией И.

Даты обрабатываются как даты по Гринвичскому времени, в соответствии с датами, определёнными в в сертификатах.

Формат даты: ГГГГ-мм-дд.

ПРИМЕРЫ:

Запросить новый сертификат и добавить учётную запись:
ipa cert-request --add --principal=HTTP/lion.example.com example.csr

Получить существующий сертификат:
ipa cert-show 1032

Отозвать сертификат (подробные сведения о причинах доступны в RFC 5280):
ipa cert-revoke --revocation-reason=6 1032

Удалить сертификат из списка отзыва:
ipa cert-remove-hold 1032

Проверить состояние запроса подписи:
ipa cert-status 10

Поиск сертификатов по имени узла:
ipa cert-find --subject=ipaserver.example.com

Поиск отозванных сертификатов по причине отзыва:
ipa cert-find --revocation-reason=5

Поиск сертификатов по дате выдачи:
ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

Поддерживаются следующие причины отзыва:

* 0 - не указано
* 1 - keyCompromise
* 2 - cACompromise
* 3 - affiliationChanged
* 4 - superseded
* 5 - cessationOfOperation
* 6 - certificateHold
* 8 - removeFromCRL
* 9 - privilegeWithdrawn
* 10 - aACompromise

Обратите внимание, что код причины 7 не используется. Подробные сведения в RFC 5280:

http://www.ietf.org/rfc/rfc5280.txt

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

IPA locations

расположения IPA

Loading…

User avatar None

String updated in the repository

  1. freeipa
  2. ipa-4-11
  3. Russian

Groups of users

Manage groups of users. By default, new groups are POSIX groups. You
can add the --nonposix option to the group-add command to mark a new group
as non-POSIX. You can use the --posix argument with the group-mod command
to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.

Every group must have a description.

POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.

EXAMPLES:

Add a new group:
ipa group-add --desc='local administrators' localadmins

Add a new non-POSIX group:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Convert a non-POSIX group to posix:
ipa group-mod --posix remoteadmins

Add a new POSIX group with a specific Group ID number:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Add a new POSIX group and let IPA assign a Group ID number:
ipa group-add --desc='printer admins' printeradmins

Remove a group:
ipa group-del unixadmins

To add the "remoteadmins" group to the "localadmins" group:
ipa group-add-member --groups=remoteadmins localadmins

Add multiple users to the "localadmins" group:
ipa group-add-member --users=test1 --users=test2 localadmins

Remove a user from the "localadmins" group:
ipa group-remove-member --users=test2 localadmins

Display information about a named group.
ipa group-show localadmins

External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.

An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
group:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

ipa group-show ad_admins_external

Группы пользователей

Управление группами пользователей. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы.

У каждой группы должно быть описание.

У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически.

ПРИМЕРЫ:

Добавить новую группу:
ipa group-add --desc='local administrators' localadmins

Добавить новую не-POSIX-группу:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Преобразовать не-POSIX-группу в posix-группу:
ipa group-mod --posix remoteadmins

Добавить новую POSIX-группу с определённым ID группы:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Добавить новую POSIX-группу и позволить IPA назначить ID группы:
ipa group-add --desc='printer admins' printeradmins

Удалить группу:
ipa group-del unixadmins

Чтобы добавить группу "remoteadmins" в группу "localadmins":
ipa group-add-member --groups=remoteadmins localadmins

Добавить нескольких пользователей в группу "localadmins":
ipa group-add-member --users=test1 --users=test2 localadmins

Удалить пользователя из группы "localadmins":
ipa group-remove-member --users=test2 localadmins

Показать сведения об именованной группе:
ipa group-show localadmins

Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из групп POSIX.

В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:

ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID:

ipa group-show ad_admins_external
10 months ago
Browse all string changes

Things to check

Mismatched \n

Number of \n literals in translation does not match source

Reset

Mismatching line breaks

Number of new lines in translation does not match source

Reset

Glossary

English Russian
No related strings found in the glossary.

String information

String age
10 months ago
Last updated
10 months ago
Source string age
10 months ago
Translation file
po/ru.po, string 236