????

Your IP : 216.73.217.139

Current Path : /proc/self/root/proc/self/root/proc/thread-self/root/usr/share/locale/fr/LC_MESSAGES/
Upload File :
Current File : //proc/self/root/proc/self/root/proc/thread-self/root/usr/share/locale/fr/LC_MESSAGES/ipa.mo

���
�ny���'�'8�'�'X�'CL(!�(/�($�(7)M?)��)�]-$.4<.Dq.&�.A�./!10S0�k0KF1p�1x22|2W�2_3-g3)�32�3N�3VA4G�4:�4=5gY5]�5H6Dh6L�6s�6�n7n_8X�80'9\X9r�9m(:`�:U�:WM;P�;��;v�<^={q=��=L�>Z�>�0?��?��@�A�BqD��Dg>FO�Fm�F�dGvH��HsI��I�0J{�JVYKh�K�L�N��N�%Ow�O>PPa�P3�P�%Q:�Q2RKER^�Rz�R[kS|�S�DT��TT�Ue�UoeV|�V7RW>�WO�WnX<�Xg�Xq-Y9�YK�YP%Z�v[�\5�\U]�l]v9^U�^�_5�`�a�a�b��bPQcL�cw�ccgd��d�Pe��e��f�#g��g�hh�i^k�sk];lZ�l7�lZ,m��m8n9Wnn�n�r�rt�u��u�v��w1dx}�xya!y��|�~���~���Ё6
�n�x��?��G���\������o�\��ߟ���ǡ.ӡE��H� �,?��l��^��B��2��P�"�p2�?������
��u��~��:�*��B���K��p#�'��������	��0�%K��q��N�=��M��4����[��2�
�����K^��*d
�
l�
'
;�Y\RH�k�\d�����v�F![�&�W/��6#�8�Q��Q��R�qSCT�PT�U��UqnVt�W�UXx=YC�YS�Y#NZ�rZ�b[W```oa�c�c�cR�c#
d1dLdld�d�d�d�d�dee8e!Qe se�e�e�e�e	f!f;f%[f�f!�fp�f�.g,�g2"h*Uh:�hH�h8iJ=i>�i4�i<�i>9j:xj8�jL�jF9kJ�k>�k8
lFCl@�lJ�l@m<Wm:�m0�m.n8/n6hn:�n0�n8o4Do0yo.�o/�o4	p<>pT{pX�p4)qE^q0�q.�qr0r<IrA�r�r
�r�r�rsEs^cs8�s�s!t8&t-_t�t�t�t�t
u2uLFu�u	�u�u�u
�u�u�uv.vLvlv~v�v�v�v�v�v�vw w:wTwpw	sw}w	�w	�w�w�w�w�w
x0(x'Yx�x6�x7�x%y-y:yXSy"�y�y��{��}q�2�G�F
�)Q�&{����� ۀ ��'�%E�.k�(��)Á.��1�/H�.x�P����P�3R���	��
������у݃�"�

��/�L�Q�^Z���Ȅw݄U�
d�r��x��
��
�#�2�E�V�	b�l�t�������Ć̆!Ն���%&�0L�}�-��2ɇ��0�F�S�_�c�x�#����Έ%׈���3�P�n�������ȉ����.�J�g� }�����Ê׊���"%�H�(^���8��0Ћ9�\;�����Ќ
����;�%Z���
��=��!ڍ/��$,�'Q�.y�0��"َ���0�K�g�~�%��E���!�$A�%f�8��.Ő ��,�
L�Z�t�����,Ƒ0�<$�.a�)��(���+��,$�!Q�%s�1��%˓
���2�K�#d�����$Ô�� �;�Z�%v�"����$ޕ�"�!B�(d���$��Җ&�0�3J�&~�!��Ǘ����/� J�%k�6��1Ș���3�J�d���)��+ƙ�#�!3�U�l���!����֚�	��	0�:�.>�*m�@��ٛߛ$�:�N�\e�œ2ߜ�D�Pc���5ÝJ��MD�L��Oߞ/�>�U�n�3����П�
�/��0-� ^�+����F:�*������ơ	ҡܡ����������0�"6�Y�n�(}���$��Y�,@�1m�?��*ߤ1
�+<�2h�*��1ƥ1��B*�+m�0��)ʦ.�@#�/d�/��2ħ��7��7�-H�*v�5��	ר
��Q�
U�`��|�|	�0��/���*��*&�5Q�+������ȫ����.�$N�s���!����
׬~�
d�o�,�*��	׭
�����-�
A�O�^�r�������	̮֮�����9�K�f�n���1�� Ư"�#
� .�"O�r���%��8���!��!�$�8�?�
G�U�>a�����α�*��!�7�L�Y�e�,}�#��βڲ��V��V�Z�5a�*��D³_�+g�����"����=��Ѷ(Y�&��&���з?S�!��)��߸����,�B�S�l�������Ĺݹ�(�#)�#M�4q�&��ͺI�(-�V�f�s�������ͻ ��	�&#�2J�}�8��ѼּOܼ,�2?�1r�@�������%+�&Q�x�$������Ӿܾ"�$�
0�>�}S�/ѿ� �?�R�_�#l��� ���&�H�I;���$��C����'�E�R�g���� ������"�%.�'T�|���������!��
�,�E�[�)j�������'��i��f�����������
��
�����
�)"�<L�4��3����#	�-�:�G�K�\�n�;������
�������	.�78�	p�z�����
�����R�-h�-��4��A��-;�i�}���R��
��~	����!�3�?�H�Vd�&��	��
��3��}.���	����
��	��9��\!�~�������,������?	�-I�+w�������!����(�%@�f�2����$��
����'�+?�.k�!������1���0�A�
S�^�n�z��������������
(�6�Q�f�x�����������	�)�8�L�_�t�����!��������

�9�R�a�{�������������/�C�[�r���[�����3�Q� j�
��
����!��������$:�_�~�%���� ��&�'�C�c� ������'��$� +�&L�s�$��#��!��&��!#�E�d�~����������+�F�_�{���&��-���#+�O�i�����C��U��@N�����������$��#��0!�R�dY�A��C�D�!Z� |� ��)���������	��.�@B���������������!�.�:H�E��
��7����%4�Z�x�%��������!�!.�MP�P��O��R?�����������'�(�B�a�&{�,��-��2��00�+a�.��$��'��'	�!1�&S�(z�:��<��%�'A�&i�"��!��4��'
�"2�!U�,w�"��/��0��*(�%S�)y�*��)��'��. �-O�*}�C����W��+Q�"}�#����0��2�'H�2p���&��F��.(�+W�P��)��
��� �@'�h�t���E����
�� �'�<B������$����+����4�L�[�`�o�
������
������������2� G�h�#~�������$�����$2�W�n� �� ��������
��!(�J�Wd�V���-�3�K�^�u�,�����*�)�8�U�-r�I��f�Q�a�	z�����	����
��
�&�
���;�L�4k�
��:��6�
 �.�>�,M�z�
��������!���
� �1�
@�N�^�|���
�� ��T�.�RI�?��3�1�B�^�y����� ����5�L�k�#����$���<�U�0q�,���0�+BYF_%�
�
��I�C[%{&�(�&�)"B%e$�"��!�;$` g�!������
�	�;#(_$�%�
��$�	F=VJ��&�5I.^3���
��	X,q�
�����	����(�	'	84	m	1�	
�	�	�	!�	

s0
T�
�
$*DTf
y�
���
����"
4"Bel!��	�7�



1

E
	S
	]
g
.�

�
�
�
�
�
*E
cq�
�����
%*/P
���=���� %A?�
���$�&�
		

,O: �!���*�2$Hm	�3��"�
��	��dm}�� �;�>$V'{��"�,�+	4>FSk�������A���
�;�+��!:P_o�	����
�l�u`
���U v����
�
�*�##7[o)�.�/�-
	;
EScl@~@�01F]3w����
 3 &N u /� � � � � !(!1H!
z!�!	�!�!*�!�!�!""'">"Z"p"�"�"�"�"�"##+#@#V##_#�#.�#,�#Q�#P@$�$J�$�$#	%-%?%\%|%$�%�%3�%+&.&A&Q&	W&	a&	k&u&%�&�&#�&�&	�&�&
'4'	F'P'
c'n'�'
�'	�'D�'�'(&()@(j(�(I�('�(4)#H)l)�)L�)�)%*(*,*;*C*J*0[*�*+�*�*%�*�*
�*%	+/+X;+�+�+�+�+�+�+
,",;,P,f,{,�,�,
�,�,�,$�,�,	--+0-	\-%f-'�-"�-�-�-�--
.8.P.n.2�.X�.//A@/,�/�/�/�/
�/�/�/000&0-0
:0	H0R0b0o0)�0&�0�0
�0�01=1T1i1q1z1~1+�1�1�1
�1
�1�1�12
2	2D(2Hm2�2(�2 �2"33835l3:�3?�3#4A4a4w4�4�4�4�4�4�45 515F5
R5`5s5�5	�5�5�5�5�5�5�56 626H6X6j6;w6�6!�6(�6V74u7�7
�7�7�7�7#8$/8T8j8�8�8�8�8,�89 989I9c9|9�9�9(�9�9�9�9(:B:b:!�:'�:�:!�:;+;(J;%s;!�;'�;�;)<,<#L<(p<$�<"�<"�<=$=?=Y=x=�=�=�=�= >->J>$j>C�>�>�>??;?G?)`?�?�?�?�?�?!@3@N@c@u@�@�@�@�@�@A&A6AJA]ArA�A�A!�A�A�A�ABB4BIBgBB�B�B�B�B�BC2C PC"qC �C)�C'�CDDP=D�D�D"�D�D�D=�D2EEEQE]EnE�E
�E�E�E2�E�E	F}
F/�F�F�F�FJ�F1G6GRGlGG�G�G4�G�GAH9VH��HI,I9IBITI
iI	wI�I�I�I�I�I�I�I�IJ'(JPJcJtJ�J'�J/�Je�JnDK�K�K�K�KL!L1LGL`L-zL-�L3�L
MM'MGM _M�M�M)�M�M�ML�MJN	PN
ZNeNyN�N�NC�NO5$OZOlOO�O�O�O8�O*P;P-VP+�P�P�P�P�PQ.QLQeQ�Qu�Q'R;R>RBR	TR^R
qR|R�R	�R
�R3�R2�R4S3OS�S�S�S,�S�ST+ TiLT8�T�TUU'U4UJAUd�Ub�UVTV�V4�V2�V>W;ZWG�W=�WX="X	`XjXwX�X�X�X�X�X�X�XYY.,Y[YkY��YZ-Z
IZWZ]ZfZsZ�Z�Z �Z�Z�Z�Z�Z�Z
�Z[[
[
[=([f[r['{[�[�[2�[(�[!\:\N\d\"}\!�\ �\�\�\�]^�!^w�^�E_u�_8e`.�`
�`�`�`a%a5aIa>Za�a5�a3�ab%*bPbfb7ob�b!�b�b�b�b.c4c5Hc
~cC�c�cP�c1d@dPdUd8fd�d	�d<�du�dEme;�e8�e(f7fSfBof+�f�f:�f$"g	GgQgdgxg�g
�g
�gG�g(�g$h#5hYh/oh�h�h�h�h�h
�h5i#6iRZi�id�i.j&:jajhj
�j�j�j�j�j�j�jk k7>k	vk�k�k�k
�k
�k
�k�k
�k�k�k
ll,l=lOlalql�l�l�l�l�l�l�l�lmm)m:mLm\mkm}m�m�m�m�m�m�m�mn>n*Rn
}n0�n
�n
�n�n�n�n*o`3o�o�o0�o&�o&p=Dp�p�p�p�p�p�p�p�p�pqq5'q]qoq��q9Mr(�r�r�r�rG�r:sTsjs(|s"�s;�s3t#8t \t"}t#�t>�t*u:.uiu�u$�u�u2�u'�u*v3Hv5|v.�v'�v	w &wGwgw�w�w*�w;�w1'x%Yxx$�x(�x%�xy.y4My�y3�y1�y5zA=z.z/�z&�z*{60{(g{%�{4�{*�{4|7K|*�|%�|;�|8}5I}%}>�}�}�}~#~#5~Y~s~"�~�~�~�~,2~>��6�<,�8i�Q��
����7�N�]�f�u���3��	ˁՁ���(�C>���������1��8�<'�8d�=��;ۃ@�>X�8��>Є9�:I�G��̅ԅ!�J�+_�%��#��*Ն� �1&�/X�M��\և3�K�R�d�k�����&��
��$Έ
�&��%�@,�m�
r�	������A��	މ�	����5�L�Y�
b�(p�+��Ŋڊ�(�,�9�'M�u�5��4��3� �2�B�O�`�v���<��/܌/�0<�m���������Í%ڍ7�s8�9���
��	�
��#�4�K�c�y���	��
��
����Ǐ
ԏ
ߏ
�����/�?�O�a�x�4������̐ѐؐ��K�Nj�2���� �1�O�i�#������֒2�#�;�T� j�����ɓ���%� 6�!W�y�����˔!�
�'�D�`�u�!����#͕���13�2e�5��/Ζ4��3�.E�3t�-��1֗4�-=�1k�6��0Ԙ4�7:�0r�����ҙ�%��$�B�Z�x�����ǚٚ,��&�8�J�
V�a�t���������Λޛ
�����"�:�S�@e�W��[��	Z�d�
k�y�
����>���3��2)�\�h�t�����)��#מ#���'�8�(L�u�]}�4۟�$�3�C�T�#e�$����Ơߠ���'�!4�V�h�C��Sġ�0�F�JU�C��D�)�
2�.@�o�������������7J�7����äߤ�����5�L�Y� u�����#ȥ�*�47�l���/��æ*צ�
�L�4_���@�������5�M�`�m�y�(��
��Ũ���"�@�,[�����
������ة���)�0�.C�Br���Ϫ
ު�
���%�%=�c�k�����������ҫ���
�(�A�T�	`�
j�
u���
����-�����#�	>�H�!T�v���
������֭+�,�'J�r�$~���	����ƮӮ6߮�5�R�Z�i�,z�	��!���ӯ8��
ڰ�����;d�&��)Dz"�b�>w���1γ)�*�)H�*r���W��0�4B�+w�:��-޵G�MT�H����j��L�k�S��߸1��),�5V�v��Z�!^���(��ú���*:�1e���E��(��5$�Z�&i�
����0�����%�(�:�B�iT���ؽ&�� �&>�!e���&��˾�����D/�t�6��ĿԿ(��%�%*�'P�x�~�������
��-������=��-�8�O�f�v�������*��
����>��0�&B�i�m�z�~�����*�������* �CK�'��c��"�u>���-��#�9$�W^�<�����'.�V�(n�&��,����"�.�3�<�\�"n�����	����
�������	 �*�6�	R�\�l�y���������*��A��8�
=�H�T�\�7k�������������
�O� j�!����
��������!�0*�
[�	f�p���
������-��9��K2�~������� ����
�
�+"�N�)a���,����*��
��'�0�=�L�R�b�s�%����
��������
��
�
�
 �+�2�9�I�c�k�~�����'����&�� ��&�L?�����c��f�0y�����#�����^w�2��8	�#B�&f�Y���������	�&�"7�Z�&p�/��'��+���8:�Rs���%��=
�SH�%������4��=0�3n�
��������
�����&
�+1�
]�!k�"��'������L�]�&m�$��!��P��Q,�"~�!��D��,�H5�$~�#����?���5�E�hM�%����4��+�/F�v�)��#��
��������$�()�R�Y�r�@��0��4��/�?�L�T�7Z�'��)��S��8�U�*^�*��#��;��"�"7�'Z�����1�����$��������1���
� ,�M�^�Bc�
����������	�Z�
g�r�0{�X���.�(:�c�p���
������������
�F$�k�������������(	� 2�"S�v���#������*���/� J�k��� ��������-�.5�&d�������	������'	�1�O�	e�o����������������$�:7�r���������������$"�)G�q����������� �%,�R�l�!}��� ����Y��	C�M�^�%r� ����1��#�"/�$R�.w�	����%��W��B�V�o���%��\��%&�CL�A�������"�A:�|�P��,�	�T�g�#}�#��&�����%�
=�%H�n�z���+����(�'�D�	a�k�|�"��$��
�H�4-�Db�1��&��R
�`�r�~�F��"�%��J�0j���������
����O�V�p���s���"�*�3�K�d�k�w�����H������(�C�4L� ��9�����
� �=,�9j�'�����
#	;
EPW`-oK�#�*
68To ���1
>
LWm��D�<�41O����B�"CB.�,��-=D^�uSAb�q�Q6.�@�0�K)	Zu	��	�^/LA|Y�2^K^�)	3�P[*���=�j�n=;�4�<kZo�Q6I�`�v3n�SZm_��(����a48�q��Aw�kJa�b[{���� v!�}!�"[�"h#��#�4$��$�%3�'��(�A)}+^�+��+�t,|:-��-{M.��.��/ns0o�0�R1��1��3�t4�5��5@{6i�6C&7�j7?(89h8Q�8p�8�e9q�9�g:��:��;v�<y&=v�=�>H�>@�>Q2?��?R@yj@��@RyA_�A�,B��C�WDHSE�EF�$G\�G
HGJ�^J�K��K�SL`9Mb�M�Mq}N��N�|O�P��P�iQ�9R��R��Su5V��Vp|W��W@rX��X�8YK�YJ!Z~lZ1�],_]J`��a��b)�c��d;De��e!f-4f,bj��lKn�^o�-p!
qv/q����B�o��W��B��
�2��Ȓ�^�H�c�
y�B��RʗL��j���M��3Ԥ��
�`���
�������Y?������P��_����������c��
X��f�:W���*�������#,�1P�����-��M���E.
�<��
�
�O�W4�2������#30W��`�|u* ��%�--k.��2�	U9�C��K�N��i9pj��k��l�m��m�yn
oz+p��q1r�5s5�sb�s-]tN�t�u�{f|Ms}���g�4]�$��#�� ۀ"��$� D�"e� ��"��$́&�(�$A�f�����ł��!!�$C�h�'������2�7�E(�8n�I��{�Km�`��J�Ye�e��Q%�Iw�A��e�ii�bӉL6�H��̊aL�m��c�G��MȌ?�<V�P��N�F3�5z�F��?��<7�<t�A��@�h4�w��u�@��[̑G(�Hp���I͒M�Ke���
œӓ��K�b[�C���#�@/�<p�2��#�!�!&�
H�QS�c��'	�	1�;�K�]�n�$��&��'͗)���2�G�\�s�������!˘#�$�&6�]�`� r���
����љ�)��&$�BK�*����>՚D�3Y���"��m��,*�AW�(��> #�%�?2�Yr�`̣+-�0Y�����!¤"�*�+2�9^�4��2ͥ+�,�G�Fa�@��X�B�pS�Rħ�4�F�%S�y�����	��#��Ϩި!���
��-� ǩ�����Ϫߪ�����ȫի����"�3�@�G�]�m�!������2��"��*!�<L�(��-��L�-�<F���������!ʮ6�-#�Q�<c�4��կ9��+/� [�'|�-��"Ұ���5�-R�;��%��"�/�5�#N�"r� ����ղ�1
�)<�2f���M��?�;F�k��$�%�9�X�j�/~�P��5��!5�W�Wj�2¶D��0:�2k�C��:�3�!Q�*s�)��%ȸ �&�26�ei�3Ϲ+�2/�<b�]��<��::�-u�)��ͻ$�$�%,�(R�>{�E��Q�CR�8��-Ͻ��A�D]�4��7׾G�1W�����E��#��>!�&`�&��1��-�3�#B�*f�#��3��7�(!�2J�&}�@��2��:�0S�7��2��1��B!�>d�7��+��'�/�O�)o�(��-��+��8�EU�%��$���� �6'�!^�<��;��0��,*�.W�%��$�� ��)���$2�W�p���
����4��8��U�	t� ~�.��L��'��C�&��G��B�TU�a���C#�bg�_��g*�s��� �':�,b�F��������A�@_�"��@����X��4%�Z�o�x���������
����������	I�6S�����)��*��9�dN�1��E��O+�0{�C��2��E#�.i�A��1��P�8]�F��@��P�do�D��C�A]�	��D����:�8G�@��������e��	[�)e�����8�5��:�L�-c�/��7��0��*�0�A�`�~� ��.��2�� �!3�&U�*|�
���������H��P��F�Z�q�"��*��#�����,�K�i�}�!��
��!������5
�6@�w�%��
��&��
��6��(-�&V�(}�.��/���
!�,/�T\�������6��%�2�?�L�a\�,�������Q�k�{�������&��@��7;�s�������c����L#�Ap�e����7���������K�������=W�7��:����P��7'�4_�$��
��������.�N� c�����������+��*%�"P�Bs�5����R�7S�������%�������,5�b�y�/��;��1��O)�y��c���Q�BT�M������-�C�;P�1����7�
��	8�	B�%L�'r�
�������,\�'��'����
�'�6�$M�	r�(|�H��O�>�3W�]����@�P�_� }�0��+���,�F�,`�5��4���#�;�X�+q�2��+�"��  @5a���A��2)��!+Mcx
����\�Q2A�F�
B%ht����X� 1!Rt����	�J�
$AYr��97U4�/�Y�JL�&�!�\	]	�i	�
$�
�
�
�
{=}	��D�� 
����
Q
ig
�
�
�
�
3Ibd�U�U=�&��.�=?W=�&�I�F4a%�D�89:?t0� �(L/|����
�	�%�#&6.]+��)��&8Um"��'�*�(0Ym�����*$."Sv�U��&>'X�2��%�!''Oj��4�s�&b%�+�&�#&;P/a0� ��#4%'Z%�>�(�(39-m3�%�+�'!%I3o:�*�4	(>@g4�3�9 4K )� "� !� +� *!'F!&n! �!*�!!�!#"8'"#`"<�";�"2�"00#&a#'�#-�#"�#Q$^S$B�$	�$�$%%%?%K%1j%E�%
�%x�%Yf&g�&(')F')p'%�'3�'	�'�'(( (2(H(M_(�((�(�(�()"2)U),r)(�)?�)R*[*Bp*�*%�*6�*'+*D+;o+#�+#�+%�+/,0I,bz,c�,gA-h�--.%@.f.�.�."�.$�.)�.%#/3I/7}/A�/G�/;?05{08�0+�0/11F1'x11�1-�1K2CL2-�2-�2,�2(3'B3>j38�38�3*4:F4-�4D�49�4..53]59�5/�5-�5/)6FY6E�6<�6U#7y7~�7*8*08)[8#�84�8<�8,9IH9�90�9W�926:1i:\�:A�:
:;H;b;[j;�;�;.�;c<{<�<�<$�<C�<#=3=B=0a=�=:�=�=�=>,>C>L>_>s>�>	�>�>�>$�>�>�>?%?D?(]?�?&�?�?
�?!�?2@#8@&\@7�@�@�@1�@,%ARA+rA�A�A�A.�A"B{(B��B)3C]CeCC4�C:�C6D=D+DD<pDB�D-�D3EJREt�E�F�F�F�F
�F�F	�F�F
G	G;)G
eGpG]xG'�GK�GJHe^HR�HI(I7I@VI�I
�I�I�I:�I@2J!sJ�J�J�J�J�J%K(.KWKjK-�K��K$=L_bLN�L@MCRM+�M&�M*�M!N,6N3cN*�N*�N(�N*O3AO(uO?�O5�O1P)FPpPQ�P.�PE
Q<PQ�QD�Q)�QR75RmRNrR1�R�RSS�9S�S*�S,T81T:jT6�T8�T0U0FU1wU,�U'�U*�U)VFDV�V!�V
�V&�V	�V�VW
WW%W2W>W<[W/�W+�W=�W2X	:X3DXxXMXS�X_!Y�Y3�YW�Y $Z8EZd~Z'�Z[[4[K[�d[8�["\?\T\>m\�]�] �]�]�]9�]	2^
<^FJ^!�^A�^
�^__%_1D_v_��_m `�` �`�`!�`�`!	a$+aPabaxa�a�a
�a�a�a�ab1bGb*Vb�b0�b5�b�bcMchcuc�c�c
�c	�c�c �c`�cYdfdsd�d&�d�d#�d%e
1e?eXese �e �e,�e,�e"f).f7Xf�f�f�fA�f�fg+gKgbg"hgW�g�g�g	h)h9:h>th�h�h�h�hR�h0Oi4�i�i�i?�i,j Aj1bj(�j�j=�j"k1*k\k�lk�6lm+m>mXm/_m4�mL�m\n3nn4�n!�n �n3o4No
�o�o�o�o$�o*�o+p(Fp)op�p�p8�p��pV�q�!r
�r?�r4s'Js.rs%�s#�s�s�st(t@t
]thtzt �t�t��t�Au�u�u�uvvS)v}v*�v��vex(rx	�x�x6�x1�x-yMyhyB�yI�y:z>Iz�z
�z�z	�z�zi�zJU{7�{!�{�{!|L7| �|�|&�|�|	};}7X}!�}C�}�}
~!~A~X~5k~A�~�~�~	,%R[%{�"��$�$�A�"]�����'��ۀ��	�;#�_�Gy�;��g��`e�ƂZ�?�&N�u�$��%��%Ӄ&�� �F=�3����Մ�	���
��*)�T� c�	������
��B̅��7�J�
j�x���^��
���2�9P�$����i͇07�?h�%��Έ�p�� m�(������̉߉"�F�Z�Rb���;�����0#�T�|a�ދ���!�9�R�l�������ӌ�
��*�
=�H�DP�)����#Í7��0/�(`�)����-��0�5�O�%f���5��z܏1W�B��9̐�	� �,�A�V�m�������
����Α�
���<�=O���
����˒Q�3�P�]�e�
k�>y���ȓד����.�7�V�Gj�G����,�'A�$i�7��;ƕ@�HC�3��;����!�&8�_��
���� ��ۗ����,�?�X�g�	~�������ǘؘ�� �6�R�c���C��!ٙ'��2#�oV�Lƚ�*�<�[�!u�(��3����.�B�W�/m�3��/ќ#�%�%:�&`�������F�����"<�-_�&��'��'ܞ2�$7�*\� ��$��2͟8�)9�4c�'��=��+��2*�?]�3��2ѡ3�(8�!a� ��*��*Ϣ&��&!� H�"i�7��"ģ1�/�cI�&��&Ԥ��$�=�!O�4q�%��(̥*�� �*4�*_�%����̦�-��+�%A�)g���1��ާ��,�E�]�p�)��#��!Ө���1'�Y�%s��� ��&ԩ3��*/�$Z�%���&��&�>�%K�/q�+��!ͫ-�g�����:�����L�`�u���������
ӭ���A	�K�Z��l�L�e�y���c����/�N�e�|���4���K�GP����"L�o�{�����Ʋܲ����%�!:�\�"i���"��/ϳ#��#�=�
S�3^�L��{ߴ�[���/"�)R�|���!��!Ŷ&�=�=L�?��ʷ߷+��>7�v�
��M��"�!�d-���
��	����ι���B�2Q�=��ºں���� 0�8Q�%����>ͻD�Q�l�!��#��ϼ!��-�L��k�)���4!�	V�`�
z�?��ž	Ծ
޾<�A&�Hh�N��"�$#�H�Ef�-���.���)�@��#�?�Z�j�a{�����g�n��`�Nh�W��h�`x�q��bK���J�����%�>�Y�"x�������������.�D�]��x�#E�%i���
����������(�*4�_�k�o�v�|���������
��L��(�9�1F�x�&��J��?�&E�l�(��)��0��$�40�&e�(��!��&���������i��@�H��<�
T�,_� ����������T�[�Sg�_���.;�$j���E��#��(�	.�8�=�;T���D����]��[�}n�����-�DD���	��F�����Q��B��F�
\�j�%��e��.�	E�JO�%��
���������$�0�i=�����3���D�c�y�1������
��N��&B�hi�'��y��
t�1����&������*�,� F�g�/��	��'��Q��7�I�^�v�����
��������
�%�A�[�v�����������6�U�o������������'�A�Z�v������������/�J�_\�A����B�Z�n�}�����*�����*l�,��=��5�<8�<u���,�����$�@�V� f���%����G��
�"��9�A4�6v���#����Y�[�{���B��6��N*�Ay�+��%��&
�14�Pf�;��O��C�a�0s���D��2��41�Df�;��8��4 �"U�+x�*��%��!��'�3?�Bs�7��;��.*�*Y�7��,��%��#�B3�$v�D��3��D�RY�A��D��33�:g�H��3�-�:M�3��D��C�9E�+�J��C��G:�.��Q��� �)�!;�2]�0����6�#�7�"O�Cr�����!x� ��P��N�H[�`���3�3S�&������*��0�A�U�"t�!��-��a�	I�	S�]�x�8��V�Z!V|[�W/^�\�VC\�W�XOe�
-#Gbk/�<�E;>�4�
�AAB^�g�K	fp	��	��.��$40DuC|�����^�
]	k	~	�	�	<�	�	
'
@4
+u
�
"�
�
?AU>s�E�DHQ����$�&
?
X]
D�
Y�
SU*�����/6Af��I)s�
����*�..;)j�����
�	�	0Ocw���/���

!(6'_S�S�G/w�&�(�1�%/Br� �H�4Q+i,�)��',E2r(�"�(�4&O,v'�(�#�2#P+t4�� �7-;e;�1�:JBaK�A�J2D}G�I
RTH�Q�DBN���
$0;1l'�%�%�% 8 S p @� �  � !(!
4!B!Y!n!�!�! �!�!�!�!("
,"	7"A"]"%z"D�"i�"kO#�#�#�#�#$$F*$q$Iy$A�$%
%"%#1%U%*d%9�%<�%& &!0&*R&}&��&I'\'r'�'�'�'3�'7�'!2("T( w(!�(�(�( �(	))H<)]�)�)"�)*v0*k�*_+s+|+9�+!�+�+�++,=,*R,�},T%-Nz-�-!�-�-.-.C.V.$n.�.�.'�.>�.0/(L/(u/#�/&�/>�/)(0R07l0�0J�0	11M%17s1�1S�1'2C2S2.c2#�2�2�2�2�2<3
D3R3p3�3�3�3!�36�3&4D4U4"u4!�4�4/�45"51575?F5X�5�5�5
66
6$62>61q6
�6!�6-�6	�677'7=7
Z7h7�7�7&�7�7�7�78
88	+8&584\8�8�8�8,�89#9(79`99�9�9 �9 �99:6;:1r:�:)�:�:�:�:
;;F#; j;*�;�;�;�;-�;
(<,6<Sc<C�=�=�
>�?C�?3�?-0@#^@e�@P�@9A:PA4�A&�A-�A<B&RBhyBR�B;5C>qCV�C-D^5D\�DF�D�8E�%Fg�F*Ge?G#�GB�G6HHCH��Hh*I0�I�I4�IJ%5J![J!}J.�J8�J"KN*K8yKa�KL4$LYL/nLB�L�L
�L3�L2MJM^M|zM#�MN-'NUN)tN5�N3�N"O2+O^OqO�O	�O�O�OV�O&PFEP�P�P4�P�PQ5	Q(?Q	hQrQ�Q)�Q�Q�Q9�Q1R�CRS,S5�S@�S�ST+THT$\T
�T!�T�T�TS�T
U3+U_UcUpUtUxU7�UL�U&V7V%VV0|VK�V3�V�-W-�W��W#jXE�X1�XYYi`YQ�Y#Z*@Z2kZ"�Z1�Z/�Z<#[*`[.�[�[�[/�[�[%\A\`\	{\�\�\�\�\3�\�\]*/]Z]g]�]�]�]�]�]1�]H"^\k^�^�^�^_!_L;_#�_&�_�_�_$�_"`=`aV`6�`:�`*aBa1Xa�a!�a6�aPbQbjb|b"�b�b�b�b/cE?cZ�c�c*�cd5*d:`d�d�d�d+�de',eTe=pe�e3�e�e
f	f)f;fQf]fxf�fC�f�fg#g?g[gxg�g�g�g
�g�g�g&h,h4hIhXhah1xh	�h,�h*�h3io@i�i�ix�iyOj;�jk	k2k�Mkk�kAMl9�l,�l-�lr$m�m�m�m�m�m�m5n'7n7_n9�n4�n9o@oD`os�o!p6;pZrp��p2Oq�q!�q9�q@�q5<rrr�r"�r#�r�rss4(s;]s�s)�s)�s.t.4t cti�t�t:u=@u5~u��u�Jv3�v4!w_VwE�we�wHbx+�x�xj�x ^yy�y|�y4z	Jz\Tz/�z0�z{-+{5Y{�{
�{	�{�{!�{/�{||!:|O\|7�|=�|"}4}@}I}GQ}5�}?�}�~!�~�~:�~Z2^\�,�%�1A�s�B��Aς��D�Q�f�m�Iz�Ą̄"߄��h�������Å&��������H������W��H�0�B�V�_�r���&��&Ĉ���N�h�������ډ�
�:'�%b�3����Ԋ6�"$�
G�6R�-����%Ջ#��'�*G�%r�'����=ьE�3U�'����ʍ֍#��4&�#[��	������
֎����<�W�7p�I����%�(>�(g�����ʐܐ*��/#�.S�!��#�� ȑ�!�)&�.P�&���$��$ޒ.�2��A�Óӓ�9� E�(f�<��-̔4��-/�B]�����0ŕm��d�|�%��!��7�w�=��SЗJ$�!o�����#ɘN�<�gO�4���}��#{�,��;̚E�N�[�v�P��
�-��'�
6�AA���/��<ʜV�
^�i���.��.Ν��d	�Wn�Sƞ:�1U���l����1�gF�0��-ߠV
�Ed�������
ˡ١����p:�#�� Ϣ�����������ң�
�����m%�!��"�� ؤ!���Q$�/v�C���#�
%�3�:�|R�vϦ7F�
~�������Χ����%�.�=M�S��)ߨ8	�CB�r��!���6�	T�)^���������'ت,�
-�r8�\��"�>+�,j�0��Ȭ)Ԭt��s�@��}��c?�K��'��1�8�D�S�
c�q����
m
�
=Qb5
 w�	
M�$�vx	7h

�
2W	3	R&%	�z�)
O	�O;��r���
i�-
���O����5
o
e�
�	�x�	+�0a�
�
?�n�
,�	
P
�jjW8	I	 $�T��Ho
�`��
f	t
���
�	
{	m����L�~Y
��&H7	
$��o�
N
3������C
�G���
q��O*�<n5	�u
�./5�	
���
l1���	���m
�����W]�c7�yO
�M�/��	��#P�+���
�+
���z
k�R
�����
q�Kg{d
�	[HR ��	`	���i|n	��	��o �	P
*
�
F	���i�en�
;�s�
f�13
G�
��	x�
�
�_�	���ro>�l��L�UD147K�����
`�K��
���W
<
L
	R�0U����
�79���2�
�
�
�rM��k��N	s���	��i�	���h5��s
��	�����
@Q�B�
���Y�
�
H���	�JV
9�	��
D�z	�]	D
�Cm���
?
y�N�	�^
0�"�	��
^�
�[�
0A
�	���	��r
i+����C
��\�q�	�[B��
��b~
Z���\��		0-	&�y
G��	���i�:F��i�3�J�3�	1�	E�Q}�
���u�x
������
�
���
���'�	���pFE�O
{
���AO4	%
t�
n2�����	���
 ����u�w�
4�
�D��q9
�
��
�
�
[	���������Q	\	�	�M	F5��l.�n
r�
��
�u	����

	�?�
l
>E��@
/Dg	�'
3?	�ei)$
)W�	��
�m	.]
l�	�EW�
f
�Z�	�	e��?
�
h`z��%a5��fb�!g�Cq��W
O
R�/�������m���X:C
���	%
 	=�q
���9>�
�~��A	m�C	e
H%V	
'�
�1j�U
��
2
���
s�`<�	����No���4�]�zh�	A��H��
gR
FN 
�;S��	A����@h
��
��
������?��f�^	
����	Y1/	N�
�q9�p
X?���	����
�	�
C)��
!�
8m=_	�
	�
h�V2|
9�
��
�x
E)
�k	���
�
�s��S�	����	�+	&��W%"�
n��X��	�
���C�w�m�a:����+��e���E��	�Sc��Df
Nz�;!
�	B	�Ev
��1�{06	���Ie�H		v
�	!�6
�	
��c
]��!}	�d�j�7}$�
���
�>>�	4����KX	�
�R	P�a}o	h�{��M
����
r����
����	ZhT
�B'l	K
�
�I
X
�g��V��	�
�=�]s��
����[���
�Z�.J�
��Du�~
G
���
�p���	Y`j
Xv���bZ�����E���5t+*�
	z
w3�����	�r��	�f�a	�
!
R���`��Uep��
����%
��M#��	�
8�\����
��m��	�t
j S�wV
s�1	3����C`6�C��
6qh
�	�	w
rJ
�
Zp	a�R��
�i��	 
Y�f����k
��
_
%o�7��
n���J&
��
�h���
�D
�k��
��o:k
��	�|j�2��
�}
���-�	Z
�s
�
@�	�	���S`�f��U�@	a����U3�����L
S-$	����
v�?	&�
Z	��
�F~	*�J�	aSN���
|��
k��	?�-���
���x�
����I
��MvI�	�<�	�������
6�
B
�����r���%�#�S
|s	X���y��pB6��	��
F���	^��t�"��
�n
�����
�d7
���#	�
I���
P���T��
�	�C�2,�B
cF
��:	�
��R�b���[%T�f*
f�
B��?��/
��8uZP����
��	j
V�_�g
�%{�����A_	�`
�
|�
c	&�	���	8d
��W-R�>e�
�
�q����&	��
����	�
+/���zR]�
�x�	"		�	�[,��dt���	A�	
�
�	�'X
�S�s���
��>
��
x�
���
���
�
$S���
0
i2�5!��		@���&{/
�
��
+�����
���	�36mH
�	�x��u�B��@v�
8*�X/$��c�����p
	�"{yK�&�)x�	0�����/�y��W��@.	|��,	��$���i
�h�,9�=�ygH[��
+@���$
��:
�
�Z�	�^-����
�GJ�I�u�
Q�w	\�A���,�'�
�w���
\}J���� [lJB)��	����
#�
*�����yY�t5O�t��#
�}�
d��6[�
I�s1
��
;
��N}������_�
i���

�cz�a����M�
|��	����;��6~y
�Na
!�
����K��('I��	����/�*a
=�K�^��y;
+��=f�?
F�0��	��XB	A��
�*G�
��!���	~����lO	=L��
p�	L
��
��p�>�?-�	(
P	'`	s��
�D	�L
8�
M�t
�	9	z��w�
�t�9�YQR>:�P��8�
*�n�G ����.���<	�)	8�	�
U�����@
�J�j����G��<�0=	*�T��	��@��	�n�>
���5
����sk
��4�#+
�c�	��j
���6�
�E	�`����	(	���2
�g��
���	�U
}
���e����	w�c
�T	��
�
�b
ed	����
oW
��
�	�.[8
e8�
�X�{
W��	I9s��GS
���6�
b�
�3Z
���4
�����Y�	��
M
��	l��w�f��	X2�
�U9��
�E{���;\jP
.K�#
D�b	G��d�_�OG	:u_�r
J
�
���	0	����w�d�	Q
��VA
W��G
��qJ���a6
b,
xJ�;U	Q���"������	N��	�TJ	`
���AzK���d��(�(jH�
3o���	
�S�],P!
j	��B\]P5F2���
���
Dp_^TNv�w
���	�
�	(/�
�n�
\(�R�����^�4
k9
�
�
G:�vd��v	�	��"7z�-8
Vk�*� �o��	�	�U
�	�
��
�F�3	<\
�)_*��
�c�
���
�,
!	4~0���$�V1�l�i
	A'�
�=
"�	M�HQ��

)�	���p	��>�L;	��

���o�}X�	"�w:�,�
k	�
�42	�
		�D&K
��I�k��
�~P��q	�
!��,����
�
:m�������[#�]%p
�	.
�3
.
���"
(
-��7
W����]^
1&
�4]
#}�	

�T
E
��"
��\v�� �
o#&7�/��
��
���
)�<(������
�2)
�����
�
l�
�{�c	|����
y�
�H
qt	��
F����!L
]�h	����OT#Y	��
Q��uO�H	���m
�1&d�@

��
6
�	�
��
-
�?��v�<gM����Ft�{D��
;:u
���_�_
��
�
5r	y	�S��
�=�8V�
4�+(�n)z9�7��
��_
�	Z�VB	^��M��_�I
��	(���
Ii	�
x��d.��2�P
���	7�
��}Vb
�	���	�#��	�
�������+���
|
�	���.�	 �t�	$
��
)��	(Z
<��E
���	A��YO�q
l��	F
�E��%�r.�LbgMa�<�
�
�X��@�PU�
�"Q��
����l
x�c����KD��
��T4�
r�{b����*	-
�
�N��=���b;d
�	c~�
�:uhS	T�.�C=
��N
�
�y
�
%k��V
�
���
(7;�><
�


B�gp>	����
�����	��~�
:
L|�$	��,h�	l�g
�
�p�x��	@	H����Aj?L�	^\g-�	�	��Q��~�`��
C�8I1���	�<��	VYK0�
~zQ��<C|�$e
Uk�,�-G~�''��y/��	��U�
5�
����
�4L�����;>E�uT�	�Y
e	n�����1
��	\a�#|^'
�[
��

�
"��f��K	�	'�[
�����(
��vZ��b=6^�L	u�	�

TY}�9��'	�
m�
��,�]
�"t���g	��	�Y{
r�
�Q
����q|	��\
�}
c0
�^!��
���v���
��

EXAMPLES:


Examples:
  Find all IPA servers:
    ipa server-find


GLOBAL DNS CONFIGURATION

        Override this so we can add completed and failed to the return result.
        
        Override this so we can set completed and failed.
        
    Add an automember rule.
    
    Add conditions to an automember rule.
    
    Delete an automember rule.
    
    Display information about an automember rule.
    
    Display information about the default (fallback) automember groups.
    
    Lockout status of a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.

    This connects to each IPA master and displays the lockout status on
    each one.

    To determine whether an account is locked on a given server you need
    to compare the number of failed logins and the time of the last failure.
    For an account to be locked it must exceed the maxfail failures within
    the failinterval duration as specified in the password policy associated
    with the user.

    The failed login counter is modified only when a user attempts a log in
    so it is possible that an account may appear locked but the last failed
    login attempt is older than the lockouttime of the password policy. This
    means that the user may attempt a login again. 
    Modify a trust (for future use).

    Currently only the default option to modify the LDAP attributes is
    available. More specific options will be added in coming releases.
    
    Modify an automember rule.
    
    Remove conditions from an automember rule.
    
    Remove default (fallback) group for all unmatched entries.
    
    Search for automember rules.
    
    Set default (fallback) group for all unmatched entries.
    
    Unlock a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.
    Vault Container object.
    
    Vault object.
    
   This is the equivalent of:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Add location:
    ipa location-add location --description 'My location'

  Add topology segment to 'ca' suffix:
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  Add topology segment to 'domain' suffix:
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Delete location:
    ipa location-del location

  Delete topology segment in 'ca' suffix:
    ipa topologysegment-del ca segment_name

  Delete topology segment in 'domain' suffix:
    ipa topologysegment-del domain segment_name

  Find all locations:
    ipa location-find

  Find all servers:
    ipa server-find

  Find all suffixes:
    ipa topologysuffix-find

  List all topology segments in 'ca' suffix:
    ipa topologysegment-find ca

  List all topology segments in 'domain' suffix:
    ipa topologysegment-find domain

  Show configuration of a specific DNS server:
    ipa dnsserver-show

  Show specific location:
    ipa location-show location

  Show specific server:
    ipa server-show ipa.example.com

  Show status of 'DNS server' role on a server:
    ipa server-role-show ipa.example.com "DNS server"

  Show status of all configured roles on a server:
    ipa server-role-find ipa.example.com

  Update configuration of a specific DNS server:
    ipa dnsserver-mod

  Verify topology of 'ca' suffix:
    ipa topologysuffix-verify ca

  Verify topology of 'domain' suffix:
    ipa topologysuffix-verify domain

 Add LOC record for example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Add a condition to the rule:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Add a host that can manage this host's keytab and certificate:
   ipa host-add-managedby --hosts=test2 test

 Add a host to the rule:
   ipa sudorule-add-host readfiles --hosts server.example.com

 Add a host:
    ipa host-add web1.example.com

 Add a mail server for example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Add a new host with a one-time password:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Add a new host with a random one-time password:
   ipa host-add --os='Fedora 12' --random test.example.com

 Add a new host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Add a new server:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Add a new token:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Add a new token:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add a special Sudo rule for default Sudo server configuration:
   ipa sudorule-add defaults

 Add a standard vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type standard

 Add a symmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type symmetric --password-file password.txt

 Add a user to the rule:
   ipa sudorule-add-user readfiles --users jsmith

 Add a user:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Add an asymmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type asymmetric --public-key-file public.pem

 Add an exclusive condition to the rule to prevent auto assignment:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Add another record using MX record specific options:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
 or dnsrecord-del are executed with no options):
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Add new A record for www.example.com. Create a reverse record in appropriate
 reverse zone as well. In this case a PTR record "2" pointing to www.example.com
 will be created in zone 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Add new PTR record for www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Add new SRV records for LDAP servers. Three quarters of the requests
 should go to fast.example.com, one quarter to slow.example.com. If neither
 is available, switch to backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Add new reverse zone specified by network IP address:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Add new zone:
   ipa dnszone-add example.com --admin-email=admin@example.com

 Add second nameserver for example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Add sudo command object and add it as allowed command in the rule:
   ipa sudocmd-add /usr/bin/less
   ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less

 Add system permission that can be used for per-zone privilege delegation:
   ipa dnszone-add-permission example.com

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Add the initial rule:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Add vault members:
   ipa vault-add-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Add vault owners:
   ipa vault-add-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>]  [--groups <groups>] [--services <services>]

 After this modification, three fifths of the requests should go to
 fast.example.com and two fifths to slow.example.com.

 Allow user to create a keytab:
   ipa host-allow-create-keytab test2 --users=tuser1

 Allow user to create a keytab:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 An example of the interactive mode for dnsrecord-del command:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Archive data into asymmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Archive data into standard vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Archive data into symmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>
       --password-file password.txt

 Change forward-policy for external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Change the secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Change the vendor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Create a new rule:
   ipa sudorule-add readfiles

 Delegate zone sub.example to another nameserver:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Delete a configuration:
   ipa radiusproxy-del MyRADIUS

 Delete a host:
   ipa host-del test.example.com

 Delete a token:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Delete a vault:
   ipa vault-del <name>
       [--user <user>|--service <service>|--shared]

 Delete an automember rule:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

 Delete forward zone external.example.com:
   ipa dnsforwardzone-del external.example.com

 Delete previously added nameserver from example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Delete vault members:
   ipa vault-remove-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Delete vault owners:
   ipa vault-remove-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Delete zone example.com with all resource records:
   ipa dnszone-del example.com

 Disable global forwarding for given sub-tree:
   ipa dnszone-mod example.com --forward-policy=none

 Disable the host Kerberos key, SSL certificate and all of its services:
   ipa host-disable test.example.com

 Display a automember rule:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Display vault configuration:
   ipa vaultconfig-show

 Examine the configuration:
   ipa radiusproxy-show MyRADIUS

 Examine the token:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Find A records with value 192.0.2.2 in zone example.com
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Find all of the automember rules:
    ipa automember-find

 Find all servers whose entries include the string "example.com":
   ipa radiusproxy-find example.com

 Find records for resources with "www" in their name in zone example.com:
   ipa dnsrecord-find example.com www

 Find user-find parameters:
   ipa param-find user-find

 Find zone with "example" in its domain name:
   ipa dnszone-find example

 Forward all requests for the zone external.example.com to another forwarder
 using a "first" policy (it will send the queries to the selected forwarder
 and if not answered it will use global root servers):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab


 If a global forwarder is configured, all queries for which this server is not
 authoritative (e.g. sub.example.com) will be routed to the global forwarder.
 Global forwarding configuration can be overridden per-zone.

 List all forward zones:
   ipa dnsforwardzone-find

 List vaults:
   ipa vault-find
       [--user <user>|--service <service>|--shared]

 Modify asymmetric vault keys:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --private-key-file <old private key file>
       --public-key-file <new public key file>

 Modify global DNS configuration and set a list of global forwarders:
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Modify information about a host:
   ipa host-mod --os='Fedora 12' test.example.com

 Modify symmetric vault password:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --change-password
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password <old password>
       --new-password <new password>
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password-file <old password file>
       --new-password-file <new password file>

 Modify the automember rule:
    ipa automember-mod

 Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Modify the zone to allow zone transfers for local network only:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Modify vault description:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --desc <description>

 Modify vault type:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --type <type>
       [old password/private key]
       [new password/public key]

 Rebuild membership for all hosts:
    ipa automember-rebuild --type=hostgroup

 Rebuild membership for all users:
    ipa automember-rebuild --type=group

 Rebuild membership for specified hosts:
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

 Rebuild membership for specified users:
    ipa automember-rebuild --users=tuser1 --users=tuser2

 Remove SSH public keys of a host and update DNS to reflect this change:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Remove a condition from the rule:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Remove the default (fallback) target group:
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Resolve a host name to see if it exists (will add default IPA domain
 if one is not included):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

 Retrieve data from asymmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file> --private-key-file private.pem

 Retrieve data from standard vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>

 Retrieve data from symmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>
       --password-file password.txt

 Semantics of forwarding in IPA matches BIND semantics and depends on the type
 of zone:
   * Master zone: local BIND replies authoritatively to queries for data in
   the given zone (including authoritative NXDOMAIN answers) and forwarding
   affects only queries for names below zone cuts (NS records) of locally
   served zones.

   * Forward zone: forward zone contains no authoritative data. BIND forwards
   queries, which cannot be answered from its local cache, to configured
   forwarders.

 Set a default Sudo option:
   ipa sudorule-add-option defaults --sudooption '!authenticate'

 Set the default (fallback) target group:
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Show a vault:
   ipa vault-show <name>
       [--user <user>|--service <service>|--shared]

 Show forward zone external.example.com:
   ipa dnsforwardzone-show external.example.com

 Show global DNS configuration:
   ipa dnsconfig-show

 Show records for resource www in zone example.com
   ipa dnsrecord-show example.com www

 Show the default (fallback) target group:
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Show user-find details:
   ipa command-show user-find

 Show zone example.com:
   ipa dnszone-show example.com

 The interactive mode can be used for easy modification:
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 This configuration forwards all queries for names outside the example.com
 sub-tree to global forwarders. Normal recursive resolution process is used
 for names inside the example.com sub-tree (i.e. NS records are followed etc.).

 Verify automembership:
    ipa hostgroup-show webservers
      Host-group: webservers
      Description: Web Servers
      Member hosts: web1.example.com

    ipa group-show devel
      Group name: devel
      Description: Developers
      GID: 1004200000
      Member users: tuser

* A permission grants access to read, write, add, delete, read, search,
  or compare.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

A condition is a regular expression used by 389-ds to match a new incoming
entry with an automember rule. If it matches an inclusive rule then the
entry is added to the appropriate group or hostgroup.

A default group or hostgroup could be specified for entries that do not
match any rule. In case of user entries this group will be a fallback group
because all users are by default members of group specified in IPA config.

A permission enables fine-grained delegation of rights. A permission is
a human-readable wrapper around a 389-ds Access Control Rule,
or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

A permission may not contain other permissions.

A rule is directly associated with a group by name, so you cannot create
a rule without an accompanying group or hostgroup.

API Schema

Add new ID range.

    To add a new ID range you always have to specify

        --base-id
        --range-size

    Additionally

        --rid-base
        --secondary-rid-base

    may be given for a new ID range for the local domain while

        --rid-base
        --dom-sid

    must be given to add a new range for a trusted AD domain.

    WARNING:

    DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
    local domain. Currently the DNA plugin *cannot* be reconfigured itself based
    on the local ranges set via this family of commands.

    Manual configuration change has to be done in the DNA plugin configuration for
    the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
    IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
    modified to match the new range.
    
Add new trust to use.

This command establishes trust relationship to another domain
which becomes 'trusted'. As result, users of the trusted domain
may access resources of this domain.

Only trusts to Active Directory domains are supported right now.

The command can be safely run multiple times against the same domain,
this will cause change to trust relationship credentials on both
sides.
    
Additionally, there are the following convenience options.
Setting one of these options will set the corresponding attribute(s).
1. type: a type of object (user, group, etc); sets subtree and target filter.
2. memberof: apply to members of a group; sets target filter
3. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership); sets target.

Agreements are represented by topology segments. By default topology segment
represents 2 replication agreements - one for each direction, e.g., A to B and
B to A. Creation of unidirectional segments is not allowed.

An order can be added to a sudorule to control the order in which they
are evaluated (if the client supports it). This order is an integer and
must be unique.

Asymmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a public key before transport.
The secret can only be retrieved using the private key.

Auto Membership Rule.

Automount

Stores automount(8) configuration for autofs(8) in IPA.

The base of an automount configuration is the configuration file auto.master.
This is also the base location in IPA. Multiple auto.master configurations
can be stored in separate locations. A location is implementation-specific
with the default being a location named 'default'. For example, you can have
locations by geographic region, by floor, by type, etc.

Automount has three basic object types: locations, maps and keys.

A location defines a set of maps anchored in auto.master. This allows you
to store multiple automount configurations. A location in itself isn't
very interesting, it is just a point to start a new automount map.

A map is roughly equivalent to a discrete automount file and provides
storage for keys.

A key is a mount point associated with a map.

When a new location is created, two maps are automatically created for
it: auto.master and auto.direct. auto.master is the root map for all
automount maps for the location. auto.direct is the default map for
direct mounts and is mounted on /-.

An automount map may contain a submount key. This key defines a mount
location within the map that references another map. This can be done
either using automountmap-add-indirect --parentmap or manually
with automountkey-add and setting info to "-type=autofs :<mapname>".

EXAMPLES:

Locations:

  Create a named location, "Baltimore":
    ipa automountlocation-add baltimore

  Display the new location:
    ipa automountlocation-show baltimore

  Find available locations:
    ipa automountlocation-find

  Remove a named automount location:
    ipa automountlocation-del baltimore

  Show what the automount maps would look like if they were in the filesystem:
    ipa automountlocation-tofiles baltimore

  Import an existing configuration into a location:
    ipa automountlocation-import baltimore /etc/auto.master

    The import will fail if any duplicate entries are found. For
    continuous operation where errors are ignored, use the --continue
    option.

Maps:

  Create a new map, "auto.share":
    ipa automountmap-add baltimore auto.share

  Display the new map:
    ipa automountmap-show baltimore auto.share

  Find maps in the location baltimore:
    ipa automountmap-find baltimore

  Create an indirect map with auto.share as a submount:
    ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man

    This is equivalent to:

    ipa automountmap-add-indirect baltimore --mount=/man auto.man
    ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Remove the auto.share map:
    ipa automountmap-del baltimore auto.share

Keys:

  Create a new key for the auto.share map in location baltimore. This ties
  the map we previously created to auto.master:
    ipa automountkey-add baltimore auto.master --key=/share --info=auto.share

  Create a new key for our auto.share map, an NFS mount for man pages:
    ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Find all keys for the auto.share map:
    ipa automountkey-find baltimore auto.share

  Find all direct automount keys:
    ipa automountkey-find baltimore --key=/-

  Remove the man key from the auto.share map:
    ipa automountkey-del baltimore auto.share --key=man

Based on the ownership there are three vault categories:
* user/private vault
* service vault
* shared vault

Based on the security mechanism there are three types of
vaults:
* standard vault
* symmetric vault
* asymmetric vault

Baseuser

This contains common definitions for user/stageuser

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

Classes to manage trust joins using DCE-RPC calls

The code in this module relies heavily on samba4-python package
and Samba4 python bindings.

Cross-realm trusts

Manage trust relationship between IPA and Active Directory domains.

In order to allow users from a remote domain to access resources in IPA
domain, trust relationship needs to be established. Currently IPA supports
only trusts between IPA and Active Directory domains under control of Windows
Server 2008 or later, with functional level 2008 or later.

Please note that DNS on both IPA and Active Directory domain sides should be
configured properly to discover each other. Trust relationship relies on
ability to discover special resources in the other domain via DNS records.

Examples:

1. Establish cross-realm trust with Active Directory using AD administrator
   credentials:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator> --password

2. List all existing trust relationships:

   ipa trust-find

3. Show details of the specific trust relationship:

   ipa trust-show <ad.domain>

4. Delete existing trust relationship:

   ipa trust-del <ad.domain>

Once trust relationship is established, remote users will need to be mapped
to local POSIX groups in order to actually use IPA resources. The mapping should
be done via use of external membership of non-POSIX group and then this group
should be included into one of local POSIX groups.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
   group:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

   ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

   ipa group-show ad_admins_external


GLOBAL TRUST CONFIGURATION

When IPA AD trust subpackage is installed and ipa-adtrust-install is run,
a local domain configuration (SID, GUID, NetBIOS name) is generated. These
identifiers are then used when communicating with a trusted domain of the
particular type.

1. Show global trust configuration for Active Directory type of trusts:

   ipa trustconfig-show --type ad

2. Modify global configuration for all trusts of Active Directory type and set
   a different fallback primary group (fallback primary group GID is used as
   a primary user GID if user authenticating to IPA domain does not have any other
   primary GID already set):

   ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group"

3. Change primary fallback group back to default hidden group (any group with
   posixGroup object class is allowed):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

DNS server configuration

Data stored on IPA servers is replicated to other IPA servers. The way it is
replicated is defined by replication agreements. Replication agreements needs
to be set for both suffixes separately. On domain level 0 they are managed
using ipa-replica-manage and ipa-csreplica-manage tools. With domain level 1
they are managed centrally using `ipa topology*` commands.

Deleting or renaming a managed permission, as well as changing its target,
is not allowed.

Domain Name System (DNS)

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
   or not. A full administrator is a member of the hostadmin role
   or the admins group.
2. You are enrolling as a limited administrator. The host must already
   exist. A limited administrator is a member a role with the
   Host Enrollment privilege.
3. The host has been created with a one-time password.

EXAMPLES:

Get information about installed IPA servers.

Get status of roles (DNS server, CA, etc.) provided by IPA masters.

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

 Add a delegation rule to allow managers to edit employee's addresses:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add postalCode to the list:
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Display our updated rule:
   ipa delegation-show "managers edit employees' street"

 Delete a rule:
   ipa delegation-del "managers edit employees' street"

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa group-show localadmins

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa sudocmdgroup-show admincmds

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

 Add a new host group:
   ipa hostgroup-add --desc="Baltimore hosts" baltimore

 Add another new host group:
   ipa hostgroup-add --desc="Maryland hosts" maryland

 Add members to the hostgroup (using Bash brace expansion):
   ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

 Add a hostgroup as a member of another hostgroup:
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Remove a host from the hostgroup:
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Display a host group:
   ipa hostgroup-show baltimore

 Delete a hostgroup:
   ipa hostgroup-del baltimore

HBAC Service Groups

HBAC service groups can contain any number of individual services,
or "members". Every group must have a description.

EXAMPLES:

 Add a new HBAC service group:
   ipa hbacsvcgroup-add --desc="login services" login

 Add members to an HBAC service group:
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

 Display information about a named group:
   ipa hbacsvcgroup-show login

 Delete an HBAC service group:
   ipa hbacsvcgroup-del login

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

 Add a new HBAC service:
   ipa hbacsvc-add tftp

 Modify an existing HBAC service:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Search for HBAC services. This example will return two results, the FTP
 service and the newly-added tftp service:
   ipa hbacsvc-find ftp

 Delete an HBAC service:
   ipa hbacsvc-del tftp


Host-based access control

Control who can access what services on what hosts. You
can use HBAC to control which users or groups can
access a service, or group of services, on a target host.

You can also specify a category of users and target hosts.
This is currently limited to "all", but might be expanded in the
future.

Target hosts in HBAC rules must be hosts managed by IPA.

The available services and groups of services are controlled by the
hbacsvc and hbacsvcgroup plug-ins respectively.

EXAMPLES:

 Create a rule, "test1", that grants all users access to the host "server" from
 anywhere:
   ipa hbacrule-add --usercat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Display the properties of a named HBAC rule:
   ipa hbacrule-show test1

 Create a rule for a specific service. This lets the user john access
 the sshd service on any machine from any machine:
   ipa hbacrule-add --hostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Create a rule for a new service group. This lets the user john access
 the FTP service on any machine from any machine:
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
   ipa hbacrule-add --hostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Disable a named HBAC rule:
   ipa hbacrule-disable test1

 Remove a named HBAC rule:
   ipa hbacrule-del allow_server

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

IPA certificate operations

Implements a set of commands for managing server SSL certificates.

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

The dogtag CA uses just the CN value of the CSR and forces the rest of the
subject to values configured in the server.

A certificate is stored with a service principal and a service principal
needs a host.

In order to request a certificate:

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

SEARCHING:

Certificates may be searched on by certificate subject, serial number,
revocation reason, validity dates and the issued date.

When searching on dates the _from date does a >= search and the _to date
does a <= search. When combined these are done as an AND.

Dates are treated as GMT to match the dates in the certificates.

The date format is YYYY-mm-dd.

EXAMPLES:

 Request a new certificate and add the principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Retrieve an existing certificate:
   ipa cert-show 1032

 Revoke a certificate (see RFC 5280 for reason details):
   ipa cert-revoke --revocation-reason=6 1032

 Remove a certificate from revocation hold status:
   ipa cert-remove-hold 1032

 Check the status of a signing request:
   ipa cert-status 10

 Search for certificates by hostname:
   ipa cert-find --subject=ipaserver.example.com

 Search for revoked certificates by reason:
   ipa cert-find --revocation-reason=5

 Search for certificates based on issuance date
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

The following revocation reasons are supported:

    * 0 - unspecified
    * 1 - keyCompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
    * 10 - aACompromise

Note that reason code 7 is not used.  See RFC 5280 for more details:

http://www.ietf.org/rfc/rfc5280.txt

IPA locations

IPA provides a designated binddn to use with Sudo located at:
uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

IPA provides a means to configure the various aspects of Sudo:
   Users: The user(s)/group(s) allowed to invoke Sudo.
   Hosts: The host(s)/hostgroup(s) which the user is allowed to to invoke Sudo.
   Allow Command: The specific command(s) permitted to be run via Sudo.
   Deny Command: The specific command(s) prohibited to be run via Sudo.
   RunAsUser: The user(s) or group(s) of users whose rights Sudo will be invoked with.
   RunAsGroup: The group(s) whose gid rights Sudo will be invoked with.
   Options: The various Sudoers Options that can modify Sudo's behavior.

IPA server roles

IPA server's data is stored in LDAP server in two suffixes:
* domain suffix, e.g., 'dc=example,dc=com', contains all domain related data
* ca suffix, 'o=ipaca', is present only on server with CA installed. It
  contains data for Certificate Server component

IPA servers

IPA supports the use of OTP tokens for multi-factor authentication. This
code enables the management of OTP tokens.

IPA supports the use of an external RADIUS proxy server for krb5 OTP
authentications. This permits a great deal of flexibility when
integrating with third-party authentication services.

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

Joining an IPA domain

Kerberos pkinit options

Enable or disable anonymous pkinit using the principal
WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with
pkinit support.

EXAMPLES:

 Enable anonymous pkinit:
  ipa pkinit-anonymous enable

 Disable anonymous pkinit:
  ipa pkinit-anonymous disable

For more information on anonymous pkinit see:

http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit

Kerberos ticket policy

There is a single Kerberos ticket policy. This policy defines the
maximum ticket lifetime and the maximum renewal age, the period during
which the ticket is renewable.

You can also create a per-user ticket policy by specifying the user login.

For changes to the global policy to take effect, restarting the KDC service
is required, which can be achieved using:

service krb5kdc restart

Changes to per-user policies take effect immediately for newly requested
tickets (e.g. when the user next runs kinit).

EXAMPLES:

 Display the current Kerberos ticket policy:
  ipa krbtpolicy-show

 Reset the policy to the default:
  ipa krbtpolicy-reset

 Modify the policy to 8 hours max life, 1-day max renewal:
  ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400

 Display effective Kerberos ticket policy for user 'admin':
  ipa krbtpolicy-show admin

 Reset per-user policy for user 'admin':
  ipa krbtpolicy-reset admin

 Modify per-user policy for user 'admin':
  ipa krbtpolicy-mod admin --maxlife=3600

Manage CA ACL rules.

This plugin is used to define rules governing which principals are
permitted to have certificates issued using a given certificate
profile.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Create a CA ACL "test" that grants all users access to the
  "UserCert" profile:
    ipa caacl-add test --usercat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Display the properties of a named CA ACL:
    ipa caacl-show test

  Create a CA ACL to let user "alice" use the "DNP3" profile:
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Disable a CA ACL:
    ipa caacl-disable test

  Remove a CA ACL:
    ipa caacl-del test

Manage Certificate Profiles

Certificate Profiles are used by Certificate Authority (CA) in the signing of
certificates to determine if a Certificate Signing Request (CSR) is acceptable,
and if so what features and extensions will be present on the certificate.

The Certificate Profile format is the property-list format understood by the
Dogtag or Red Hat Certificate System CA.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert

  Show information about a profile:
    ipa certprofile-show ShortLivedUserCert

  Save profile configuration to a file:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Search for profiles that do not store certificates:
    ipa certprofile-find --store=false

PROFILE CONFIGURATION FORMAT:

The profile configuration format is the raw property-list format
used by Dogtag Certificate System.  The XML format is not supported.

The following restrictions apply to profiles managed by IPA:

- When importing a profile the "profileId" field, if present, must
  match the ID given on the command line.

- The "classId" field must be set to "caEnrollImpl"

- The "auth.instance_id" field must be set to "raCertAuth"

- The "certReqInputImpl" input class and "certOutputImpl" output
  class must be used.


Manage DNS zone and resource records.

Manage OTP tokens.

Manage RADIUS Proxy Servers.

Manage YubiKey tokens.

Manage vaults.

Managed permissions

Manipulate DNS locations

Manipulate DNS server configuration

Migration to IPA

Migrate users and groups from an LDAP server to IPA.

This performs an LDAP query against the remote server searching for
users and groups in a container. In order to migrate passwords you need
to bind as a user that can read the userPassword attribute on the remote
server. This is generally restricted to high-level admins such as
cn=Directory Manager in 389-ds (this is the default bind user).

The default user container is ou=People.

The default group container is ou=Groups.

Users and groups that already exist on the IPA server are skipped.

Two LDAP schemas define how group members are stored: RFC2307 and
RFC2307bis. RFC2307bis uses member and uniquemember to specify group
members, RFC2307 uses memberUid. The default schema is RFC2307bis.

The schema compat feature allows IPA to reformat data for systems that
do not support RFC2307bis. It is recommended that this feature is disabled
during migration to reduce system overhead. It can be re-enabled after
migration. To migrate with it enabled use the "--with-compat" option.

Migrated users do not have Kerberos credentials, they have only their
LDAP password. To complete the migration process, users need to go
to http://ipa.example.com/ipa/migration and authenticate using their
LDAP password in order to generate their Kerberos credentials.

Migration is disabled by default. Use the command ipa config-mod to
enable it:

 ipa config-mod --enable-migration=TRUE

If a base DN is not provided with --basedn then IPA will use either
the value of defaultNamingContext if it is set or the first value
in namingContexts set in the root of the remote LDAP server.

Users are added as members to the default user group. This can be a
time-intensive task so during migration this is done in a batch
mode for every 100 users. As a result there will be a window in which
users will be added to IPA but will not be members of the default
user group.

EXAMPLES:

 The simplest migration, accepting all defaults:
   ipa migrate-ds ldap://ds.example.com:389

 Specify the user and group container. This can be used to migrate user
 and group data from an IPA v1 server:
   ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        ldap://ds.example.com:389

 Since IPA v2 server already contain predefined groups that may collide with
 groups in migrated (IPA v1) server (for example admins, ipausers), users
 having colliding group as their primary group may happen to belong to
 an unknown group on new IPA v2 server.
 Use --group-overwrite-gid option to overwrite GID of already existing groups
 to prevent this issue:
    ipa migrate-ds --group-overwrite-gid         --user-container='cn=users,cn=accounts'         --group-container='cn=groups,cn=accounts'         ldap://ds.example.com:389

 Migrated users or groups may have object class and accompanied attributes
 unknown to the IPA v2 server. These object classes and attributes may be
 left out of the migration process:
    ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        --user-ignore-objectclass=radiusprofile        --user-ignore-attribute=radiusgroupname        ldap://ds.example.com:389

LOGGING

Migration will log warnings and errors to the Apache error log. This
file should be evaluated post-migration to correct or investigate any
issues that were discovered.

For every 100 users migrated an info-level message will be displayed to
give the current progress and duration to make it possible to track
the progress of migration.

If the log level is debug, either by setting debug = True in
/etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed
for each user added plus a summary when the default user group is
updated.

Migration to IPA

Migrate users and groups from an LDAP server to IPA.

This performs an LDAP query against the remote server searching for
users and groups in a container. In order to migrate passwords you need
to bind as a user that can read the userPassword attribute on the remote
server. This is generally restricted to high-level admins such as
cn=Directory Manager in 389-ds (this is the default bind user).

The default user container is ou=People.

The default group container is ou=Groups.

Users and groups that already exist on the IPA server are skipped.

Two LDAP schemas define how group members are stored: RFC2307 and
RFC2307bis. RFC2307bis uses member and uniquemember to specify group
members, RFC2307 uses memberUid. The default schema is RFC2307bis.

The schema compat feature allows IPA to reformat data for systems that
do not support RFC2307bis. It is recommended that this feature is disabled
during migration to reduce system overhead. It can be re-enabled after
migration. To migrate with it enabled use the "--with-compat" option.

Migrated users do not have Kerberos credentials, they have only their
LDAP password. To complete the migration process, users need to go
to http://ipa.example.com/ipa/migration and authenticate using their
LDAP password in order to generate their Kerberos credentials.

Migration is disabled by default. Use the command ipa config-mod to
enable it:

 ipa config-mod --enable-migration=TRUE

If a base DN is not provided with --basedn then IPA will use either
the value of defaultNamingContext if it is set or the first value
in namingContexts set in the root of the remote LDAP server.

Users are added as members to the default user group. This can be a
time-intensive task so during migration this is done in a batch
mode for every 100 users. As a result there will be a window in which
users will be added to IPA but will not be members of the default
user group.

EXAMPLES:

 The simplest migration, accepting all defaults:
   ipa migrate-ds ldap://ds.example.com:389

 Specify the user and group container. This can be used to migrate user
 and group data from an IPA v1 server:
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       ldap://ds.example.com:389

 Since IPA v2 server already contain predefined groups that may collide with
 groups in migrated (IPA v1) server (for example admins, ipausers), users
 having colliding group as their primary group may happen to belong to
 an unknown group on new IPA v2 server.
 Use --group-overwrite-gid option to overwrite GID of already existing groups
 to prevent this issue:
    ipa migrate-ds --group-overwrite-gid \
        --user-container='cn=users,cn=accounts' \
        --group-container='cn=groups,cn=accounts' \
        ldap://ds.example.com:389

 Migrated users or groups may have object class and accompanied attributes
 unknown to the IPA v2 server. These object classes and attributes may be
 left out of the migration process:
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       --user-ignore-objectclass=radiusprofile \
       --user-ignore-attribute=radiusgroupname \
       ldap://ds.example.com:389

LOGGING

Migration will log warnings and errors to the Apache error log. This
file should be evaluated post-migration to correct or investigate any
issues that were discovered.

For every 100 users migrated an info-level message will be displayed to
give the current progress and duration to make it possible to track
the progress of migration.

If the log level is debug, either by setting debug = True in
/etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed
for each user added plus a summary when the default user group is
updated.

Misc plug-ins

Netgroups

A netgroup is a group used for permission checking. It can contain both
user and host values.

EXAMPLES:

 Add a new netgroup:
   ipa netgroup-add --desc="NFS admins" admins

 Add members to the netgroup:
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

 Remove a member from the netgroup:
   ipa netgroup-remove-member --users=tuser2 admins

 Display information about a netgroup:
   ipa netgroup-show admins

 Delete a netgroup:
   ipa netgroup-del admins

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

OTP Tokens

OTP Tokens

Manage OTP tokens.

IPA supports the use of OTP tokens for multi-factor authentication. This
code enables the management of OTP tokens.

EXAMPLES:

 Add a new token:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Examine the token:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Change the vendor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Delete a token:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

OTP configuration

Manage the default values that IPA uses for OTP tokens.

EXAMPLES:

 Show basic OTP configuration:
   ipa otpconfig-show

 Show all OTP configuration options:
   ipa otpconfig-show --all

 Change maximum TOTP authentication window to 10 minutes:
   ipa otpconfig-mod --totp-auth-window=600

 Change maximum TOTP synchronization window to 12 hours:
   ipa otpconfig-mod --totp-sync-window=43200

 Change maximum HOTP authentication window to 5:
   ipa hotpconfig-mod --hotp-auth-window=5

 Change maximum HOTP synchronization window to 50:
   ipa hotpconfig-mod --hotp-sync-window=50

Password policy

A password policy sets limitations on IPA passwords, including maximum
lifetime, minimum lifetime, the number of passwords to save in
history, the number of character classes required (for stronger passwords)
and the minimum password length.

By default there is a single, global policy for all users. You can also
create a password policy to apply to a group. Each user is only subject
to one password policy, either the group policy or the global policy. A
group policy stands alone; it is not a super-set of the global policy plus
custom settings.

Each group password policy requires a unique priority setting. If a user
is in multiple groups that have password policies, this priority determines
which password policy is applied. A lower value indicates a higher priority
policy.

Group password policies are automatically removed when the groups they
are associated with are removed.

EXAMPLES:

 Modify the global policy:
   ipa pwpolicy-mod --minlength=10

 Add a new group password policy:
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Display the global password policy:
   ipa pwpolicy-show

 Display a group password policy:
   ipa pwpolicy-show localadmins

 Display the policy that would be applied to a given user:
   ipa pwpolicy-show --user=tuser1

 Modify a group password policy:
   ipa pwpolicy-mod --minclasses=2 localadmins

Permissions

Permissions that come with IPA by default can be so-called "managed"
permissions. These have a default set of attributes they apply to,
but the administrator can add/remove individual attributes to/from the set.

Ping the remote IPA server to ensure it is running.

The ping command sends an echo request to an IPA server. The server
returns its version information. This is used by an IPA client
to confirm that the server is available and accepting requests.

The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first.
If it does not respond then the client will contact any servers defined
by ldap SRV records in DNS.

EXAMPLES:

 Ping an IPA server:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping an IPA server verbosely:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Plugins not accessible directly through the CLI, commands used internally

Privileges

A privilege combines permissions into a logical task. A permission provides
the rights to do a single task. There are some IPA operations that require
multiple permissions to succeed. A privilege is where permissions are
combined in order to perform a specific task.

For example, adding a user requires the following permissions:
 * Creating a new user entry
 * Resetting a user password
 * Adding the new user to the default IPA users group

Combining these three low-level tasks into a higher level task in the
form of a privilege named "Add User" makes it easier to manage Roles.

A privilege may not contain other privileges.

See role and permission for additional information.

Provides API introspection capabilities.

RADIUS Proxy Servers

RADIUS Proxy Servers

Manage RADIUS Proxy Servers.

IPA supports the use of an external RADIUS proxy server for krb5 OTP
authentications. This permits a great deal of flexibility when
integrating with third-party authentication services.

EXAMPLES:

 Add a new server:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Find all servers whose entries include the string "example.com":
   ipa radiusproxy-find example.com

 Examine the configuration:
   ipa radiusproxy-show MyRADIUS

 Change the secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Delete a configuration:
   ipa radiusproxy-del MyRADIUS

RE-ENROLLMENT:

Host that has been enrolled at some point, and lost its configuration (e.g. VM
destroyed) can be re-enrolled.

For more information, consult the manual pages for ipa-client-install.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

Raise the IPA Domain Level.

Realm domains

Manage the list of domains associated with IPA realm.

EXAMPLES:

 Display the current list of realm domains:
   ipa realmdomains-show

 Replace the list of realm domains:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Add a domain to the list of realm domains:
   ipa realmdomains-mod --add-domain=newdomain.com

 Delete a domain from the list of realm domains:
   ipa realmdomains-mod --del-domain=olddomain.com

Removal of '%(hostname)s' leads to disconnected topology in suffix '%(suffix)s':
%(errors)s
Replication topology in suffix '%(suffix)s' is disconnected:
%(errors)s
Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. search - search on one or more attributes
4. compare - compare one or more attributes
5. add - add a new entry to the tree
6. delete - delete an existing entry
7. all - all permissions are granted

Roles

A role is used for fine-grained delegation. A permission grants the ability
to perform given low-level tasks (add a user, modify a group, etc.). A
privilege combines one or more permissions into a higher-level abstraction
such as useradmin. A useradmin would be able to add, delete and modify users.

Privileges are assigned to Roles.

Users, groups, hosts and hostgroups may be members of a Role.

Roles can not contain other roles.

EXAMPLES:

 Add a new role:
   ipa role-add --desc="Junior-level admin" junioradmin

 Add some privileges to this role:
   ipa role-add-privilege --privileges=addusers junioradmin
   ipa role-add-privilege --privileges=change_password junioradmin
   ipa role-add-privilege --privileges=add_user_to_default_group junioradmin

 Add a group of users to this role:
   ipa group-add --desc="User admins" useradmins
   ipa role-add-member --groups=useradmins junioradmin

 Display information about a role:
   ipa role-show junioradmin

 The result of this is that any users in the group 'junioradmin' can
 add users, reset passwords or add a user to the default IPA user group.

SELinux User Mapping

Map IPA users to SELinux users by host.

Hosts, hostgroups, users and groups can be either defined within
the rule or it may point to an existing HBAC rule. When using
--hbacrule option to selinuxusermap-find an exact match is made on the
HBAC rule name, so only one or zero entries will be returned.

EXAMPLES:

 Create a rule, "test1", that sets all users to xguest_u:s0 on the host "server":
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

 Create a rule, "test2", that sets all users to guest_u:s0 and uses an existing HBAC rule for users and hosts:
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2

 Display the properties of a rule:
   ipa selinuxusermap-show test2

 Create a rule for a specific user. This sets the SELinux context for
 user john to unconfined_u:s0-s0:c0.c1023 on any machine:
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Disable a rule:
   ipa selinuxusermap-disable test1

 Enable a rule:
   ipa selinuxusermap-enable test1

 Find a rule referencing a specific HBAC rule:
   ipa selinuxusermap-find --hbacrule=allow_some

 Remove a rule:
   ipa selinuxusermap-del john_unconfined

SEEALSO:

 The list controlling the order in which the SELinux user map is applied
 and the default SELinux user are available in the config-show command.

SUPPORTED ZONE TYPES

 * Master zone (dnszone-*), contains authoritative data.
 * Forward zone (dnsforwardzone-*), forwards queries to configured forwarders
 (a set of DNS servers).

Self-service Permissions

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

A Self-service permission defines what an object can change in its own entry.


EXAMPLES:

 Add a self-service rule to allow users to manage their address (using Bash
 brace expansion):
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones.
 Add telephoneNumber to the list (using Bash brace expansion):
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address"

 Display our updated rule:
   ipa selfservice-show "Users manage their own address"

 Delete a rule:
   ipa selfservice-del "Users manage their own address"

Server configuration

Manage the default values that IPA uses and some of its tuning parameters.

NOTES:

The password notification value (--pwdexpnotify) is stored here so it will
be replicated. It is not currently used to notify users in advance of an
expiring password.

Some attributes are read-only, provided only for information purposes. These
include:

Certificate Subject base: the configured certificate subject base,
  e.g. O=EXAMPLE.COM.  This is configurable only at install time.
Password plug-in features: currently defines additional hashes that the
  password will generate (there may be other conditions).

When setting the order list for mapping SELinux users you may need to
quote the value so it isn't interpreted by the shell.

EXAMPLES:

 Show basic server configuration:
   ipa config-show

 Show all configuration options:
   ipa config-show --all

 Change maximum username length to 99 characters:
   ipa config-mod --maxusername=99

 Increase default time and size limits for maximum IPA server search:
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Set default user e-mail domain:
   ipa config-mod --emaildomain=example.com

 Enable migration mode to make "ipa migrate-ds" command operational:
   ipa config-mod --enable-migration=TRUE

 Define SELinux user map order:
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Service Constrained Delegation

Manage rules to allow constrained delegation of credentials so
that a service can impersonate a user when communicating with another
service without requiring the user to actually forward their TGT.
This makes for a much better method of delegating credentials as it
prevents exposure of the short term secret of the user.

The naming convention is to append the word "target" or "targets" to
a matching rule name. This is not mandatory but helps conceptually
to associate rules and targets.

A rule consists of two things:
  - A list of targets the rule applies to
  - A list of memberPrincipals that are allowed to delegate for
    those targets

A target consists of a list of principals that can be delegated.

In English, a rule says that this principal can delegate as this
list of principals, as defined by these targets.

EXAMPLES:

 Add a new constrained delegation rule:
   ipa servicedelegationrule-add ftp-delegation

 Add a new constrained delegation target:
   ipa servicedelegationtarget-add ftp-delegation-target

 Add a principal to the rule:
   ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com       ftp-delegation

 Add our target to the rule:
   ipa servicedelegationrule-add-target       --servicedelegationtargets=ftp-delegation-target ftp-delegation

 Add a principal to the target:
   ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com       ftp-delegation-target

 Display information about a named delegation rule and target:
   ipa servicedelegationrule_show ftp-delegation
   ipa servicedelegationtarget_show ftp-delegation-target

 Remove a constrained delegation:
   ipa servicedelegationrule-del ftp-delegation-target
   ipa servicedelegationtarget-del ftp-delegation

In this example the ftp service can get a TGT for the ldap service on
the bound user's behalf.

It is strongly discouraged to modify the delegations that ship with
IPA, ipa-http-delegation and its targets ipa-cifs-delegation-targets and
ipa-ldap-delegation-targets. Incorrect changes can remove the ability
to delegate, causing the framework to stop functioning.

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

   A typical use case where overriding the PAC type is needed is NFS.
   Currently the related code in the Linux kernel can only handle Kerberos
   tickets up to a maximal size. Since the PAC data can become quite large it
   is recommended to set --pac-type=NONE for NFS services.

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

Set a user's password

If someone other than a user changes that user's password (e.g., Helpdesk
resets it) then the password will need to be changed the first time it
is used. This is so the end-user is the only one who knows the password.

The IPA password policy controls how often a password may be changed,
what strength requirements exist, and the length of the password history.

EXAMPLES:

 To reset your own password:
   ipa passwd

 To change another user's password:
   ipa passwd tuser1

Simulate use of Host-based access controls

HBAC rules control who can access what services on what hosts.
You can use HBAC to control which users or groups can access a service,
or group of services, on a target host.

Since applying HBAC rules implies use of a production environment,
this plugin aims to provide simulation of HBAC rules evaluation without
having access to the production environment.

 Test user coming to a service on a named host against
 existing enabled rules.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--sizelimit= ]

 --user, --host, and --service are mandatory, others are optional.

 If --rules is specified simulate enabling of the specified rules and test
 the login of the user using only these rules.

 If --enabled is specified, all enabled HBAC rules will be added to simulation

 If --disabled is specified, all disabled HBAC rules will be added to simulation

 If --nodetail is specified, do not return information about rules matched/not matched.

 If both --rules and --enabled are specified, apply simulation to --rules _and_
 all IPA enabled rules.

 If no --rules specified, simulation is run against all IPA enabled rules.
 By default there is a IPA-wide limit to number of entries fetched, you can change it
 with --sizelimit option.

EXAMPLES:

    1. Use all enabled HBAC rules in IPA database to simulate:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    2. Disable detailed summary of how rules were applied:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Access granted: True
    --------------------

    3. Test explicitly specified HBAC rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: myrule

    4. Use all enabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule --enabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    5. Test all disabled HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: new-rule

    6. Test all disabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule

    7. Test all (enabled and disabled) HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --enabled --disabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Not matched rules: new-rule
      Matched rules: allow_all


HBACTEST AND TRUSTED DOMAINS

When an external trusted domain is configured in IPA, HBAC rules are also applied
on users accessing IPA resources from the trusted domain. Trusted domain users and
groups (and their SIDs) can be then assigned to external groups which can be
members of POSIX groups in IPA which can be used in HBAC rules and thus allowing
access to resources protected by the HBAC system.

hbactest plugin is capable of testing access for both local IPA users and users
from the trusted domains, either by a fully qualified user name or by user SID.
Such user names need to have a trusted domain specified as a short name
(DOMAIN\Administrator) or with a user principal name (UPN), Administrator@ad.test.

Please note that hbactest executed with a trusted domain user as --user parameter
can be only run by members of "trust admins" group.

EXAMPLES:

    1. Test if a user from a trusted domain specified by its shortname matches any
       rule:

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    2. Test if a user from a trusted domain specified by its domain name matches
       any rule:

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    3. Test if a user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    4. Test if other user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

   5. Test if other user from a trusted domain specified by its shortname matches
       any rule:

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

Standard vault uses a secure mechanism to transport and
store the secret. The secret can only be retrieved by users
that have access to the vault.

Sudo (su "do") allows a system administrator to delegate authority to
give certain users (or groups of users) the ability to run some (or all)
commands as root or another user while providing an audit trail of the
commands and their arguments.

Sudo Commands

Commands used as building blocks for sudo

EXAMPLES:

 Create a new command
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Remove a command
   ipa sudocmd-del /usr/bin/less

Sudo Commands

Commands used as building blocks for sudo

EXAMPLES:

 Create a new command
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Remove a command
   ipa sudocmd-del /usr/bin/less


Sudo Rules

Symmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a password before transport.
The secret can only be retrieved using the same password.

The automember-rebuild command can be used to retroactively run automember rules
against existing entries, thus rebuilding their membership.

There are a number of allowed targets:
1. subtree: a DN; the permission applies to the subtree under this DN
2. target filter: an LDAP filter
3. target: DN with possible wildcards, specifies entries permission applies to

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

This code is an extension to the otptoken plugin and provides support for
reading/writing YubiKey tokens directly.

To enable the binddn run the following command to set the password:
LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -H ldap://ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

To verify that no server is disconnected in the topology of the given suffix,
use:
  ipa topologysuffix-verify $suffix

Topology

Management of a replication topology at domain level 1.

Topology

Management of a replication topology.

Requires minimum domain level 1.

USING STRUCTURED PER-TYPE OPTIONS

User vaults are vaults owned used by a particular user. Private
vaults are vaults owned the current user. Service vaults are
vaults owned by a service. Shared vaults are owned by the admin
but they can be used by other users or services.

Users

Manage user entries. All users are POSIX users.

IPA supports a wide range of username formats, but you need to be aware of any
restrictions that may apply to your particular environment. For example,
usernames that start with a digit or usernames that exceed a certain length
may cause problems for some UNIX systems.
Use 'ipa config-mod' to change the username format allowed by IPA tools.

Disabling a user account prevents that user from obtaining new Kerberos
credentials. It does not invalidate any credentials that have already
been issued.

Password management is not a part of this module. For more information
about this topic please see: ipa help passwd

Account lockout on password failure happens per IPA master. The user-status
command can be used to identify which master the user is locked out on.
It is on that master the administrator must unlock the user.

EXAMPLES:

 Add a new user:
   ipa user-add --first=Tim --last=User --password tuser1

 Find all users whose entries include the string "Tim":
   ipa user-find Tim

 Find all users with "Tim" as the first name:
   ipa user-find --first=Tim

 Disable a user account:
   ipa user-disable tuser1

 Enable a user account:
   ipa user-enable tuser1

 Delete a user:
   ipa user-del tuser1

Vaults

Verify replication topology for suffix.

Checks done:
  1. check if a topology is not disconnected. In other words if there are
     replication paths between all servers.
  2. check if servers don't have more than the recommended number of
     replication agreements

When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

YubiKey Tokens
  ipa <command> --help -8 '${cn}' Alternatively, following servers are capable of running this command: %(masters)s"%s" is not a valid permission type"%s" is not an object type${count} certificate(s) present${count} item(s) added${count} item(s) deleted${count} item(s) disabled${count} item(s) enabled${count} item(s) removed${count} option(s) removed${count} user(s) activated${count} user(s) restored${count} users(s) staged${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} applies to:${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:${primary_key} overrides:${product}, version: ${version}%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(container)s LDAP search did not return any result (search base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d CA ACL matched%(count)d CA ACLs matched%(count)d CA matched%(count)d CAs matched%(count)d DNS server matched%(count)d DNS servers matched%(count)d Group ID override matched%(count)d Group ID overrides matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d ID View matched%(count)d ID Views matched%(count)d ID override matched%(count)d ID overrides matched%(count)d IPA location matched%(count)d IPA locations matched%(count)d IPA server matched%(count)d IPA servers matched%(count)d OTP token matched%(count)d OTP tokens matched%(count)d RADIUS proxy server matched%(count)d RADIUS proxy servers matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d User ID override matched%(count)d User ID overrides matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d certificate matched%(count)d certificates matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d profile matched%(count)d profiles matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d segment matched%(count)d segments matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service delegation rule matched%(count)d service delegation rules matched%(count)d service delegation target matched%(count)d service delegation targets matched%(count)d service matched%(count)d services matched%(count)d topology suffix matched%(count)d topology suffixes matched%(count)d trust matched%(count)d trusts matched%(count)d user matched%(count)d users matched%(count)d variables%(count)d vault matched%(count)d vaults matched%(count)s server role matched%(count)s server roles matched%(cver)s client incompatible with %(sver)s server at '%(server)s'%(desc)s: %(info)s%(exception)s%(host)s failed%(host)s failed: %(error)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(label)s %(key)s cannot be deleted/modified: %(reason)s%(line)s%(name)s certificate is not valid%(obj)s default attribute %(attr)s would not be allowed!%(oname)s with name "%(pkey)s" already exists%(otype)s "%(oname)s" not found%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(task)s LDAP task timeout, Task DN: '%(task_dn)s'%(type)s category cannot be set to 'all' while there are allowed %(objects)s%(user)s is not a POSIX user%(value)s%i CA added.%i CA removed.%i CAs added.%i CAs removed.%i host or hostgroup added.%i host or hostgroup removed.%i hosts or hostgroups added.%i hosts or hostgroups removed.%i profile added.%i profile removed.%i profiles added.%i profiles removed.%i service added.%i service removed.%i services added.%i services removed.%i user or group added.%i user or group removed.%i users or groups added.%i users or groups removed.%s%s Record%s is not a valid attribute.%s record%s to add%s to exclude from migration%s to remove%s: group not found%s: user is already preserved'${port}' is not a valid port'%(command)s' is deprecated. %(additional_info)s'%(entry)s' doesn't have a certificate.'%(name)s' is required'%(option)s' option is deprecated. %(additional_info)s'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record(deprecated)(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reason<ol> <li>Create a certificate database or use an existing one. To create a new database:<br/> <code># certutil -N -d &lt;database path&gt;</code> </li> <li>Create a CSR with subject <em>CN=&lt;${cn_name}&gt;,O=&lt;realm&gt;</em>, for example:<br/> <code># certutil -R -d &lt;database path&gt; -a -g &lt;key size&gt; -s 'CN=${cn},O=${realm}'${san}</code> </li> <li> Copy and paste the CSR (from <em>-----BEGIN NEW CERTIFICATE REQUEST-----</em> to <em>-----END NEW CERTIFICATE REQUEST-----</em>) into the text area below: </li> </ol><p>Implicit method (password) will be used if no method is chosen.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p><p>Per-user setting, overwrites the global setting if any option is checked.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p>A Create reverseA IP AddressA SYSTEM permission may not be modified or removedA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this RADIUS proxy serverA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA list of SELinux users delimited by $ expectedA managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA recordA space separated list of attributes which are removed from replication updates.A string searched in all relevant object attributesA6 Record dataA6 recordAA CompromiseAAAA Create reverseAAAA IP AddressAAAA recordACIACI nameACI of permission %s was not foundACI prefixACI prefix is requiredACI with name "%s" not foundACIsACL nameAD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issueAD Trust setupAD domain controllerAD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for exampleAFSDB HostnameAFSDB SubtypeAFSDB recordAPI BrowserAPI Version number was not sent, forward compatibility not guaranteed. Assuming server's API version, %(server_version)sAPL recordAboutAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActivateActivate a stage user "%(value)s"Activate a stage user.Active Directory domainActive Directory domain administratorActive Directory domain administrator's passwordActive Directory domain rangeActive Directory domain with POSIX attributesActive Directory trust range with POSIX attributesActive Directory winsyncActive directory domain administrator's passwordActive usersActive zoneAddAdd CAs to a CA ACL.Add Custom AttributeAdd Custom Authentication IndicatorAdd Kerberos Principal AliasAdd ManyAdd a manager to the stage user entryAdd a manager to the user entryAdd a new DNS server.Add a new Group ID override.Add a new HBAC service group.Add a new HBAC service.Add a new ID View.Add a new ID override.Add a new IPA location.Add a new IPA new service.Add a new IPA service.Add a new OTP token.Add a new RADIUS proxy server.Add a new User ID override.Add a new YubiKey OTP token.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new segment.Add a new self-service permission.Add a new stage user.Add a new topology suffix to be managed.Add a new user.Add a permission for per-forward zone access delegation.Add a permission for per-zone access delegation.Add a system permission without an ACI (internal command)Add an attribute/value pair. Format is attr=value. The attribute
must be part of the schema.Add an automember rule.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd certificates to host entryAdd commands and sudo command groups affected by Sudo Rule.Add conditions to an automember rule.Add custom valueAdd domainAdd forward record for nameserver located in the created zoneAdd group for Sudo to execute as.Add hosts and hostgroups affected by Sudo Rule.Add hosts that can manage this host.Add hosts that can manage this service.Add member to a named service delegation rule.Add member to a named service delegation target.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a privilege.Add members to a role.Add members to a vault.Add members to an HBAC service group.Add migrated users without a group to a default group (default: true)Add new DNS resource record.Add new certificates to a serviceAdd new principal alias to a serviceAdd new principal alias to host entryAdd one or more certificates to the idoverrideuser entryAdd one or more certificates to the user entryAdd owners to a vault container.Add owners to a vault.Add permissions to a privilege.Add principalAdd privileges to a role.Add profiles to a CA ACL.Add services to a CA ACL.Add services to an HBAC rule.Add target hosts and hostgroups to a CA ACL.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add target to a named service delegation rule.Add target to a named service delegation.Add the host to DNS with this IP addressAdd to default groupAdd users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to a CA ACL.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Add users that can manage this token.Added %(map)sAdded %(src)s to %(dst)sAdded Active Directory trust for realm "%(value)s"Added CA ACL "%(value)s"Added Group ID override "%(value)s"Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID View "%(value)s"Added ID override "%(value)s"Added ID range "%(value)s"Added IPA location "%(value)s"Added OTP token "%(value)s"Added RADIUS proxy server "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added User ID override "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added certificates to host "%(value)s"Added certificates to idoverrideuser "%(value)s"Added certificates to service principal "%(value)s"Added certificates to user "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added new DNS server "%(value)s"Added new aliases to host "%(value)s"Added new aliases to the service principal "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added segment "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added service delegation rule "%(value)s"Added service delegation target "%(value)s"Added stage user "%(value)s"Added system permission "%(value)s"Added topology suffix "%(value)s"Added user "%(value)s"Added vault "%(value)s"Additional instructions:Address not valid, can't redirectAdministrative accountAdministrator e-mail addressAdvertised by serversAffiliation ChangedAgreements deletedAlgorithmAllAll attributes to which the permission appliesAll commands should at least have a resultAll target filters, including those implied by type and memberofAllowAllow PTR syncAllow access from the trusted domainAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow falling back to AD DC LDAP when resolving AD trusted objects. For two-way trusts only.Allow in-line DNSSEC signingAllow inline DNSSEC signing of records in the zoneAllow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllow use of IPA resources by the domain of the trustAllow users, groups, hosts or host groups to create a keytab of this host.Allow users, groups, hosts or host groups to create a keytab of this service.Allow users, groups, hosts or host groups to retrieve a keytab of this host.Allow users, groups, hosts or host groups to retrieve a keytab of this service.Allowed TargetAllowed to ImpersonateAllowed to create keytabAllowed to retrieve keytabAllows migration despite the usage of compat pluginAlready registeredAlternative UPN suffixesAltitudeAlways askAmbiguous search, user domain was not specifiedAn IPA master host cannot be deleted or disabledAn error has occurred (${error})An error occurred while fetching dns zones.An id range already exists for this trust. You should either delete the old range, or exclude --base-id/--range-size options from the command.An interval between regular polls of the name server for new DNS zonesAnchor '%(anchor)s' could not be resolved.Anchor to overrideAny CAAny CommandAny GroupAny HostAny ProfileAny ServiceAnyoneApplied to hostsApplies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overridden.Applies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overriden.ApplyApply ACI to your own entry (self)Apply to host groupsApply to hostsArbitrary string identifying the segmentArchive data into a vault.Archived data into vault "%(value)s"Are you sure you want to ${action} the user?<br/>The change will take effect immediately.Are you sure you want to activate ${object}?Are you sure you want to activate selected users?Are you sure you want to add permission for DNS Zone ${object}?Are you sure you want to delete ${object}?Are you sure you want to delete selected entries?Are you sure you want to disable ${object}?Are you sure you want to disable selected entries?Are you sure you want to enable ${object}?Are you sure you want to enable selected entries?Are you sure you want to proceed with the action?Are you sure you want to remove permission for DNS Zone ${object}?Are you sure you want to restore ${object}?Are you sure you want to restore selected users?Are you sure you want to stage ${object}?Are you sure you want to stage selected users?Are you sure you want to un-apply ID view from selected entries?Are you sure you want to unlock user ${object}?Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?As WhomAsks for a non-random password to use for the principalAssigned ID ViewAssigned manager of the token (default: self)Assigned user of the token (default: self)At least the domain or IP address should be specifiedAttributeAttribute KeyAttribute breakdownAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAttributes for total updateAttributes that are not replicated to a consumer server during a fractional update. E.g., `(objectclass=*) $ EXCLUDE accountlockout memberofAttributes that are not replicated to a consumer server during a total update. E.g. (objectclass=*) $ EXCLUDE accountlockoutAttributes to be ignored for group entries in DSAttributes to be ignored for user entries in DSAttributes to stripAttributes to which the delegation appliesAttributes to which the permission appliesAttributes to which the permission applies by defaultAttributes to which the permission applies.AuditAuthenticationAuthentication IndicatorsAuthentication indicatorAuthentication indicatorsAuthoritative nameserverAuthoritative nameserver changeAuthoritative nameserver domain nameAuthority IDAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!AutogeneratedAutomatic update of DNS system records failed. Please re-run update of system records manually to get list of missing records.AutomemberAutomember RuleAutomember rebuild membership task completedAutomember rebuild membership task startedAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad or unsupported salt type.
Bad search filterBad search filter %(info)sBase DNBase DN on remote LDAP serverBase IDBase for certificate subjects (OU=Test,O=Example)Base-64 encoded host certificateBase-64 encoded server certificateBase-64 encoded service certificateBase-64 encoded user certificateBase64 decoding failed: %(reason)sBinary data to archiveBind DNBind password already provided (-w).
Bind password required when using a bind DN (-w or -W).
Bind rule typeBrief description of this profileCACA '%s' is disabledCA ACLCA ACLsCA CompromiseCA categoryCA category cannot be set to 'all' while there are allowed CAsCA category the ACL applies toCA certificateCA is not configuredCAsCAs cannot be added when CA category='all'CERT AlgorithmCERT Certificate TypeCERT Certificate/CRLCERT Key TagCERT recordCIFS credentials objectCIFS server %(host)s denied your credentialsCIFS server denied your credentialsCLI metavarCLI nameCNAME HostnameCNAME recordCNAME record is not allowed to coexist with any other record (RFC 1034, section 3.6.2)CSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot decode file '%(filename)s': %(exc)sCannot establish LSA connection to %(host)s. Is CIFS server running?Cannot establish a trust to AD deployed in the same domain as IPA. Such setup is not supported.Cannot find specified domain or server nameCannot perform SID validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform external member validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform join operation without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot perform the selected command without Samba 4 instance configured on this machine. Make sure you have run ipa-adtrust-install on this server.Cannot perform the selected command without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA.Cannot read file '%(filename)s': %(exc)sCannot resolve KDC for requested realmCannot retrieve trusted domain GC listCannot search in trusted domains without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot specify both SASL mechanism and bind DN simultaneously.
Cannot store permission ACI to %sCannot use %(old_name)s with %(new_name)sCar LicenseCertificateCertificate Association DataCertificate AuthoritiesCertificate AuthorityCertificate HoldCertificate Hold RemovedCertificate ProfileCertificate Profile to useCertificate ProfilesCertificate RevokedCertificate Subject baseCertificate TypeCertificate UsageCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate in base64 or PEM formatCertificate operation cannot be completed: %(error)sCertificate profiles cannot be renamedCertificate requestedCertificate with serial number %(serial)s issued by CA '%(ca)s' not foundCertificate(s) stored in file '%(file)s'Certificate/CRLCertificatesCessation of OperationChange current Domain Level.Change passwordChange to POSIX groupChange to external groupChanged password for "%(value)s"Character classesCheck DNSCheck connection to remote IPA server.Check the status of a certificate signing request.Checking if record exists.Checks if any of the servers has the CA service enabled.CityClassClears ID View from specified hosts or current members of specified hostgroups.Click to ${action}Client credentials may be delegated to the serviceClient is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.Clock intervalClock offsetCloseClosing keytab failed
Collapse AllComma separated encryption types listCommand '%(name)s' has been deprecatedCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfigure your tokenConfigure your token by scanning the QR code below. Click on the QR code if you see this on the device you want to configure.Configured administrative server limit exceededConfigured size limit exceededConfigured time limit exceededConfirm (password)ConfirmationConnectivityConsecutive failures before lockoutContact SettingsContact this specific KDC ServerContinueContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Convert on serverCould not get %(name)s interactivelyCould not read UPG Definition originfilter. Check your permissions.CounterCounter-based (HOTP)Create Stage user in from a delete userCreate a CA.Create a new CA ACL.Create a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create a new service delegation rule.Create a new service delegation target.Create a new vault.Create as a non-POSIX groupCreate dns recordCreate new ACI.Create new DNS forward zone.Create new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Created CA "%(value)s"Creating record.Credentials cache permissions incorrectCross-realm trusts are not configured. Make sure you have run ipa-adtrust-install on the IPA server firstCurrent DNS record contents:
Current PasswordCurrent domain level:Current password is requiredCustom valueDHCID recordDLV AlgorithmDLV DigestDLV Digest TypeDLV Key TagDLV recordDN commonName does not match user's loginDN emailAddress does not match any of user's email addressesDN of container for groups in DS relative to base DNDN of container for users in DS relative to base DNDN of the started taskDN to bind as if not using kerberosDNAME TargetDNAME recordDNSDNS Forward ZoneDNS Forward ZonesDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ServerDNS Server nameDNS ServersDNS ZoneDNS Zone SettingsDNS ZonesDNS check failed: Expected {%(expected)s} got {%(got)s}DNS classDNS configuration optionsDNS forward zoneDNS forward zonesDNS forwarderDNS forwarder semantics changed since IPA 4.0.
You may want to use forward zones (dnsforwardzone-*) instead.
For more details read the docs.DNS is not configuredDNS label cannot be longer than 63 charactersDNS label cannot be longer that 63 charactersDNS record was deleted because it contained no data.DNS record(s) of host %(host)s could not be removed. (%(reason)s)DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone %(revzone)s for IP address %(addr)s is not managed by this serverDNS serverDNS server %(server)s does not support DNSSEC: %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s does not support EDNS0 (RFC 6891): %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s: %(error)s.DNS serversDNS zoneDNS zone %(zone)s not foundDNS zone for each realmdomain must contain SOA or NS records. No records found for: %sDNS zone root record cannot be renamedDNS zonesDNSKEY recordDNSSEC support is experimental.
%(additional_info)sDNSSEC validation failed: %(error)s.
Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.DS AlgorithmDS DigestDS Digest TypeDS Key TagDS recordDS record must not be in zone apex (RFC 4035 section 2.4)DS record requires to coexist with an NS record (RFC 4592 section 4.6, RFC 4035 section 2.4)DataDebugging outputDefaultDefault (fallback) GroupDefault (fallback) group for entries to landDefault PAC typesDefault SELinux userDefault SELinux user when no match is found in SELinux map ruleDefault Trust View cannot be applied on hostsDefault Trust View cannot contain IPA usersDefault attributesDefault e-mail domainDefault fromDefault group for entries to landDefault group for new usersDefault group for new users is not POSIXDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default host groupDefault location of home directoriesDefault shellDefault shell for new usersDefault ticket policy could not be readDefault types of PAC supported for servicesDefault types of supported user authenticationDefault user authentication typesDefault user groupDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDegrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete ACI.Delete DNS forward zone.Delete DNS resource record.Delete DNS zone (SOA record).Delete IPA server.Delete Key, UnprovisionDelete ServerDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a CA ACL.Delete a Certificate Profile.Delete a DNS serverDelete a RADIUS proxy server.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a segment.Delete a self-service permission.Delete a stage user.Delete a topology suffix.Delete a trust.Delete a userDelete a user, keeping the entry available for future useDelete a user.Delete a vault container.Delete a vault.Delete all associated recordsDelete all?Delete an Group ID override.Delete an HBAC rule.Delete an HBAC service group.Delete an ID View.Delete an ID override.Delete an ID range.Delete an IPA location.Delete an IPA service.Delete an OTP token.Delete an User ID override.Delete an attribute/value pair. The option will be evaluated
last, after all sets and adds.Delete an automember rule.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete domainDelete group.Delete modeDelete service delegation target.Delete service delegation.Deleted ACI "%(value)s"Deleted CA "%(value)s"Deleted CA ACL "%(value)s"Deleted DNS forward zone "%(value)s"Deleted DNS server "%(value)s"Deleted DNS zone "%(value)s"Deleted Group ID override "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID View "%(value)s"Deleted ID override "%(value)s"Deleted ID range "%(value)s"Deleted IPA location "%(value)s"Deleted IPA server "%(value)s"Deleted OTP token "%(value)s"Deleted RADIUS proxy server "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted User ID override "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted profile "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted segment "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted service delegation "%(value)s"Deleted service delegation target "%(value)s"Deleted stage user "%(value)s"Deleted topology suffix "%(value)s"Deleted trust "%(value)s"Deleted user "%(value)s"Deleted vault "%(value)s"Deleted vault containerDeleting a managed group is not allowed. It must be detached first.Deleting this server is not allowed as it would leave your installation without a CA.Deleting this server will leave your installation without a DNS.DenyDepartment NumberDeprecated optionsDeprecated; use %sDescriptionDescription of the purpose of the CADetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"DetectDetermine whether Schema Compatibility plugin is configured to serve trusted domain users and groupsDetermine whether ipa-adtrust-install has been run on this systemDetermine whether ipa-adtrust-install has been run with sidgen taskDict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping variable name to valueDigestDigest TypeDigitsDirectDirect MembershipDirection LatitudeDirection LongitudeDirection of replication between left and right replication nodeDisableDisable DNS Forward Zone.Disable DNS Zone.Disable a CA ACL.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable per-user overrideDisable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.Disable tokenDisable use of IPA resources by the domain of the trustDisabledDisabled CA ACL "%(value)s"Disabled DNS forward zone "%(value)s"Disabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled host "%(value)s"Disabled service "%(value)s"Disabled trust domain "%(value)s"Disabled user account "%(value)s"Disallow users, groups, hosts or host groups to create a keytab of this host.Disallow users, groups, hosts or host groups to create a keytab of this service.Disallow users, groups, hosts or host groups to retrieve a keytab of this host.Disallow users, groups, hosts or host groups to retrieve a keytab of this service.Display DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display a segment.Display a single ACI given an ACI name.Display an automount key.Display an automount location.Display an automount map.Display configuration of a DNS server.Display effective policy for a specific userDisplay information about a DNS forward zone.Display information about a DNS zone (SOA record).Display information about a RADIUS proxy server.Display information about a command output.Display information about a command parameter.Display information about a command.Display information about a delegation.Display information about a help topic.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a named service delegation rule.Display information about a named service delegation target.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a stage user.Display information about a trust.Display information about a user.Display information about a vault container.Display information about a vault.Display information about an Group ID override.Display information about an HBAC service group.Display information about an HBAC service.Display information about an ID View.Display information about an ID override.Display information about an IPA location.Display information about an IPA service.Display information about an OTP token.Display information about an User ID override.Display information about an automember rule.Display information about password policy.Display information about the default (fallback) automember groups.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the list of realm domains.Display the properties of a CA ACL.Display the properties of a CA.Display the properties of a Certificate Profile.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDo not display QR codeDo you also want to perform DNS check?Do you want to check if new authoritative nameserver address is in DNSDo you want to remove kerberos alias ${alias}?Do you want to remove the certificate hold?Do you want to revoke this certificate? Select a reason from the pull-down list.Do you want to update system DNS records?DocumentationDogtag Authority IDDomainDomain '%(domain)s' is not a root domain for forest '%(forest)s'Domain GUIDDomain LevelDomain Level cannot be lowered.Domain Level cannot be raised to {0}, server {1} does not support it.Domain NetBIOS nameDomain SIDDomain SID of the trusted domainDomain Security IdentifierDomain controller for the Active Directory domain (optional)Domain enabledDomain nameDon't create user private groupDon't wait for rebuilding membershipDownloadDownload certificate as PEM formatted file.Dry runDuplicate keys skipped:Duplicate maps skipped:Dynamic updateEditEdit ${entity}Effective attributesEmail addressEmployee InformationEmployee NumberEmployee TypeEnableEnable DNS Forward Zone.Enable DNS Zone.Enable a CA ACL.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.Enable tokenEnabledEnabled CA ACL "%(value)s"Enabled DNS forward zone "%(value)s"Enabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled server rolesEnabled trust domain "%(value)s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed!
EnrolledEnrollmentEnrollment failed. %s
Enter %(label)s again to verify: Enter trusted group name.Enter trusted or IPA group name. Note: search doesn't list groups from trusted domains.Enter trusted or IPA user login. Note: search doesn't list users from trusted domains.Enter trusted user login.EntryEntry %s does not existEntry %s not foundEntry RDN is not 'uid'Entry has no '%(attribute)s'Enumerate all the hosts the view applies to.ErrorError changing account statusError getting default Kerberos realm: %s.
Error obtaining initial credentials: %s.
Error parsing "%1$s": %2$s.
Error resolving keytab: %s.
Error storing creds in credential cache: %s.
Establish bi-directional trust. By default trust is inbound one-way only.Establish external trust to a domain in another forest. The trust is not transitive beyond the domain.Establish usingEstablished and verifiedExchangerExclude fromExcluded attributesExclusiveExclusive RegexExpand AllExpires OnExport plugin meta-data for the webUI.ExpressionExternalExternal Group the commands can run as (sudorule-find only)External Groups of RunAs UsersExternal Groups of users that the command can run asExternal UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExternal trustExtra hashes to generate in password plug-inExtra target filterFailed CAsFailed RunAsFailed RunAsGroupFailed allowed to create keytabFailed allowed to retrieve keytabFailed hosts/hostgroupsFailed loginsFailed managedbyFailed membersFailed ownersFailed profilesFailed service/service groupsFailed source hosts/hostgroupsFailed targetsFailed to addFailed to add key to the keytab
Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to bind to server!
Failed to clean memberPrincipal %(principal)s from s4u2proxy entry %(dn)s: %(err)sFailed to clean up DNA hostname entries for %(master)s: %(err)sFailed to cleanup %(hostname)s DNS entries: %(err)sFailed to cleanup server principals/keys: %(err)sFailed to close the keytab
Failed to create control!
Failed to create key material
Failed to create key!
Failed to create random key!
Failed to decode control reply!
Failed to get keytab
Failed to get keytab!
Failed to get result: %s
Failed to open Keytab
Failed to open config file %s
Failed to open keytab
Failed to open keytab '%1$s': %2$s
Failed to parse config file %s
Failed to parse extended result: %s
Failed to parse result: %s
Failed to removeFailed to remove server %(master)s from server list: %(err)sFailed to retrieve any keysFailed to retrieve encryption type %1$s (#%2$d)
Failed to retrieve encryption type type #%d
Failed users/groupsFailure decoding Certificate Signing Request: %sFailure reset intervalFallback primary groupFallback to AD DC LDAPFalseFalse if migration fails because the compatibility plug-in is enabled.False if migration mode was disabled.Fax NumberFetch domainsFetching DNS zones.Fetching domains from trusted forest failed. See details in the error_logFile %(file)s not foundFile containing data to archiveFile containing profile configurationFile containing the new vault passwordFile containing the new vault public keyFile containing the old vault passwordFile containing the old vault private keyFile containing the vault passwordFile containing the vault private keyFile containing the vault public keyFile to load the certificate from.File to store retrieved dataFile to store the certificate in.Filename is emptyFilename of a raw profile. The XML format is not supported.FilterFilter available ${other_entity}FindFind a server role on a server(s)FingerprintFingerprint (SHA1)Fingerprint TypeFingerprintsFirstFirst CodeFirst OTPFirst Posix ID of the rangeFirst Posix ID of the range reserved for the trusted domainFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst date/time the token can be usedFirst nameFlagsFollowing segments were not deleted:ForceForce DNS zone creation even if it will overlap with an existing zone.Force DNS zone creation even if nameserver is not resolvable.Force DNS zone creation even if nameserver is not resolvable. (Deprecated)Force UpdateForce adding domain even if not in DNSForce nameserver change even if nameserver not in DNSForce server removalForce server removal even if it does not existForce the host join. Rejoin even if already joined.Forcing removal of %(hostname)sFormat errorForward firstForward onlyForward policyForward policy is defined for it in IPA DNS, perhaps forwarder points to incorrect host?Forward to server instead of running locallyForward zones onlyForwardersForwarding disabledForwarding policy conflicts with some automatic empty zones. Queries for zones specified by RFC 6303 will ignore forwarding and recursion and always result in NXDOMAIN answers. To override this behavior use forward policy 'only'.Found '%(value)s'Full nameFully Qualified Host NameGECOSGIDGID (use this option to set it manually)GeneralGenerate OTPGenerate a random password to be used in bulk enrollmentGenerate a random user passwordGenerate automount files for a specific location.Generated OTPGetGet CertificateGlobal DNS configuration is emptyGlobal Trust ConfigurationGlobal forwardersGlobal forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Global forwarding policy. Set to "none" to disable any configured global forwarders.Granted rightsGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup ID overrideGroup ID overridesGroup OptionsGroup SettingsGroup TypeGroup containerGroup descriptionGroup nameGroup object classGroup object overridesGroup search fieldsGroup to apply ACI toGroup to overrideGrouping TypeGrouping to which the rule appliesGroupsGroups allowed to create keytabGroups allowed to retrieve keytabGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC service groups to addHBAC service groups to removeHBAC servicesHBAC services to addHBAC services to removeHIP recordHOTP Authentication WindowHOTP Synchronization WindowHOTP authentication skip-aheadHOTP synchronization skip-aheadHTTP ErrorHardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Help topicHideHide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost '%(hostname)s' does not have corresponding DNS A/AAAA recordHost CertificateHost GroupHost Group SettingsHost GroupsHost Groups allowed to create keytabHost Groups allowed to retrieve keytabHost MasksHost NameHost SettingsHost categoryHost category (semantics placed on this attribute are for local interpretation)Host category the ACL applies toHost category the rule applies toHost group ruleHost group rulesHost hardware platform (e.g. "Lenovo T61")Host is already joined.
Host is not supportedHost locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host unprovisionedHost-based access control commandsHost-groupHostgroups to whose hosts apply the ID View to. Please note that view is not applied automatically to any hosts added to the hostgroup after running the idview-apply command.Hostgroups whose hosts should have ID Views cleared. Note that view is not cleared automatically from any host added to the hostgroup after running idview-unapply command.HostnameHostname (FQDN)Hostname of this serverHostsHosts allowed to create keytabHosts allowed to retrieve keytabHosts or hostgroups that ID View could not be cleared from.Hosts or hostgroups that this ID View could not be applied to.Hosts that ID View was cleared from.Hosts that this ID View was applied to.Hosts the view applies toHosts to apply the ID View toHosts to clear (any) ID View from.How long should negative responses be cachedID RangeID RangesID ViewID View NameID View already appliedID View applied to %i host.ID View applied to %i hosts.ID View cleared from %i host.ID View cleared from %i hosts.ID ViewsID overrideID overrides cannot be renamedID range for the trusted domain already exists, but it has a different type. Please remove the old range manually, or do not enforce type via --range-type option.ID range type, one of ipa-ad-trust-posix, ipa-ad-trust, ipa-localID range with the same name but different domain SID already exists. The ID range for the new trusted domain must be created manually.IP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP network to create reverse zone name fromIPA AD trust agentsIPA AD trust controllersIPA CA cannot be deletedIPA CA renewal masterIPA CA serversIPA DNS recordsIPA DNS serversIPA DNS versionIPA DNSSec key masterIPA ErrorIPA KRA serversIPA LocationIPA Location descriptionIPA LocationsIPA Range type must be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is specifiedIPA Range type must not be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is not specified.IPA ServerIPA Server RoleIPA Server RolesIPA Server to useIPA ServersIPA does not manage the zone %(zone)s, please add records to your DNS server manuallyIPA location nameIPA location recordsIPA master denied trust validation requests from AD DC %(count)d times. Most likely AD DC contacted a replica that has no trust information replicated yet. Additionally, please check that AD DNS is able to resolve %(records)s SRV records to the correct IPA server.IPA mastersIPA namingContext not found
IPA objectIPA role nameIPA server configured as DNSSec key masterIPA server domain cannot be deletedIPA server domain cannot be omittedIPA server hostnameIPA server role nameIPA servers configured as AD trust agentsIPA servers configured as AD trust controllersIPA servers configured as certificate authorityIPA servers configured as key recovery agentsIPA trustIPA unique IDIPSECKEY recordIdentityIdentity SettingsIf no CAs are specified, requests to the default CA are allowed.If the problem persists please contact the system administrator.Ignore check for last remaining CA or DNS serverIgnore compat pluginIgnore group attributeIgnore group object classIgnore topology connectivity problems after removalIgnore topology errorsIgnore user attributeIgnore user object classIgnored %(src)s to %(dst)sIgnored keys:Ignoring these warnings and proceeding with removalIgnoring topology connectivity errors.Import a Certificate Profile.Import automount files for a specific location.Imported keys:Imported maps:Imported profile "%(value)s"Include DisabledInclude EnabledInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]Include inIncluded attributesInclusiveInclusive RegexIncompatible options provided (-r and -P)
IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of host-groupIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInherited from server configurationInitialize left nodeInitialize right nodeInitialsInput data specified multiple timesInput filenameInput form contains invalid or missing values.Insufficient 'add' privilege for entry '%s'.Insufficient 'write' privilege to the 'krbLastPwdChange' attribute of entry '%s'.Insufficient 'write' privilege to the 'userCertificate' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to create a certificate with subject alt name '%s'.Internal ErrorInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid SASL bind mechanism
Invalid Service Principal Name
Invalid credentialsInvalid format. Should be name=valueInvalid number of parts!Invalid or unsupported type. Allowed values are: %sInvalid or unsupported vault public key: %sInvalid vault typeIs zone active?IssueIssued ByIssued OnIssued ToIssued on fromIssued on from this date (YYYY-mm-dd)Issued on toIssued on to this date (YYYY-mm-dd)IssuerIssuer DNIssuer Distinguished NameIssuing CAIt is used only for setting the SOA MNAME attribute.Job TitleJoin an IPA domainKEY recordKRA service is not enabledKX ExchangerKX PreferenceKX recordKerberos Credential Cache not found. Do you have a Kerberos Ticket?
Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache?
Kerberos context initialization failed
Kerberos context initialization failed: %1$s (%2$d)
Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal expirationKerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s
LDAP DNLDAP SASL bind mechanism if no bindd/bindpwLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLDAP search scope for users and groups: base, onelevel, or subtree. Defaults to onelevelLDAP suffix to be managedLDAP timeoutLOC AltitudeLOC Degrees LatitudeLOC Degrees LongitudeLOC Direction LatitudeLOC Direction LongitudeLOC Horizontal PrecisionLOC Minutes LatitudeLOC Minutes LongitudeLOC Seconds LatitudeLOC Seconds LongitudeLOC SizeLOC Vertical PrecisionLOC recordLabelLastLast date/time the token can be usedLast failed authenticationLast nameLast successful authenticationLeading and trailing spaces are not allowedLeft nodeLeft replication node - an IPA serverLegal LDAP filter (e.g. ou=Engineering)Length of TOTP token code validityLevelList all service vaultsList all user vaultsList of IPA masters configured as DNS serversList of all IPA mastersList of deletions that failedList of enabled rolesList of servers which advertise the given locationList of trust domains successfully refreshed. Use trustdomain-find command to list them.Lists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Load CA certificate of LDAP server from FILELocal domainLocalityLocationLocation nameLocation of the ACILockout durationLogged In AsLogin shellMAC addressMS-PACMX ExchangerMX PreferenceMX recordMailing AddressMalformed DNMalformed principalManage password policy for specific groupManage ticket policy for specific userManaged LDAP suffix DNManaged byManaged suffixManaged suffixesManaged topology requires minimal domain level ${domainlevel}Managedby permissionManagerManagingMapMap TypeMark the token as disabled (default: false)Master fileMatchedMatched rulesMatching TypeMax domain levelMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (-1 or 0 is unlimited)Maximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum domain levelMaximum number of agreements per replicaMaximum number of certs returnedMaximum number of entries returnedMaximum number of entries returned (0 is unlimited)Maximum number of records to search (-1 is unlimited)Maximum number of records to search (-1 or 0 is unlimited)Maximum number of rules to process when no --rules is specifiedMaximum password lifetime (in days)Maximum renewable age (seconds)Maximum serial numberMaximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember GroupMember HBAC serviceMember HBAC service groupsMember HostMember HostgroupMember Sudo commandsMember UserMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of HBAC ruleMember of Sudo ruleMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember principalsMember service groupsMember servicesMember user groupMember usersMembers of a trusted domain in DOM\name or name@domain formMembers that could not be addedMembers that could not be removedMigrate users and groups from DS to IPA.Migration mode is disabled.
Use 'ipa config-mod --enable-migration=TRUE' to enable it.Migration of LDAP search reference is not supported.Min domain levelMin lengthMin lifetime (hours)Minimum domain levelMinimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum serial numberMinimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing new vault public keyMissing or invalid HTTP Referer, %(referer)sMissing reply control list!
Missing reply control!
Missing values: Missing vault private keyMissing vault public keyMobile Telephone NumberModelModifiedModified "%(value)s" trust configurationModified ACI "%(value)s"Modified CA "%(value)s"Modified CA ACL "%(value)s"Modified Certificate Profile "%(value)s"Modified DNS server "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified IPA location "%(value)s"Modified IPA server "%(value)s"Modified OTP token "%(value)s"Modified RADIUS proxy server "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified an Group ID override "%(value)s"Modified an ID View "%(value)s"Modified an ID override "%(value)s"Modified an User ID override "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified segment "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified stage user "%(value)s"Modified topology suffix "%(value)s"Modified trust "%(value)s" (change will be effective in 60 seconds)Modified user "%(value)s"Modified vault "%(value)s"Modified: key not setModify %(name)s '%(value)s'?Modify ACI.Modify CA configuration.Modify Certificate Profile configuration.Modify DNS forward zone.Modify DNS server configurationModify DNS zone (SOA record).Modify ID range.Modify Kerberos ticket policy.Modify OTP configuration options.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a CA ACL.Modify a DNS resource record.Modify a OTP token.Modify a RADIUS proxy server.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a segment.Modify a self-service permission.Modify a stage user.Modify a topology suffix.Modify a user.Modify a vault.Modify an Group ID override.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an ID View.Modify an ID override.Modify an User ID override.Modify an automember rule.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify global trust configuration.Modify information about a host.Modify information about an IPA location.Modify information about an IPA server.Modify realm domains.Modify trustdomain of the trustMore than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMove deleted user into staged areaMulti-valueMust be a decimal numberMust be an UTC date/time value (e.g., "2014-01-20 17:58:01Z")Must be an integerNAPTR FlagsNAPTR OrderNAPTR PreferenceNAPTR Regular ExpressionNAPTR ReplacementNAPTR ServiceNAPTR recordNIS domain nameNONE value cannot be combined with other PAC typesNS HostnameNS recordNS record is not allowed to coexist with an %(type)s record except when located in a zone root record (RFC 2181, section 6.1)NS record(s) can be edited in zone apex - '@'. NSEC recordNSEC3 recordNSEC3PARAM recordNSEC3PARAM record for zone in format: hash_algorithm flags iterations saltNameName for referencing the CAName of command to exportName of host-groupName of issuing CAName of method to exportName of object to exportName of parent automount map (default: auto.master).Name of the trusted domainNameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver for reverse zone cannot be a relative DNS nameNeither --del-all nor options to delete a specific record provided.
Command help may be consulted for all supported record types.Nested Methods to executeNetBIOS nameNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNetwork ServicesNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew kerberos principal aliasNew mount informationNew password is requiredNew public key specified multiple timesNew vault passwordNew: key not setNew: key setNextNo A, AAAA, SSHFP or PTR records found.No Common Name was found in subject of request.No DNS servers in IPA location %(location)s. Without DNS servers location is not working as expected.No DNSSEC key master is installed. DNSSEC zone signing will not work until the DNSSEC key master is installed.No Valid CertificateNo archived data.No credentials cache foundNo default (fallback) group setNo entries.No file to readNo free YubiKey slot!No keys accepted by KDC
No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain.
No private groupNo responseNo such attribute on this entryNo such virtual commandNo system preferred enctypes ?!
No values for %sNo waitNo write permissions on keytab file '%s'
Non-Active Directory domainNon-existent or invalid rulesNon-transitive external trust to a domain in another Active Directory forestNonceNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot a valid network address (examples: 2001:db8::/64, 192.0.2.0/24)Not allowed on non-leaf entryNot enough arguments specified to perform trust setupNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of digits each token code will haveNumber of entries returnedNumber of hosts that had a ID View was unset:Number of hosts the ID View was applied to:Number of members addedNumber of members removedNumber of owners addedNumber of owners removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of seconds outbound LDAP operations waits for a response from the remote replica before timing out and failingNumber of variables returned (<= total)OKOTPOTP ConfigurationOTP TokenOTP Token SettingsOTP TokensOTP configuration optionsOTP setOTP tokenOTP tokensObjectclasses to be ignored for group entries in DSObjectclasses to be ignored for user entries in DSObjectclasses used to search for group entries in DSObjectclasses used to search for user entries in DSOld vault passwordOld vault private keyOne Time PasswordOne of group, permission or self is requiredOne time password commandsOnly one value is allowedOnly one zone type is allowed per zone nameOnly the ipa-ad-trust and ipa-ad-trust-posix are allowed values for --range-type when adding an AD trust.Operating System and version of the host (e.g. Fedora 9)Operating systemOperation failed: %s
Operations ErrorOption addedOption groupOption rid-base must not be used when IPA range type is ipa-ad-trust-posixOptional DN subtree from where an entry can be moved (must be in the subtree, but may not yet exist)Optional DN subtree where an entry can be moved to (must be in the subtree, but may not yet exist)Optional DN to apply the permission to (must be in the subtree, but may not yet exist)OptionsOptions dom-sid and dom-name cannot be used togetherOptions dom-sid and rid-base must be used togetherOptions dom-sid and secondary-rid-base cannot be used togetherOptions dom-sid/dom-name and rid-base must be used togetherOptions dom-sid/dom-name and secondary-rid-base cannot be used togetherOptions secondary-rid-base and rid-base must be used togetherOrderOrder in increasing priority of SELinux users, delimited by $Org. UnitOrganizationOrganizational UnitOrigin DN subtreeOther Record TypesOur domain is not configuredOut of Memory!
Out of memory
Out of memory 
Out of memory!Out of memory!
Out of memory!?
Output file to store the transport certificateOutput filenameOutput only on errorsOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this service, e.g. this might be necessary for NFS services.Override existing passwordOverride inherited settingsOverwrite GIDOwnerOwner %sOwner groupsOwner servicesOwner usersOwners that could not be addedOwners that could not be removedPAC typePADPKINITPOSIXPTR HostnamePTR recordPagePager NumberParametersParent mapParse all raw DNS records and return them in a structured wayParse errorPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword can be specified only for symmetric vaultPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword plugin featuresPassword reset was not successful.Password specified multiple timesPassword used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords have been migrated in pre-hashed format.
IPA is unable to generate Kerberos keys unless provided
with clear text passwords. All migrated users need to
login at https://your.domain/ipa/migration/ before they
can use their Kerberos accounts.Passwords must matchPer-server conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-server forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Per-zone conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Period after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission denied: %(file)sPermission flagsPermission namePermission settingsPermission valuePermission with unknown flag %s may not be modified or removedPermissionsPermissions to grant (read, write). Default is write.Permissions to grant(read, write, add, delete, all)Permitted Encryption TypesPermitted to have certificates issuedPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease specify forwarders.Please try the following options:PolicyPortPositional argumentsPre-authentication is required for the servicePre-shared passwordPredefined profile '%(profile_id)s' cannot be deletedPreferencePreference given to this exchanger. Lower values are more preferredPreferred LanguagePrefix used to distinguish ACI types (permission, delegation, selfservice, none)Preserved userPreserved usersPrevPrimary RID basePrimary RID range and secondary RID range cannot overlapPrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal '%(principal)s' is not permitted to use CA '%(ca)s' with profile '%(profile_id)s' for certificate issuance.Principal '%s' in subject alt name does not match requested principalPrincipal for this certificate (e.g. HTTP/test.example.com)Principal is not of the form user@REALM: '%(principal)s'Principal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority of the policy (higher number means lower priorityPrivate key specified multiple timesPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProfile IDProfile ID '%(cli_value)s' does not match profile data '%(file_value)s'Profile ID for referring to this profileProfile categoryProfile category the ACL applies toProfile configurationProfile configuration stored in file '%(file)s'Profile descriptionProfilesPrompt to set the user passwordProspectiveProvisioningPublic keyPublic key can be specified only for asymmetric vaultPublic key specified multiple timesQR code width is greater than that of the output tty. Please resize your terminal.Query current Domain Level.Query returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.RADIUSRADIUS Proxy Server SettingsRADIUS ServerRADIUS ServersRADIUS proxy configurationRADIUS proxy serverRADIUS proxy server nameRADIUS proxy serversRADIUS proxy usernameREVOKEDRFC4120-compliant Kerberos realmRFC822Name does not match any of user's email addressesRP recordRRSIG recordRandom passwordRange SettingsRange nameRange sizeRange typeRaw %s recordsRaw A recordsRaw A6 recordsRaw AAAA recordsRaw AFSDB recordsRaw APL recordsRaw CERT recordsRaw CNAME recordsRaw DHCID recordsRaw DLV recordsRaw DNAME recordsRaw DNSKEY recordsRaw DS recordsRaw HIP recordsRaw IPSECKEY recordsRaw KEY recordsRaw KX recordsRaw LOC recordsRaw MX recordsRaw NAPTR recordsRaw NS recordsRaw NSEC recordsRaw NSEC3 recordsRaw PTR recordsRaw RP recordsRaw RRSIG recordsRaw SIG recordsRaw SPF recordsRaw SRV recordsRaw SSHFP recordsRaw TA recordsRaw TKEY recordsRaw TLSA recordsRaw TSIG recordsRaw target filterRaw value of a DNS record was already set by "%(name)s" optionRe-established trust to domain "%(value)s"Realm DomainsRealm administrator password should be specifiedRealm domainsRealm nameRealm-domain mismatchReasonReason for RevocationReason for revoking the certificate (0-10)Reason for revoking the certificate (0-10). Type "ipa help cert" for revocation reason details. Rebuild auto membershipRebuild auto membership.Rebuild membership for all members of a groupingRebuild membership for specified hostsRebuild membership for specified usersRecommended maximum number of agreements per replica exceededRecord TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRedirection to PTR recordRefreshRefresh list of the domains associated with the trustRefresh the page.Regular ExpressionRelative record name '%(record)s' contains the zone name '%(zone)s' as a suffix, which results in FQDN '%(fqdn)s'. This is usually a mistake caused by a missing dot at the end of the name specification.Relative weight for server services (counts per location)Reload current settings from the server.Reload the browser.Remote IPA server hostnameRemote server nameRemove A, AAAA, SSHFP and PTR records of the host(s) managed by IPA DNSRemove CAs from a CA ACL.Remove Kerberos AliasRemove PermissionRemove a manager to the stage user entryRemove a manager to the user entryRemove a permission for per-forward zone access delegation.Remove a permission for per-zone access delegation.Remove all principals in this realmRemove an option from Sudo Rule.Remove certificates from a serviceRemove certificates from host entryRemove commands and sudo command groups affected by Sudo Rule.Remove conditions from an automember rule.Remove default (fallback) group for all unmatched entries.Remove entries from DNSRemove from CRLRemove group for Sudo to execute as.Remove holdRemove hosts and hostgroups affected by Sudo Rule.Remove hosts that can manage this host.Remove hosts that can manage this service.Remove member from a named service delegation rule.Remove member from a named service delegation target.Remove member from a named service delegation.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a privilegeRemove members from a role.Remove members from a vault.Remove members from an HBAC service group.Remove one or more certificates to the idoverrideuser entryRemove one or more certificates to the user entryRemove owners from a vault container.Remove owners from a vault.Remove permissions from a privilege.Remove principal alias from a host entryRemove principal alias from a serviceRemove privileges from a role.Remove profiles from a CA ACL.Remove service and service groups from an HBAC rule.Remove services from a CA ACL.Remove target from a named service delegation rule.Remove target hosts and hostgroups from a CA ACL.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from a CA ACL.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Remove users that can manage this token.Removed aliases from host "%(value)s"Removed aliases to the service principal "%(value)s"Removed certificates from host "%(value)s"Removed certificates from idoverrideuser "%(value)s"Removed certificates from service principal "%(value)s"Removed certificates from user "%(value)s"Removed condition(s) from "%(value)s"Removed default (fallback) group for automember "%(value)s"Removed information about the trusted domain "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing %(servers)s from replication topology, please wait...Removing principal %s
RenameRename an ACI.Rename the %(ldap_obj_name)s objectRename the Group ID override objectRename the ID View objectRename the OTP token objectRename the User ID override objectRename the automount key objectRename the group objectRenamed ACI to "%(value)s"Renewal master for IPA certificate authorityReplacementReplica is active DNSSEC key master. Uninstall could break your DNS system. Please disable or replace DNSSEC key master first.Replication agreement enabledReplication configurationReplication refresh for segment: "%(pkey)s" requested.Replication topology of suffix "%(suffix)s" contains errors.Replication topology of suffix "%(suffix)s" is in order.Request a full re-initialization of the node retrieving data from the other node.Request idRequest is missing "method"Request is missing "params"Request must be a dictRequest statusRequiredRequired fieldRequires pre-authenticationResetReset Kerberos ticket policy to the default values.Reset OTPReset PasswordReset your password.Resolve a host name in DNS.Resolve a host name in DNS. (Deprecated)Resolve security identifiers of users and groups in trusted domainsRestoreResultResult of simulationResult of the commandResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Results should contain primary key attribute only ("anchor")Results should contain primary key attribute only ("cn")Results should contain primary key attribute only ("command")Results should contain primary key attribute only ("group")Results should contain primary key attribute only ("group-name")Results should contain primary key attribute only ("hostname")Results should contain primary key attribute only ("id")Results should contain primary key attribute only ("location")Results should contain primary key attribute only ("map")Results should contain primary key attribute only ("name")Results should contain primary key attribute only ("sudocmdgroup-name")RetriesRetrieve a data from a vault.Retrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve current keys without changing themRetrieved data from vault "%(value)s"Retrieving CA cert chain failed: %sRetrieving CA status failed with status %dRetrieving CA status failed: %sRetryRetrying with pre-4.0 keytab retrieval method...
Return to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkRevertRevocation reasonRevokeRevoke a certificate.RevokedRevoked on fromRevoked on from this date (YYYY-mm-dd)Revoked on toRevoked on to this date (YYYY-mm-dd)Right nodeRight replication node - an IPA serverRightsRights to grant (read, search, compare, write, add, delete, all)RoleRole SettingsRole nameRole statusRolesRoot domain of the trust is always enabled for the existing trustRule nameRule statusRule typeRule type (allow)RulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersRunAsGroup does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a user nameSASL Bind failed
SELinux OptionsSELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user '%(user)s' is not valid: %(error)sSELinux user map default user not in order listSELinux user map list not found in configurationSELinux user map orderSHA1 FingerprintSHA256 FingerprintSIDSID blacklist incomingSID blacklist outgoingSID does not match any trusted domainSID does not match exactlywith any trusted domain's SIDSID for the specified trusted domain name could not be found. Please specify the SID directly using dom-sid option.SID is not recognized as a valid SID for a trusted domainSID is not validSIG recordSOA classSOA expireSOA minimumSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA refreshSOA retrySOA serialSPF recordSRV PortSRV PrioritySRV TargetSRV WeightSRV recordSSH public keySSH public key fingerprintSSH public key:SSH public keysSSHFP AlgorithmSSHFP FingerprintSSHFP Fingerprint TypeSSHFP recordSSSD was unable to resolve the object to a valid SIDSaltSame as --%sSaveSearchSearch OptionsSearch command parameters.Search domains of the trustSearch for %(searched_object)s with these %(relationship)s %(ldap_object)s.Search for %(searched_object)s without these %(relationship)s %(ldap_object)s.Search for %1$s on rootdse failed with error %2$d
Search for CA ACLs.Search for CAs.Search for Certificate Profiles.Search for DNS forward zones.Search for DNS resources.Search for DNS servers.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA locations.Search for IPA namingContext failed with error %d
Search for IPA servers.Search for IPA services.Search for OTP token.Search for RADIUS proxy servers.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an Group ID override.Search for an HBAC service group.Search for an ID View.Search for an ID override.Search for an User ID override.Search for an automount key.Search for an automount location.Search for an automount map.Search for automember rules.Search for command outputs.Search for commands.Search for delegations.Search for existing certificates.Search for forward zones onlySearch for group password policies.Search for groups.Search for help topics.Search for hostgroups.Search for hosts with these member of HBAC rules.Search for hosts with these member of host groups.Search for hosts without these member of host groups.Search for hosts without these member of roles.Search for hosts without these member of sudo rules.Search for hosts.Search for netgroups with these member groups.Search for netgroups with these member host groups.Search for netgroups with these member hosts.Search for netgroups with these member netgroups.Search for netgroups with these member of netgroups.Search for netgroups with these member users.Search for netgroups without these member groups.Search for netgroups without these member host groups.Search for netgroups without these member hosts.Search for netgroups without these member netgroups.Search for netgroups without these member of netgroups.Search for netgroups without these member users.Search for permissions.Search for privileges.Search for ranges.Search for roles.Search for service delegation target.Search for service delegations rule.Search for stage users.Search for topology segments.Search for topology suffices.Search for topology suffixes.Search for trusts.Search for users.Search for vaults.Search result has been truncated: %(reason)sSearch scopeSearch size limitSearch time limitSecond CodeSecond OTPSecondary RID baseSeconds LatitudeSeconds LongitudeSecretSecurity IdentifierSecurity Identifiers (SIDs)Segment detailsSegment nameSelect AllSelect entries to be removed.SelectorSelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemantic of %(label)s was changed. %(current_behavior)s
%(hint)sSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSensitiveSerialSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServerServer "%(srv)s" has %(n)d agreements with servers:Server %(srv)s can't contact servers: %(replicas)sServer NameServer RoleServer RolesServer has already been deletedServer nameServer name not provided and unavailable
Server removal aborted: %(reason)s.Server will check DNS forwarder(s).ServersServers details:Servers in locationServers that belongs to the IPA locationServiceService %(service)s requires restart on IPA server %(server)s to apply configuration changes.Service '%(service)s' not found in Kerberos databaseService CertificateService GroupsService OptionsService SettingsService categoryService category the ACL applies toService category the rule applies toService delegation ruleService delegation rulesService delegation targetService delegation targetsService group nameService nameService name of the service vaultService principalService principal aliasService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService relative weightService unprovisionedService weightService(s), shared, and user(s) options cannot be specified simultaneouslyService, shared and user options cannot be specified simultaneouslyService, shared, and user options cannot be specified simultaneouslyServicesSession errorSession key wrapped with transport certificateSession timeoutSetSet Domain LevelSet OTPSet SSH keySet a user's password.Set an attribute to a name/value pair. Format is attr=value.
For multi-valued attributes, the command replaces the values already present.Set default (fallback) group for all unmatched entries.Set default (fallback) group for automember "%(value)s"SettingsShared secret for the trustShared vaultShowShow IPA server.Show QR codeShow ResultsShow all loaded plugins.Show configuration uriShow detailsShow environment variables.Show global trust configuration.Show managed suffix.Show role status on a serverShow the current OTP configuration.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShow vault configuration.Show/Set keyShowing ${start} to ${end} of ${total} entries.Simple bind failed
Simulate use of Host-based access controlsSizeSize LimitSize of data exceeds the limit. Current vault data size limit is %(limit)d BSize of the ID range reserved for the trusted domainSkip DNS checkSkip a check whether the last CA master or DNS server is removedSkip overlap checkSkipped %(key)sSkipped %(map)sSome entries were not deletedSome operations failed.Source Host GroupsSource HostsSource hostSource host categorySource host category the rule applies toSpecified CAsSpecified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified ProfilesSpecified Services and GroupsSpecified Users and GroupsSpecifies where to store keytab information.Specify external ${entity}StageStage UserStage UsersStage user %s activatedStage usersStaged user account "%(value)s"Standard Record TypesState/ProvinceStatusStatus of the roleStop already started refresh of chosen node(s)Stopping of replication refresh for segment: "%(pkey)s" requested.Store issued certificatesStreet addressStructuredSubjectSubject DNSubject Distinguished NameSubject alt name type %s is forbiddenSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSuccessSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSudo orderSuffix nameSupersededSupported encryption types:
Suppress processing of membership attributes.Sync OTP TokenSynchronize an OTP token.Syntax Error: %(error)sSystem DNS records updatedTA recordTKEY recordTLSA Certificate Association DataTLSA Certificate UsageTLSA Matching TypeTLSA SelectorTLSA recordTOTP Synchronization WindowTOTP authentication WindowTOTP authentication time variance (seconds)TOTP synchronization time variance (seconds)TOTP token / IPA server time differenceTSIG recordTake a revoked certificate off hold.TargetTarget DNTarget DN subtreeTarget groupTarget hostTarget members of a group (sets memberOf targetfilter)Target reverse zone not found.Target your own entry (self)Task DNTask DN = '%s'Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe --domain option cannot be used together with --add-domain or --del-domain. Use --domain to specify the whole realm domain list explicitly, to add/remove individual domains, use --add-domain/del-domain.The ACI for permission %(name)s was not found in %(dn)s The IPA realmThe _kerberos TXT record from domain %(domain)s could not be created (%(error)s).
This can happen if the zone is not managed by IPA. Please create the record manually, containing the following value: '%(realm)s'The _kerberos TXT record from domain %(domain)s could not be removed (%(error)s).
This can happen if the zone is not managed by IPA. Please remove the record manually.The automount key %(key)s with info %(info)s does not existThe character %(char)r is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain name of the target host or '.' if the service is decidedly not available at this domainThe following domains do not belong to this realm: %(domains)sThe group doesn't existThe host '%s' does not exist to add a service to.The hostname must be fully-qualified: %s
The hostname must not be: %s
The hostname or IP (with or without port)The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe keytab file to remove the principcal(s) fromThe most common types for this type of zone are: %s
The number of times to retry authenticationThe primary_key value of the entry, e.g. 'jdoe' for a userThe principal for this request doesn't exist.The principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The principal to remove from the keytab (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe realm of the following domains could not be detected: %(domains)s. If these are domains that belong to the this realm, please create a _kerberos TXT record containing "%(realm)s" in each of them.The schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The secret used to encrypt dataThe service principal for subject alt name %s in certificate request does not existThe topic or command name.The total timeout across all retries (in seconds)The username attribute on the user objectThe username, password or token codes are not correctThis command can not be used to change ID allocation for local IPA domain. Run `ipa help idrange` for more informationThis command relies on the existence of the "editors" group, but this group was not found.This command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis may take some time, please wait ...This page has unsaved changes. Please save or revert.Ticket expiredTicket policy for %s could not be readTime LimitTime limit of search in secondsTime limit of search in seconds (0 is unlimited)Time nowTime to liveTime to live for records at zone apexTime-based (TOTP)TimeoutTimeout exceeded.To establish trust with Active Directory, the domain name and the realm name of the IPA server must matchTo get command help, use:Token IDToken description (informational only)Token hash algorithmToken model (informational only)Token secret (Base32; default: random)Token serial (informational only)Token synchronization failedToken vendor name (informational only)Token was synchronizedTopic commands:Topic or CommandTopologyTopology SegmentTopology SegmentsTopology does not allow server %(server)s to replicate with servers:Topology is disconnectedTopology management requires minimum domain level {0} Topology suffixTopology suffixesTotal number of variables env (>= count)Transport CertificateTrueTrue if not all results were returnedTrue means the operation was successfulTrustTrust SettingsTrust directionTrust setupTrust statusTrust typeTrust type (ad for Active Directory, default)Trusted domainTrusted domain %(domain)s is included among IPA realm domains. It needs to be removed prior to establishing the trust. See the "ipa realmdomains-mod --del-domain" command.Trusted domain and administrator account use different realmsTrusted domain did not return a unique objectTrusted domain did not return a valid SID for the objectTrusted domain partnerTrusted domainsTrusted for delegationTrusted forestTrusting forestTrustsTwo factor authentication (password + OTP)Two-way trustTypeType of IPA object (sets subtree and objectClass targetfilter)Type of the tokenTypes of supported user authenticationUIDUPN suffixesURIURLUn-applyUn-apply ID Views from hostsUn-apply ID Views from hosts of hostgroupsUn-apply from host groupsUn-apply from hostsUnable to communicate with CMSUnable to communicate with CMS (status %d)Unable to create private group. A group '%(group)s' already exists.Unable to determine IPA server from %s
Unable to determine if Kerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Unable to determine root DN of %s
Unable to display QR code using the configured output encoding. Please use the token URI to configure your OTP deviceUnable to enable SSL in LDAP
Unable to generate Kerberos Credential Cache
Unable to initialize ldap library!
Unable to join host: Kerberos Credential Cache not found
Unable to join host: Kerberos User Principal not found and host password not provided.
Unable to join host: Kerberos context initialization failed
Unable to parse principal
Unable to parse principal name
Unable to parse principal: %1$s (%2$d)
Unable to remove entry
Unable to set LDAP_OPT_PROTOCOL_VERSION
Unable to set LDAP_OPT_X_SASL_NOCANON
Unable to verify write permissions to the ADUndelete a delete user account.Undeleted user account "%(value)s"UndoUndo AllUndo all changes in this field.Undo this change.Unenroll this host from IPA serverUnenrollment failed.
Unenrollment successful.
Unique IDUnknownUnknown ErrorUnknown option: %(option)sUnlockUnlocked account "%(value)s"UnmatchedUnprovisionUnresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUnsupported valueUpdateUpdate DNS entriesUpdate System DNS RecordsUpdate location and IPA server DNS recordsUpdate of system record '%(record)s' failed with error: %(error)sUserUser GroupUser GroupsUser IDUser ID NumberUser ID Number (system will assign one if not provided)User ID overrideUser ID overridesUser OptionsUser attributeUser authentication typesUser categoriesUser categoryUser category (semantics placed on this attribute are for local interpretation)User category the ACL applies toUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group ruleUser group rulesUser group to apply delegation toUser group to apply permissions to (sets target)User loginUser nameUser object classUser object overridesUser passwordUser search fieldsUser to overrideUser-friendly description of action performedUser-specified attributes to which the permission appliesUser-specified attributes to which the permission explicitly does not applyUsernameUsername of the user vaultUsersUsers allowed to create keytabUsers allowed to retrieve keytabValid Certificate PresentValid fromValid not after fromValid not after from this date (YYYY-mm-dd)Valid not after toValid not after to this date (YYYY-mm-dd)Valid not before fromValid not before from this date (YYYY-mm-dd)Valid not before toValid not before to this date (YYYY-mm-dd)Valid toValidation errorValidityValidity endValidity startVaultVault ContainerVault ContainersVault configurationVault data encrypted with session keyVault descriptionVault nameVault passwordVault private keyVault public keyVault saltVault serviceVault typeVault userVaultsVendorVerify PasswordVerify Principal PasswordVersionVertical PrecisionVia ServiceViewView CertificateWaiting for confirmation by remote sideWarningWarning unrecognized encryption type.
Warning unrecognized salt type.
Warning: failed to convert type (#%d)
Warning: salt types are not honored with randomized passwords (see opt. -P)
WeightWeight for server servicesWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhether a replication agreement is active, meaning whether replication is occurring per that agreementWhether to store certs issued using this profileWhoWorkingWrite profile configuration to fileYou are trying to reference a magic private group which is not allowed to be overridden. Try overriding the GID attribute of the corresponding user instead.You can use <a href="${link}" target="_blank">FreeOTP<a/> as a software OTP token application.You may need to manually remove them from the treeYou must enroll a host in order to create a host serviceYou will be redirected to DNS Zone.Your password expires in ${days} days.Your trust to %(domain)s is broken. Please re-create it by running 'ipa trust-add' again.YubiKey slotZIPZone forwardersZone found: ${zone}Zone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d
active user with name "%(user)s" already existsalgorithm value: allowed interval 0-255all masters must have %(role)s role enabledan internal error has occurredan internal error has occurred on server at '%(server)s'answer to query '%(owner)s %(rtype)s' is missing DNSSEC signatures (no RRSIG data)any of the configured serversapi has no such namespace: '%(name)s'at least one of options: type, users, hosts must be specifiedat least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredattribute "%(attribute)s" not allowedattribute "%s" not allowedattribute is not configurableattrs and included attributes are mutually exclusiveattrs and included/excluded attributes are mutually exclusiveautomatically add the principal if it doesn't existautomount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?!
ber_scanf() failed, unable to find kvno ?!
bind passwordcan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot add permission "%(perm)s" with bindtype "%(bindtype)s" to a privilegecannot be emptycannot connect to '%(uri)s': %(error)scannot delete global password policycannot delete managed permissionscannot delete root domain of the trust, use trust-del to delete the trust itselfcannot disable root domain of the trust, use trust-del to delete the trust itselfcannot open configuration file %s
cannot rename managed permissionscannot set bindtype for a permission that is assigned to a privilegecannot specify both raw certificate and filecannot specify full target filter and extra target filter simultaneouslycannot stat() configuration file %s
change collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d
cn is immutablecommandcommand '%(name)s' takes at most %(count)d argumentcommand '%(name)s' takes at most %(count)d argumentscommand '%(name)s' takes no argumentscommandscommands cannot be added when command category='all'commands for controlling sudo configurationcommunication with CIFS server was unsuccessfulconfiguration optionscontainer entry (%(container)s) not founddefault CA ACL can be only disableddelegationdelegationsdeletedescriptiondid not receive Kerberos credentialsdoes not match any of accepted formats: domaindomain is not configureddomain is not trusteddomain name '%(domain)s' should be normalized to: %(normalized)sdomain name cannot be longer than 255 characterseach ACL element must be terminated with a semicolonempty DNS labelempty filterentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server '%(server)s': %(error)sexecuting ipa-getkeytab failed, errno %d
expected format: <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphenfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"flags value: allowed interval 0-255force NS record creation even if its hostname is not in DNSforce delete of SYSTEM permissionsforce host name even if not in DNSforce principal name even if not in DNSfork() failed
format must be specified as
    "d1 [m1 [s1]] {"N"|"S"}  d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
    where:
       d1:     [0 .. 90]            (degrees latitude)
       d2:     [0 .. 180]           (degrees longitude)
       m1, m2: [0 .. 59]            (minutes latitude/longitude)
       s1, s2: [0 .. 59.999]        (seconds latitude/longitude)
       alt:    [-100000.00 .. 42849672.95] BY .01 (altitude in meters)
       siz, hp, vp: [0 .. 90000000.00] (size/precision in meters)
    See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sforward zone "%(fwzone)s" is not effective because of missing proper NS delegation in authoritative zone "%(authzone)s". Please add NS record "%(ns_rec)s" to parent zone "%(authzone)s".gid cannot be set for external groupgivenname is requiredgroupgroup runAsgroup, permission and self are mutually exclusivegroupsgroups to addgroups to exclude from migrationgroups to removehosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshost groups to addhost groups to removehost masks of allowed hostshostgrouphostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostgroupshostnamehostname contains empty label (consecutive dots)hostname in subject of request '%(cn)s' does not match principal hostname '%(hostname)s'hostshosts cannot be added when host category='all'hosts cannot be set when type is 'group'hosts to addhosts to removeid rangeid range typeincomplete time valueincorrect typeinteger to order the Sudo rulesinvalid '%(name)s': %(error)sinvalid DN (%s)invalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid Profile IDinvalid SSH public keyinvalid address formatinvalid attribute nameinvalid domain nameinvalid domain-name: %sinvalid domain-name: not fully qualifiedinvalid e-mail format: %(email)sinvalid escape code in domain nameinvalid hostmaskinvalid port numberipa-getkeytab has bad permissions?
ipa-getkeytab not found
is requirediterations value: allowed interval 0-65535kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskrb5_kt_close %1$d: %2$s
krb5_kt_get_entry %1$d: %2$s
krb5_kt_remove_entry %1$d: %2$s
krb5_parse_name %1$d: %2$s
krb5_unparse_name %1$d: %2$s
kvno %d
left node and right node must not be the sameleft node is not a topology node: %(leftnode)sleft or right node has to be specifiedlimits exceeded for this querylocal domain rangelocationlocationsmanager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:match the common name exactlymaximum serial numbermember %smember HBAC servicemember HBAC service groupmember groupmember hostmember host groupmember netgroupmember sudo commandminimum serial numbermissing base_idmodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be "%s"must be '%(value)s'must be DNS namemust be TRUE or FALSEmust be True or Falsemust be Unicode textmust be a decimal numbermust be absolutemust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be binary datamust be datetime valuemust be dictionarymust be enclosed in parenthesesmust be exactly %(length)d bytesmust be exactly %(length)d charactersmust be one of %(values)smust be relativemust contain a tuple (list, dict)must have %(role)s role enabledmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsnetgroups to addnetgroups to removeno command nor help topic '%(topic)s'no modifications to be performedno trusted domain is configuredno trusted domain matched the specified flat namenot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform operation: %snot allowed to perform server connection checknot foundnot fully qualifiednot modifiable on managed permissionsnumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)snumber of passwordsobjectclass %s not foundone or more values to removeonly "ad" is supportedonly available on managed permissionsonly letters, numbers, %(chars)s are allowed. DNS label may not start or end with %(chars2)sonly master zones can contain recordsonly one CNAME record is allowed per name (RFC 2136, section 1.1.5)only one DNAME record is allowed per name (RFC 6672, section 2.4)only one node can be specifiedoperation not definedoption was renamed; use %soptions are not allowedorder must be a unique value (%(order)d already used by %(rule)s)out of memory
out-of-zone data: record name must be a subdomain of the zone or a relative nameoverlapping arguments and options: %(names)sowner %sowner of %(types)s records should not be a wildcard domain name (RFC 4592 section 4)params must be a listparams must contain [args, options]params[0] (aka args) must be a listparams[1] (aka options) must be a dictpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermission "%(value)s" already existspermissionspkinitpreservepreserve and no-preserve cannot be both setprincipal not found
principal not found in XML-RPC response
priority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivileged hostgroupprivileged service delegation ruleprivileged service delegation targetprivilegesprofile category cannot be set to 'all' while there are allowed profilesprofiles cannot be added when profile category='all'pysss_murmur is not available on the server and no base-id is given.query '%(owner)s %(rtype)s' with EDNS0: %(error)squery '%(owner)s %(rtype)s': %(error)srange existsrange modification leaving objects with ID out of the defined range is not allowedrange type changeread error
realm not found
record '%(owner)s %(rtype)s' failed DNSSEC validation on server %(ip)srequest failed with HTTP status %dresult not found in XML-RPC response
retrieve and print all attributes from the server. Affects command output.right node is not a topology node: %(rightnode)srolerolesroles to removerunAs groupsrunAs userrunAs userssalt value: %(err)ssearch for POSIX groupssearch for groups with support of external non-IPA members from trusted domainssearch for managed groupssearch for non-POSIX groupssearch for private groupssearch results for objects to be migrated
have been truncated by the server;
migration process might be incomplete
secondssegmentsegmentsself service permissionself service permissionsserverserver roleserver rolesserversserviceservice category cannot be set to 'all' while there are allowed servicesservice delegation ruleservice delegation rulesservice delegation targetservice delegation targetsservicesservices cannot be added when service category='all'setting Authoritative nameservershould not be a wildcard domain name (RFC 4592 section 4)sidgen_was_runskip reverse DNS detectionsn is requiredstage userstage userssubject alt name type %s is forbidden for non-user principalssubject alt name type %s is forbidden for user principalssubtree and type are mutually exclusivesudo commandsudo command groupsudo command groupssudo commandssudo commands to addsudo commands to removesudo rulesudo rulessuffixsuffixessystem ID Viewtarget and targetgroup are mutually exclusivethe IPA server and the remote domain cannot share the same NetBIOS name: %sthe certificate with serial number the entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthere must be at least one target entry specifier (e.g. target, targetfilter, attrs)this option has been deprecated.this option is deprecatedtoo many '@' characterstrusttrust configurationtrust domaintrust domainstrust typetrusted domain objecttrusted domain object not foundtrusted domain user not foundtruststype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunknown command '%(name)s'unknown error %(code)d from %(server)s: %(error)sunsupported functional levelunsupported trust typeuseruser "%s" is already activeuser category cannot be set to 'all' while there are allowed usersusersusers and hosts cannot both be setusers cannot be added when runAs user or runAs group category='all'users cannot be added when user category='all'users cannot be set when type is 'hostgroup'users to exclude from migrationusers to removevaluevaultvaultcontainervaultcontainersvaults{attr}: no such attribute{role}: role not foundProject-Id-Version: freeipa 4.9.0.dev201908140712+gitc9938e3d8
Report-Msgid-Bugs-To: https://pagure.io/freeipa/new_issue
PO-Revision-Date: 2024-06-27 10:36+0000
Last-Translator: Léane GRASSER <leane.grasser@proton.me>
Language-Team: French <https://translate.fedoraproject.org/projects/freeipa/master/fr/>
Language: fr
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=2; plural=n > 1;
X-Generator: Weblate 5.5.5


EXEMPLES :


Exemples :
  Trouver tous les serveurs :
    ipa server-find


CONFIGURATION GLOBALE du DNS

        Surcharger ceci afin de pouvoir ajouter réussites et échecs aux
        résultats renvoyés.
        
        Surcharger ceci afin de pouvoir définir réussites et échecs.
        
    Ajouter une règle d'auto-adhésion.
    
    Ajouter des conditions à une règle d'auto-adhésion.
    
    Supprimer une règle d'auto-adhésion.
    
    Afficher des informations au sujet d'une règle d'auto-adhésion.
    
    Afficher des informations pour les groupes d'auto-adhésion par défaut (repli).
    
    État verrouillé d'un compte utilisateur

    Un compte peut être verrouillé si un mot de passe incorrect est entre à
    plusieurs reprises dans un laps de temps donnée selon la politique de
    contrôle des mots de passe. Le verrouillage du compte est un état
    temporaire ; le compte peut être déverrouillé par un administrateur.

    Ce dernier se connecte sur l'IPA maître et affiche l'état du
    verrouillage de chacun.

    Pour savoir si un compte est verrouillé sur un serveur donné, vous devez
    comparer le nombre d'échecs de connexion et l'heure du dernier échec.
    Pour qu'un compte soit verrouillé, le nombre d'échecs doit dépasser le
    maximum autorisé dans l'intervalle de temps donné tel que défini dans la
    politique de mot de passe propre à l'utilisateur.

    Le compteur d'échecs de connexion n'est incrémenté que lorsqu'un
    utilisateur tente une connexion, il est donc possible qu'un compte
    paraisse bloqué mais que la dernière tentative de connexion soit
    antérieure à la durée de verrouillage de la règle. Cela
    signifie que l'utilisateur peut tenter de se connecter à nouveau.
    Modifier la confiance (pour utilisation future).

    Actuellement seule l'option par défaut pour modifier les attributs LDAP
    est disponible. D'autres options particulières seront ajoutées
    dans les versions à venir.
    
    Modifier une règle d'auto-adhésion.
    
    Supprimer des conditions d'une règle d'auto-adhésion.
    
    Supprimer le groupe par défaut (repli) pour toute entrée sans correspondance.
    
    Rechercher des règles d'auto-adhésion.
    
    Définit un groupe par défaut (repli) pour toutes les entrées sans correspondance.
    
    Déverrouiller un compte utilisateur

    Un compte utilisateur peut se verrouiller si le mot de passe n'est pas
    saisi correctement plusieurs fois de suite dans un laps de temps donné
    défini par la politique du mot de passe. Le verrouillage d'un compte est
    un état temporaire ; il peut être déverrouillé par un administrateur.
    Objet conteneur de coffre-fort.
    
    Objet coffre-fort.
    
   C'est l'équivalent de :
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Ajouter un emplacement :
    ipa location-add location --description 'Mon emplacement'

  Ajouter un segment de topologie au suffixe « ca » :
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  Ajouter un segment de topologie au suffixe du domaine :
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Supprimer un emplacement :
    ipa location-del location

  Supprimer un segment de topologie du suffixe « ca » :
    ipa topologysegment-del ca segment_name

  Supprimer un segment de topologie du suffixe du domaine :
    ipa topologysegment-del domain segment_name

 Trouver tous les emplacements :
      ipa location-find

  Trouver tous les serveurs :
    ipa server-find

  Trouver tous les suffixes :
    ipa topologysuffix-find

  Énumérer tous les segments de topologie dans le suffixe « ca » :
    ipa topologysegment-find ca

  Énumérer tous les segments de topologie dans le suffixe du domaine :
    ipa topologysegment-find domain

Afficher la configuration d'un serveur DNS spécifique :
   ipa dnsserver-show

  Afficher un emplacement spécifique :
    ipa location-show location

  Afficher les informations d'un serveur en particulier :
    ipa server-show ipa.example.com

  Afficher l'état du rôle « Serveur DNS » d'un serveur :
    ipa server-role-show ipa.example.com "DNS server"

  Afficher l'état de tous les rôles configurés sur un serveur :
    ipa server-role-find ipa.example.com

  Modifier la configuration d'un serveur DNS spécifique :
    ipa dnsserver-mod

  Vérification de la topologie du suffixe « ca » :
    ipa topologysuffix-verify ca

  Vérification de la topologie du suffixe du domaine :
    ipa topologysuffix-verify domain

 Ajouter un enregistrement LOC pour « example.com » :
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Ajouter une condition à la règle :
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Ajouter un hôte pouvant gérer tableau de clés et certificat d'un hôte donné :
   ipa host-add-managedby --hosts=test2 test

 Ajout d'un hôte à la règle :
   ipa sudorule-add-host readfiles --hosts server.example.com

 Ajouter un hôte :
    ipa host-add web1.example.com

 Ajouter un serveur courriel pour « example.com » :
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Ajouter un nouvel hôte à l'aide d'un mot de passe à usage unique :
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

Ajouter un nouvel hôte avec un mot de passe aléatoire :
   ipa host-add --os='Fedora 12' --random test.example.com

 Ajouter un nouvel hôte :
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Ajouter un nouveau serveur :
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Ajouter un nouveau jeton :
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Ajouter un nouveau jeton :
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Ajouter une permission autorisant de gérer l'appartenance à un groupe :
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

 Ajouter une permission autorisant la création d'utilisateurs :
   ipa permission-add --type=user --permissions=add "Add Users"

 Ajout d'une règle sudo spéciale pour la configuration du serveur sudo par défaut :
   ipa sudorule-add defaults

 Ajouter un coffre-fort standard :
   ipa vault-add <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --type standard

 Ajouter un coffre-fort symétrique :
   ipa vault-add <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --type symmetric --password-file mot_de_passe.txt

 Ajout d'un utilisateur à la règle :
   ipa sudorule-add-user readfiles --users jsmith

 Ajouter un utilisateur :
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Ajouter un coffre-fort symétrique :
   ipa vault-add <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --type symmetric --public-key-file public.pem

 Ajouter une condition d'exclusion à la règle pour empêcher l'auto-assignation :
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Ajouter un autre enregistrement avec des options propres à MX :
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Ajouter un autre enregistrement en mode interactif (lancé si dnsrecord-add,
 dnsrecord-mod, ou dnsrecord-del sont exécutés sans options) :
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Ajouter un nouvel enregistrement A à www.example.com. Créer son inverse
 dans la zone inverse appropriée. Dans ce cas, un enregistrement PTR « 2 »
 pointant sur www.example.com sera créé dans la zone 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Ajoutez un nouvel enregistrement PTR pour www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Ajouter de nouveaux enregistrements SRV pour serveurs LDAP. 3 requêtes
 sur 4 iront vers fast.example.com, unes sur 4 vers slow.example.com. Si ni
 l'un ni l'autre, n'est disponible, basculer sur backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Ajouter une nouvelle zone inverse spécifiée par adresse IP de réseau :
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Ajouter une nouvelle zone :
   ipa dnszone-add example.com --admin-email=admin@example.com

 Ajouter un second serveur de noms pour « example.com » :
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Ajout d'un objet de commande sudo et ajout en tant que commande autorisée dans la règle :
   ipa sudocmd-add /usr/bin/less
   ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less

 Ajouter une permission système pour une délégation de privilège par zone :
   ipa dnszone-add-permission example.com

 Ajouter le groupe ou le groupe d'hôtes initial :
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Ajouter la règle initiale :
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Ajouter des membres à un coffre-fort :
   ipa vault-add-member <nom>
       [--user <utilisateur>|--service <service>|--shared]
       [--users <utilisateurs>] [--groups <groupes>] [--services <services>]

 Ajouter des propriétaires à un coffre-fort :
   ipa vault-add-owner <nom>
       [--user <utilisateur>|--service <service>|--shared]
       [--users <utilisateurs>]  [--groups <groupes>] [--services <services>]

 Après cette modification, 3 requêtes sur 5 iront vers fast.example.com
 et 2 sur 5 vers slow.example.com.

 Autoriser un utilisateur à créer un tableau de clé :
   ipa host-allow-create-keytab test2 --users=tuser1

 Autoriser un utilisateur à créer un tableau de clé :
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 Voici un exemple du mode interactif pour la commande dnsrecord-del :
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Archiver des données dans un coffre-fort asymétrique :
   ipa vault-archive <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --in <fichier>

 Archiver des données dans un coffre-fort standard :
   ipa vault-archive <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --in <fichier>

 Archiver des données dans un coffre-fort symétrique :
   ipa vault-archive <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --in <fichier>
       --password-file mot_de_passe.txt

 Modifier la politique de redirection pour « external.example.com » :
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Changer le secret :
   ipa radiusproxy-mod MyRADIUS --secret

 Modifier le fournisseur :
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Création d'une nouvelle règle :
   ipa sudorule-add readfiles

 Déléguer la zone sub.example à un autre nom de serveur :
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Supprimer une configuration:
   ipa radiusproxy-del MyRADIUS

 Supprimer un hôte :
   ipa host-del test.example.com

 Supprimer un jeton :
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Supprimer un coffre-fort :
   ipa vault-del <nom>
       [--user <utilisateur>|--service <service>|--shared]

 Supprimer une règle d'adhésion automatique :
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

 Supprimer la rediretion de zone « external.example.com » :
   ipa dnsforwardzone-del external.example.com

 Supprimer le serveur de noms précédemment ajouté à « example.com » :
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Supprimer des membres d'un coffre-fort :
   ipa vault-remove-member <nom>
       [--user <utilisateur>|--service <service>|--shared]
       [--users <utilisateurs>] [--groups <groupes>] [--services <services>]

 Supprimer des propriétaires d'un coffre-fort :
   ipa vault-remove-owner <nom>
       [--user <utilisateur>|--service <service>|--shared]
       [--users <utilisateurs>] [--groups <groupes>] [--services <services>]

 Supprimer la zone « example.com » avec tous les enregistrements de ressources :
   ipa dnszone-del example.com

 Désactive la redirection globale pour les sous-arbres donnés :
   ipa dnszone-mod example.com --forward-policy=none

Désactiver la clé Kerberos, les certificats SSL et tout service d'un hôte :
   ipa host-disable test.example.com

 Afficher une règle d'adhésion automatique :
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Afficher la configuration des coffres-forts :
   ipa vaultconfig-show

 Examiner la configuration :
   ipa radiusproxy-show MyRADIUS

 Examiner un jeton :
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Trouver des enregistrements A avec la valeur 192.0.2.2 dans la zone
 « example.com » :
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Retrouver toutes les règles d'adhésion automatique :
    ipa automember-find

 Trouver tous serveurs dont les entrées incluent la chaîne « example.com » :
   ipa radiusproxy-find example.com

 Trouver des enregistrements de ressources avec « www » dans le nom dans la
 zone « example.com » :
   ipa dnsrecord-find example.com www

 Trouver les arguments disponibles pour user-find :
   ipa param-find user-find

 Trouver une zone avec « example » dans son nom de domaine :
   ipa dnszone-find example

 Redirige toutes les requêtes pour la zone « external.example.com » vers un
 autre redirecteur avec la politique « first » (il adresse les requêtes au
 redirecteur sélectionné et s'il n'y a pas de réponse, les serveurs racines
 globaux sont sollicités) :
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

 Générer et récupérer un tableau de clés d'un service IPA :
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab


 Si une redirection globale est configurée, toute requête pour laquelle ce
 serveur ne fait pas autorité (ex. sub.example.com) sera routée vers le 
 redirecteur global.
 La configuration d'une redirection globale peut être surchargée par zone.

 Lister toutes les redirections de zones :
   ipa dnsforwardzone-find

 Énumérer les coffres-forts pour un service :
   ipa vault-find
       [--user <utilisateur>|--service <service>|--shared]

 Modifier les clés d'un coffre-fort asymétrique :
   ipa vault-mod <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --private-key-file <fichier de l'ancienne clé privée>
       --public-key-file <fichier de la nouvelle clé publique>

 Modifier la configuration DNS globale et définir une liste de redirecteurs
 globaux :
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Modifier les informations d'un hôte :
   ipa host-mod --os='Fedora 12' test.example.com

 Modifier un coffre-fort symétrique :
   ipa vault-mod <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --change-password
   ipa vault-mod <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --old-password <ancien mot de passe>
       --new-password <nouveau mot de passe>
   ipa vault-mod <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --old-password-file <ancien fichier de mot de passe>
       --new-password-file <nouveau fichier de mot de passe>

 Modifier la règle d'adhésion automatique :
    ipa automember-mod

 Modifier la zone pour permettre des mises à jour dynamiques des propres
 enregistrements des hôtes dans le royaume EXAMPLE.COM :
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Modifier la zone pour permettre des transferts de zone pour le réseau local uniquement :
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Modifier la description d'un coffre-fort :
   ipa vault-mod <name>
       [--user <utilisateur>|--service <service>|--shared]
       --desc <description>

 Modifier le type d'un coffre-fort :
   ipa vault-mod <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --type <type>
       [ancient mot de passe/clé privée]
       [nouveau mot de passe/clé publique]

 Reconstruire l'appartenance de tous les hôtes :
    ipa automember-rebuild --type=hostgroup

 Reconstruire l'appartenance de tous les utilisateurs :
    ipa automember-rebuild --type=group

 Reconstruire l'appartenance d'hôtes donnés :
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

 Reconstruire l'appartenance d'utilisateurs donnés :
    ipa automember-rebuild --users=tuser1 --users=tuser2

 Supprimer les clés publiques SSH d'un hôte et modifier DNS en conséquence :
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Supprimer une condition de la règle :
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Supprimer le groupe cible par défaut (repli) ::
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Résoudre un nom d'hôte pour voir s'il existe (ajoute le domaine IPA par
 défaut s'il n'est pas inclus) :
   ipa dns-resolve www.example.com
   ipa dns-resolve www

  Récupérer des données d'un coffre-fort asymétrique :
   ipa vault-retrieve <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --out <fichier> --private-key-file clé_privée.pem

 Récupérer des données d'un coffre-fort standard :
   ipa vault-retrieve <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --out <fichier>

 Récupérer des données d'un coffre-fort symétrique :
   ipa vault-retrieve <nom>
       [--user <utilisateur>|--service <service>|--shared]
       --out <fichier>
       --password-file mot_de_passe.txt

 La sémantique de la redirection de zone dans IPA est la même que 
 celle de BIND,  et dépend du type de zone :
    * Zone maître : le serveur BIND local répond avec autorité aux requêtes 
    de données dans la zone donnée (y compris les réponses ayant autorité
    NXDOMAIN) et transfère uniquement les requêtes sur les noms dans les 
    sous-zones (enregistrements NS) des zones locales servies.
 
    * Zone redirigée : les zones transférées ne contiennent aucune donnée 
    faisant autorité. BIND transmet les requêtes qui ne peuvent être 
    servies par son cache local aux serveurs de redirection configurés.
 

 Définition d'une option par défaut pour sudo :
   ipa sudorule-add-option defaults --sudooption '!authenticate'

 Définir le groupe cible par défaut (recours) :
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Afficher un coffre-fort :
   ipa vault-show <nom> 
       [--user <utilisateur>|--service <service>|--shared]

 Afficher la politique de redirection pour la zone « external.example.com » :
   ipa dnsforwardzone-show external.example.com

Afficher la configuration DNS globale :
   ipa dnsconfig-show

 Afficher les enregistrements de ressources « www » dans la zone
 « example.com » :
   ipa dnsrecord-show example.com www

 Afficher le groupe cible par défaut (repki) :
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Afficher les informations sur user-find :
   ipa command-show user-find

 Afficher la zone « example.com » :
   ipa dnszone-show example.com

 On peut utiliser le mode interactif pour faciliter les modifications :
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 Cette configuration redirige toutes les requêtes pour les noms en dehors
 du sous-arbre « example.com » vers les  redirecteurs globaux. Le processus
 normal de résolution récursive est utilisé pour les noms dans le sous-arbre
 « example.com » (ex. les enregistrements NS sont suivis, etc.).

 Vérifier une adhésion automatique :
    ipa hostgroup-show webservers
      Host-group: webservers
      Description: Web Servers
      Member hosts: web1.example.com

    ipa group-show devel
      Group name: devel
      Description: Developers
      GID: 1004200000
      Member users: tuser

* Une permission donne le droit de lire, écrire, ajouter, supprimer,
  rechercher, ou comparer.
* Un privilège combine des permissions semblables (par exemple
  toutes les permissions nécessaires pour ajouter un utilisateur).
* Un rôle garantit un ensemble de privilèges pour des utilisateurs, des groupes, des hôtes ou des groupes d'hôtes.

Une condition est une expression rationnelle dont se sert « 389-ds » pour
associer nouvelle entrée et règle d'adhésion. Si l'entrée correspond à une
règle d'inclusion, elle est ajoutée au groupe ou groupe d'hôte approprié.

Un groupe ou groupe d'hôte par défaut peut être défini pour des entrées ne
correspondant à aucune règle. Tout utilisateur a ce groupe comme repli, car
il est par défaut membre du groupe indiqué dans la configuration de IPA.

Une permission permet une délégation de droits finement nuancée. Elle est
une enveloppe lisible par le commun de Règles de contrôle d'accès 389-ds,
ou d'instruction (ACI).
Une permission donne le droit d'effectuer des tâches données comme ajouter
un utilisateur, modifier un groupe, etc.

Une permission se compose de plusieurs parties :

1. le nom de la permission.
2. la cible de la permission.
3. les droits garantis par la permission.

Une permission ne peut pas contenir d'autres permissions.

Une règle est directement associée à un groupe par le nom, donc il n'est pas
possible de créer une règle sans groupe ou groupe d'hôtes d'accompagnement.

Schéma de l'API

Ajouter une nouvelle plage d'identifiants.

  Pour ajouter une nouvelle plage d'identifiants vous devez toujours préciser

    --base-id
    --range-size

  En outre,

    --rid-base
    --secondary-rid-base

  seront indiqués pour une nouvelle plage d'ID dans le domaine local alors que

    --rid-base
    --dom-sid

  doivent l'être pour ajouter une nouvelle plage pour un domaine AD de confiance.

  AVERTISSEMENT :

  Le greffon DNA dans 389-ds alloue des ID selon les plages configurées au
  titre du domaine local. Actuellement le greffon DNA *ne peut pas* être
  lui-même reconfiguré selon les plages locales définies par l'intermédiaire
  de cette famille de commandes.

  Un changement manuel de configuration doit être opéré dans la configuration
  du greffon DNA pour cadrer avec la nouvelle plage locale. En particulier,
  l'attribut « dnaNextRange » de « cn=Posix IDs »,^n« cn=Distributed Numeric Assignment Plugin », « cn=plugins », « cn=config »
  doivent être modifiés pour correspondre à cette nouvelle plage.
    
Ajout d'une nouvelle relation de confiance.

Cette commande établit une relation de confiance avec un autre domaine
qui ainsi devient « de confiance ». En conséquence, des utilisateurs du
domaine approuvé peuvent avoir accès aux ressources de ce domaine.

Actuellement, seules les relations d'approbation avec les domaines
Active Directory sont prises en charge.

Cette commande peut être lancée plusieurs fois en toute sécurité à
l'encontre du même domaine, elle modifiera les références de la relation de
confiance des deux côtés.
    
En plus, il y a les options de commodité suivantes.
Activer une de ces options définit l'attribut correspondant.
1. type: un type d'objet (utilisateur, groupe, etc) ; définit le filtre du
sous-arbre et de la cible.
2. memberof : s'applique aux membres d'un groupe ; définit le filtre de la
cible.
3. targetgroup : permet la modification d'un groupe donné (comme ceux
   de gestion de l'appartenance à un groupe); définit la cible.

Les agréments sont représentés par des segments de topologie. Un segment de topologie
représente par défaut deux agréments de réplication, un pour chaque direction, par exemple
de A vers B et de B vers A. La création de segments unidirectionnels n'est pas permise.

Il est possible d'ajouter aux règles sudo l'indication de l'ordre dans
lequel elles doivent être examinées (si le client le prend en charge).
Cet ordre est défini par un entier, qui doit être unique.

Le coffre-fort asymétrique  est similaire au coffre standard, mais il 
pré-chiffre le secret à l'aide d'une clé publique avant son transport.
Le secret ne peut être récupéré qu'avec la clé privée correspondante.

Règle d'adhésion automatique.

« Automount »

Enregistre la configuration de « automount(8) » pour « autofs(8) » dans IPA.

La base de configuration de « automount » est le fichier « auto.master ».
C'est aussi la base dans IPA. On peut enregistrer plusieurs configurations
« auto.master » à plusieurs endroits différents. Le lieu est propre à
l'implémentation, par défaut il est nommé « default ». Par ex., vous pouvez
avoir des lieux par région géographique, par étage, par type, etc.

« Automount » a 3 types d'objets de base : emplacements, cartes et clés.

L'emplacement définit un jeu de cartes fixées dans « auto.master » et permet
de stocker plusieurs configurations « automount ». Il n'a pas d'intérêt en
soi, il est juste le point de départ d'une autre carte « automount ».

Une carte est, en gros, équivalente à un fichier séparé « automount » ;
elle fournit un stockage pour les clés.

Une clé est un point de montage associé à une carte.

Quand un nouvel emplacement est créé, 2 cartes sont automatiquement créées
pour lui: « auto.master » et « auto.direct ». « auto.master » est la carte
racine de toutes les cartes « automount » dudit lieu. « auto.direct » est
la carte par défaut pour les montages directs et est monté sur /-.

Une carte « automout » peut contenir une clé de sous-montage. Cette clé
définit un emplacement de montage dans la carte référençant une autre carte.
Cela peut se réaliser avec « automountmap-add-indirect --parentmap » ou à la
main avec « automountkey-add » en définissant « -type=autofs :<mapname> ».

EXEMPLES:

Emplacements :

  Créer un nouvel emplacement nommé « Baltimore » :
    ipa automountlocation-add baltimore

  Afficher le nouvel emplacement :
    ipa automountlocation-show baltimore

  Trouver des emplacements disponibles :
    ipa automountlocation-find

  Supprimer un emplacement « automount » nommé :
    ipa automountlocation-del baltimore

  Afficher ce à quoi les cartes « automount » ressembleraient si elles/n  étaient dans le système de fichiers :
    ipa automountlocation-tofiles baltimore

  Importer une configuration existante à un emplacement :
    ipa automountlocation-import baltimore /etc/auto.master

    L'importation échoue s'il y a une entrée dupliquée. Pour une opération
    en continu en ignorant les erreurs, utiliser l'option --continue.

Cartes :

  Créer une nouvelle carte, « auto.share » :
    ipa automountmap-add baltimore auto.share

  Afficher la nouvelle carte :
    ipa automountmap-show baltimore auto.share

  Trouver les cartes de l'emplacement « baltimore » :
    ipa automountmap-find baltimore

  Créer une carte indirecte avec « auto.share » comme sous-montage :
    ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man

    Ce qui équivaut à :

    ipa automountmap-add-indirect baltimore --mount=/man auto.man
    ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Supprimer la carte « auto.share » :
    ipa automountmap-del baltimore auto.share

Clés :

  Créer une nouvelle clé pour la carte « auto.share » de l'emplacement
  « baltimore ». Cela associe la carte précédemment créée à auto.master :
    ipa automountkey-add baltimore auto.master --key=/share --info=auto.share

  Créer une clé pour la carte « auto.share », monte NFS pour pages « man » :
    ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Trouver toutes les clés de la carte « auto.share » :
    ipa automountkey-find baltimore auto.share

  Trouver toutes les clés « automount » directes :
    ipa automountkey-find baltimore --key=/-

  Supprimer la clé « man » de la carte « auto.share » :
    ipa automountkey-del baltimore auto.share --key=man

Il existe trois types de coffres-forts en fonction de leur propriété :
* coffre utilisateur/privé
* coffre de service
* coffre-fort partagé (shared)

Il existe trois types de coffres-forts en fonction de leur mécanisme
de sécurité :
* coffre-fort standard
* coffre-fort symétrique
* coffre-fort asymétrique

Utilisateur de base

Ceci contient les définitions communes pour les utilisateurs et utilisateurs en attente

Clarifie l'adhésion d'hôtes et d'utilisateurs en configurant des motifs
« regex » d'inclusion ou exclusion à assigner automatiquement aux nouvelles
entrées dans un groupe ou un groupe d'hôtes selon l'information d'attribut.

Classes pour gérer des jonctions de confiance avec des appels DCE-RPC

Le code de ce module s'appuie pour l'essentiel sur le paquet
« samba4-python » et les liaisons python de Samba4.

Relations d'approbation entre domaines

Gestion des relations d'approbation entre les domaines IPA et Active Directory.

Pour permettre aux utilisateurs d'un domaine distant l'accès aux ressources
d'un domaine IPA, des relations d'approbation doivent être établies.
Actuellement IPA ne prend en charge que les relations d'approbation entre des
domaines IPA et Active Directory sous le contrôle de Windows Server 2008 ou
ultérieur, avec le niveau fonctionnel 2008 ou ultérieur.

Veuillez noter que DNS doit être correctement configuré à la fois côté
domaine IPA et côté Active Directory pour une découverte mutuelle. La
relation de confiance repose sur la capacité à repérer des ressources
spéciales dans l'autre domaine via des enregistrements DNS.

Exemples :

1. Établir des relations d'approbation croisées entre royaumes avec Active
Directory avec les autorisations d'accès d'un administrateur AD :

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator> --password

2. Lister toutes les relations d'approbation existantes :

   ipa trust-find

3. Voir les détails d'une relation de confiance donnée :

   ipa trust-show <ad.domain>

4. Supprimer une relation de confiance existante :

   ipa trust-del <ad.domain>

Une fois la relation de confiance établie, les utilisateurs distants doivent
être mis en relation avec des groupes POSIX locaux pour utiliser réellement
des ressources IPA. La relation doit se faire via l'appartenance à un groupe
non-POSIX externe, puis ce groupe doit être intégré dans l'un des groupes
POSIX locaux.

Exemples :

1. Créer un groupe pour la mise en relation avec le domaine approuvé
   « admins » et leur groupe POSIX local :

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Ajouter un identifiant de sécurité de <ad.domain> de Domain Admins au
   groupe « ad_admins_external » :

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Autoriser des membres du groupe « ad_admins_external » à s'associer
   avec le groupe POSIX ad_admins :

   ipa group-add-member ad_admins --groups ad_admins_external

4. Lister les membres externes du groupe externe « ad_admins_external »
   pour voir leur SID :

   ipa group-show ad_admins_external


CONFIGURATION D'UNE CONFIANCE GLOBALE

Une fois le sous-paquet « IPA AD trust » installé et « ipa-adtrust-install »
exécuté, une configuration de domaine local (SID, GUID, nom NetBIOS) est
créée. Ces identifiants sont alors utilisés lors de communications avec un
domaine approuvé de type particulier.

1. Afficher la configuration de confiance globale pour les types de
   confiance Active Directory :

   ipa trustconfig-show --type ad

2. Modifier la configuration globale de toutes les confiances de type
   Active Directory et définir un groupe principal de recours (le GID du
   groupe principal de recours est utilisé comme GID d'utilisateur principal
   si l'utilisateur s'authentifiant auprès du domaine IPA n'a pas d'autre
   GID principal déjà défini) :

   ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group"

3. Revenir au groupe caché par défaut comme groupe de recours principal
   (tout groupe de la classe objet « posixGroup » est autorisé) :

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

La configuration DNS, passée en ligne de commande du script d'installation,
est stockée dans un ficher de configuration local sur chaque serveur IPA 
dans lequel le service DNS est configuré. Ces réglages locaux peuvent être
surchargés par une configuration commune stockée dans le serveur LDAP :

Configuration du serveur DNS

Les données enregistrées dans les serveurs IPA sont répliquées vers les autres
serveurs IPA. Les agréments de réplication définissent la manière dont la 
réplication s'opère. Les agréments de réplication doivent être définis pour 
les deux suffixes de manière séparée. Sur les domaines de niveau 0, ils sont
gérés par les outils ipa-replica-manage et ipa-csreplica-manage tools. Sur 
les domaines de niveau 1, ils sont gérés de manière centralisée par les commandes
« ipa topology* ».

Supprimer ou renommer une permission administrée, ou changer sa cible,
n'est pas autorisé.

Domain Name System (DNS)

INSCRIPTION :

Trois scenarii d'inscriptions d'un nouveau client sont possibles :

1. La machine est enregistrée par un administrateur de plein droit.
   L'entrée système peut pré-exister ou non. Un administrateur de
   plein droit est membre du rôle hostadmin ou du groupe admins
2. L'inscription est faite par un administrateur limité. L'hôte
   doit avoir été préalablement créé. Un administrateur limité
   possède le privilège Host Enrollment.
3. Le système a été créé avec un mot de passe à usage unique.

EXEMPLES :

Afficher les informations au sujet des serveurs IPA installés.

Obtenir l'état des rôles (serveur DNS, AC, etc. )fournis par les maîtres IPA.

Délégation de groupe à groupe

Une permission permet une délégation fine des autorisations. Les règles de
contrôle d'accès, ou les instructions (ACI), accordent la possibilité aux
permissions de réaliser certaines tâches comme l'ajout d'utilisateur, la
modification d'un groupe, etc.

La délégation de groupe à groupe permet aux membres d'un groupe de modifier
un jeu d'attributs de membres d'un autre groupe.

EXEMPLES:

 Ajouter une règle de délégation permettant aux gestionnaires de modifier
 les adresses des employés :
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 En gérant une liste d'attributs, vous devez inclure tous les attributs,
 y compris les existants. Ajouter « postalCode » à la liste :
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Afficher la règle modifiée :
   ipa delegation-show "managers edit employees' street"

 Supprimer une règle :
   ipa delegation-del "managers edit employees' street"

Groupes de commandes sudo

Administre les groupes de commandes sudo.

EXEMPLES :

 Ajouter un nouveau groupe de commandes sudo :
   ipa sudocmdgroup-add --desc='commandes administrateurs' admincmds

 Supprimer un groupe de commandes sudo :
   ipa sudocmdgroup-del admincmds

 Gérer  les commandes, l'appartenance d'un groupe de commandes sudo :
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Administrer  les commandes, l'appartenance d'un groupe de commandes sudo :
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Afficher un groupe de commandes sudo :
   ipa group-show localadmins

Groupes de commandes sudo

Administre les groupes de commandes sudo.

EXEMPLES :

 Ajouter un nouveau groupe de commandes sudo :
   ipa sudocmdgroup-add --desc='commandes administrateurs' admincmds

 Supprimer un groupe de commandes sudo :
   ipa sudocmdgroup-del admincmds

 Gérer  les commandes, l'appartenance d'un groupe de commandes sudo :
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Administrer  les commandes, l'appartenance d'un groupe de commandes sudo :
   ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

 Afficher un groupe de commandes sudo :
   ipa sudocmdgroup-show admincmds

Groupes d'hôtes.

Gestion des groupes d'hôtes. Permet d'appliquer des contrôles d'accès
à plusieurs hôtes en utilisant HBAC (Host-based Access Control).

EXEMPLES :

 Ajouter un nouveau groupe d'hôtes :
   ipa hostgroup-add --desc="Systèmes de Baltimore" baltimore

 Ajouter un nouveau groupe d'hôtes :
   ipa hostgroup-add --desc="Systèmes du Maryland" maryland

 Ajouter des membres à un groupe d'hôtes :
   ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

 Ajouter un groupe d'hôtes en tant que membre d'un autre groupe d'hôtes :
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Supprimer un hôte d'un groupe :
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Afficher un groupe d'hôtes :
   ipa hostgroup-show baltimore

 Supprimer un groupe d'hôtes :
   ipa hostgroup-del baltimore

Groupes de services HBAC

Les groupes de services HBAC peuvent contenir n'importe quel nombre de
services « membres » individuels. Chaque groupe doit avoir une description.

EXEMPLES:

 Ajouter un nouveau groupe de services HBAC :
   ipa hbacsvcgroup-add --desc="login services" login

 Ajouter des membres à un groupe de services HBAC :
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

 Afficher les informations d'un groupe nommé :
   ipa hbacsvcgroup-show login

 Supprimer un groupe de services HBAC :
   ipa hbacsvcgroup-del login

Services HBAC

Les services PAM dont le système HBAC peut contrôler l'accès. Le nom utilisé
ici doit correspondre au nom du service analysé par PAM.
EXEMPLES:

 Ajouter un nouveau service HBAC :
   ipa hbacsvc-add tftp

 Modifier un service HBAC existant :
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Chercher des services HBAC. Cet exemple renvoie deux résultats, le service
 FTP et le service tftp nouvellement ajouté :
   ipa hbacsvc-find ftp

 Supprimer un service HBAC :
   ipa hbacsvc-del tftp


Contrôle d'accès des systèmes (HBAC)

HBAC (Host-based acces control) permet de contrôler qui peut accéder
à quels services sur quels systèmes, et d'où. Il est possible
d'utiliser le système HBAC afin de contrôler quels utilisateurs ou quels
groupes d'un système source peuvent accéder à quels services, ou groupes
de services, sur un hôte cible.

Vous pouvez aussi indiquer une catégorie d'utilisateur, d'hôtes cibles.
La seule catégorie existante pour le moment est "all", mais elles
pourront être étendues dans le futur.

Les hôtes cible des règles HBAC doivent être des hôtes administrés par IPA.

Les services et groupes de services disponibles sont gérés respectivement
par les greffons « hbacsvc » et « hbacsvcgroup ».

EXEMPLES:

 Créer une règle "test1" autorisant tous les utilisateurs à accéder
 le serveur « server » depuis n'importe où :
   ipa hbacrule-add --usercat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Afficher les propriétés d'une règle HBAC nommée :
   ipa hbacrule-show test1

 Créer une règle pour un service donné. Elle permet d'avoir accés au
 service sshd sur toute machine depuis n'importe quelle autre machine :
   ipa hbacrule-add --hostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Créer une règle pour un nouveau groupe de services. Elle permet d'avoir
 accès au service FTP de toute machine depuis n'importe quelle machine.
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
   ipa hbacrule-add --hostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Désactiver une règle HBAC nommée :
   ipa hbacrule-disable test1

 Supprimer une règle HBAC nommée :
   ipa hbacrule-del allow_server


Hôtes/Machines

Un hôte représente une machine. Il peut être utilisé dans de nombreux contextes :
- les entrées de services sont associées à un hôte,
- un hôte stocke le principal des hôtes/des services,
- un hôte est utilisable dans les règles HBAC (Host-based Access Control),
- chaque client enregistré génère une entrée d'hôte.

Gestion de certficats IPA

Implémente un jeu de commandes pour gérer les certificats SSL du serveur.

Les demandes de certificats existent sous la forme de
« Certificate Signing Request (CSR) » au format PEM.

La plaque d'identité CA n'utilise que la valeur CN du CSR et force le reste
du sujet aux valeurs configurées dans le serveur.

Un certificat est enregistré avec un principal de service et un principal
 de service a besoin d'un hôte.

Donc, pour demander un certificat :

* l'hôte doit exister
* le service doit exister (utiliser --add pour l'ajouter automatiquement)

RECHERCHE :

Les certificats peuvent être recherchés par sujet, numéro de série,
motif de révocation, dates de validité et date d'émission.

En recherchant par dates, _from effectue une recherche >= à la date et _to
une recherche <= à la date. Combinées, elles sont équivalentes à un AND.

La date est traitée comme GMT pour correspondre aux dates de certificats.

La date est au format YYYY-mm-dd.

EXEMPLES :

 Demander un nouveau certificat et ajouter le principal :
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Retrouver un certificat existant :
   ipa cert-show 1032

 Révoquer un certificat (voir RFC 5280 pour le détail des raisons) :
   ipa cert-revoke --revocation-reason=6 1032

 Lever l'état de maintien de révocation d'un certificat :
   ipa cert-remove-hold 1032

 Vérifier l'état d'une demande de signature :
   ipa cert-status 10

 Rechercher des certificats par nom d'hôte :
   ipa cert-find --subject=ipaserver.example.com

 Rechercher les certificats révoqués par motif :
   ipa cert-find --revocation-reason=5

 Rechercher les certificats selon la date d'émission :
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

Actuellement IPA émet (ou refuse) aussitôt toute demande de certificat, donc
l'état d'une requête ne sert normalement pas. C'est en vue d'une utilisation
future ou au cas où un CA n'émettrait pas immédiatement un certificat.

Les motifs de révocation suivants sont pris en charge :

    * 0 - « unspecified » (non précisé)
    * 1 - « keyCompromise » (clé compromise)
    * 2 - « cACompromise » (CA compromis)
    * 3 - « affiliationChanged » (affiliation modifiée)
    * 4 - « superseded » (remplacé)
    * 5 - « cessationOfOperation » (arrêt d'opération)
    * 6 - « certificateHold » (certificat retenu)
    * 8 - « removeFromCRL » (sorti du CRL)
    * 9 - « privilegeWithdrawn » (retrait de privilège)
    * 10 - « aACompromise » (compromission)

Notez que le motif code 7 ne sert pas. Voir RFC 5280 pour plus de détails :

http://www.ietf.org/rfc/rfc5280.txt


Emplacements IPA

IPA permet la désignation d'un DN de liaison à utiliser avec sudo situé à :
uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

IPA offre les moyens de configurer les divers aspects de sudo :
   Users : utilisateur/groupe autorisés à invoquer sudo.
   Hosts : hôte/groupe d'hôte dont l'utilisateur peut invoquer sudo.
   Allow Command : commande donnée pouvant être exécutée via sudo.
   Deny Command : commande donnée interdite d'exécution avec sudo.
   RunAsUser : utilisateur ou groupe dont les droits sudo pourront être invoqués.
   RunAsGroup : groupe dont les droits sudo associés au GID pourront être invoqués.
   Options : les diverses options de sudoers pouvant modifier le comportement de sudo.

Rôles serveurs IPA

Les données des serveurs IPA sont enregistrées dans le serveur LDAP
sous deux suffixes :
* le suffixe de domain, par exemple « dc=example,dc=com », qui contient toutes
   les informations relatives au domaine ;
* le suffixe ca, « o=ipaca », qui n'est présent que sur les serveurs où l'autorité de certification
   est installée. Il contient les données nécessaire au composant Certificate Server

Serveurs IPA

IPA prend en charge l'utilisation de jetons OTP pour une authentification
à facteurs multiples. Ce code active la gestion des jetons OTP.

IPA prend en charge l'utilisation d'un serveur mandataire externe RADIUS
pour des authentifications OTP « krb5 ». Cela procure une grande souplesse
pour l'intégration des services d'authentification tierce partie.

Il peut être difficile de manier de tels enregistrements DNS sans erreurs et
sans entrer de valeur invalide. Le module DNS fournit une abstraction pour
ces enregistrements bruts afin de manier chaque type RR avec des options
données. Pour tout type RR pris en charge, le module DNS fournit une option
standard pour manier l'enregistrement brut avec le format --<rrtype>-rec,
ex. --mx-rec, et des options spéciales pour chaque élément de structure RR
avec le format --<rrtype>-<partname>, ex. --mx-preference ou --mx-exchanger.

Rejoindre un domaine IPA

Options de « pkinit » de Kerberos

Activer ou désactiver l'opération « pkinit » anonyme en utilisant le
principal WELLKNOWN/ANONYMOUS@REALM. Le serveur doit avoir
été installé avec la prise en charge de « pkinit ».

EXEMPLES :

 Activer le « pkinit » anonyme :
  ipa pkinit-anonymous enable

 Désactiver le « pkinit » anonyme :
  ipa pkinit-anonymous disable

Pour plus d'informations sur « pkinit » anonyme, cf. :

http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit

Politique de tickets Kerberos

Il n'existe qu'une seule politique de ticket Kerberos. Cette politique
définit la durée de vie maximale des tickets, ainsi que la durée maximale de
la période de renouvellement, temps pendant lequel le ticket est renouvelable.

Vous pouvez aussi créer une politique de ticket par utilisateur en indiquant
l'identifiant de l'utilisateur.

Pour que les changements à la politique globale s'appliquent, il est 
nécessaire de redémarrer le service KDC, par exemple :

service krb5kdc restart

Les changements d'une politique propre à un utilisateur prennent effet
immédiatement pour les tickets nouvellement demandés (i.e. au lancement
suivant de « kinit » par l'utilsateur).

EXEMPLES :

 Affiche la politique de ticket Kerberos en cours :
  ipa krbtpolicy-show

 Réinitialise la politique aux valeurs par défaut :
  ipa krbtpolicy-reset

 Modifie la politique à 8 heures de durée de vie, 1 journée de durée
 maximale de renouvellement :
  ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400

 Affiche la politique de ticket Kerberos effective pour l'utilisateur
 « admin » :
  ipa krbtpolicy-show admin

 Réinitialise la politique de ticket Kerberos de l'utilisateur « admin » :
  ipa krbtpolicy-reset admin

 Modifie la politique de ticket Kerberos de l'utilisateur 'admin' :
  ipa krbtpolicy-mod admin --maxlife=3600

Gestion des règles de LCA de l'AC.

Ce grffon est utilisé pour définir les règles gouvernant quels  principaux 
sont autorisés à se voir attribuer des certificats à l'aide d'un profil
donné de certificat.

SYNTAXE D'IDENTIFIANT DE PROFIL :

Un identifiant de profil est une chaîne sans espace ni ponctuation débutant par
une lettre et suivie d'une séquence de lettres, chiffres, ou caractère souligné ("_").

EXEMPLES :

  Créer une LCA d'AC « test » autorisant tous les utilisateurs à accéder 
  au profil « UserCert » :
    ipa caacl-add test --usercat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Afficher les propriétés d'une LCA d'AC nommée :
    ipa caacl-show test

  Créer une LCA d'AC autorisant l'utilisatrice « alice » à utiliser le profile « DNP3 » :
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Désactiver une LCA d'AC :
    ipa caacl-disable test

  Supprimer une LCA d'AC :
    ipa caacl-del test

Gestion des profils de certificats

Les profils de certificats sont utilisés par l'autorité de certification (AC) dans
la signature de certificats afin de déterminer si une demande de signature de
certificat (Certificate Signing Request, CSR) est acceptable, et si oui, quelles
fonctionnalités et extensions doivent figurer dans le certificat.

Le format du profil de certificat est un format de liste de propriétés qui sera
compris par une autorité de certification Dogtag ou Red Hat Certificate System.

SYNTAXE DE L'IDENTIFIANT DE PROFIL :

Un identifiant de profil est une chaîne de caractères sans espaces ni caractère de
ponctuation débutant par une lettre suivie d'une séquence de lettres, de chiffres et
de caractère souligné (« _ »).

EXEMPLES :

  Importer un profil qui ne stockera pas les certificats émis :
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --summary "User Certificates" \
      --store=false

  Supprimer un profil de certificat :
    ipa certprofile-del ShortLivedUserCert

  Afficher les informations sur un profil :
    ipa certprofile-show ShortLivedUserCert

  Enregistrer la configuration du profil dans un fichier :
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Rechercher des profils ne stockant pas les certificats :
    ipa certprofile-find --store=false

FORMAT DE LA CONFIGURATION DE PROFIL :

Le format de configuration de profil est un format brut de liste de 
propriété utilisé par Dogtag Certificate System.  Le format  XML n'est
pas pris en charge.

Les restrictions suivantes s'appliquent aux profils gérés par IPA :

- Lors de l'import d'un profil, le champ « profileId » s'il est présent doit
  correspondre à l'identifiant donné sur la ligne de commande.

- Le champ « classId » doit être  « caEnrollImpl »

- Le champ « auth.instance_id  doit être « raCertAuth »

- Les classe d'entrée « certReqInputImpl » et de sortie « certOutputImpl » doivent 
  être utilisées.

Gérer la zone DNS et les enregistrements de ressources.

Gérer les jetons OTP.

Gestion des serveurs mandataires RADIUS.

Gestion de jetons YubiKey.

Gestion des coffres-forts.

Permissions administrées

Manipulation des emplacements DNS

Manipulation de la configuration du serveur DNS

Migration vers IPA

Migration d'utilisateurs et de groupes d'un serveur LDAP vers IPA.

Ceci réalise une requête LDAP sur le serveur distant pour rechercher
utilisateurs et groupes dans un conteneur. Pour faire migrer les mots de
passe, vous devez vous connecter en tant qu'utilisateur capable de lire
l'attribut « userPassword » sur le serveur distant : chose généralement
réservée aux administrateurs de haut niveau comme « cn=Directory Manager »
dans 389-ds (utilisateur de connexion par défaut).

Par défaut, le conteneur utilisateur est ou=People.

Par défaut, le conteneur groupe est ou=Groups.

Utilisateurs et groupes préexistants sur le serveur IPA ne sont pas touchés.

Deux schémas LDAP définissent comment les membres d'un groupe sont
enregistrés : RFC2307 et RFC2307bis. RFC2307bis utilise « member » et
« uniquemember » pour définir les membres d'un groupe, RFC2307 utilise
« memberUid ». Le schéma par défaut est RFC2307bis.

La fonctionnalité « compat » du schéma autorise IPA à formater à nouveau
les données pour les systèmes ne prenant pas en charge RFC2307bis. Il est
recommandé de désactiver cette fonction pendant la migration pour éviter
de surcharger le système. Vous la réactiverez après migration. Pour faire
la migration avec la fonction activée,utilisez l'option « --with-compat ».

Les utilisateurs migrés n'ont pas de référence Kerberos, ils n'ont que leur
mot de passe LDAP. Pour achever le processus de migration, les utilisateurs
doivent aller à la page http://ipa.example.com/ipa/migration et
s'authentifier en utilisant leur mot de passe LDAP pour générer leur
justificatif d'identité Kerberos.

Par défaut, la migration est désactivée. Utilisez la commande
« ipa config-mod » pour l'activer :

 ipa config-mod --enable-migration=TRUE

Si un DN de base n'est pas indiqué avec « --basedn », IPA utilise alors,
soit la valeur de « defaultNamingContext » si elle est définie, soit la
première valeur fixée dans « namingContexts » dans la racine du serveur LDAP
distant.

Les utilisateurs sont ajoutés comme membres du groupe utilisateur par défaut.
Cela peut être une tâche demandant du temps, ainsi pendant la migration cela
se fait en mode lot par tranches de 100 utilisateurs. Il y aura donc
une fenêtre dans laquelle les utilisateurs seront ajoutés à IPA, mais
ne seront pas encore membres du groupe d'utilisateurs par défaut.

EXEMPLES :

 Migration la plus simple, acceptant tous les paramètres par défaut :
   ipa migrate-ds ldap://ds.example.com:389

 En précisant le conteneur utilisateur et groupe. S'utilise pour migrer les
données utilisateur et groupe d'un serveur IPA v1 :
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
                  --group-container='cn=groups,cn=accounts' \
                  ldap://ds.example.com:389

 Comme un serveur IPA v2 comporte déjà des groupes prédéfinis pouvant entrer
en conflit avec des groupes du serveur (IPA v1) migré (par exemple admins,
ipausers), des utilisateurs dans un groupe en conflit comme groupe principal
peuvent se voir rattachés à un groupe inconnu sur le nouveau serveur IPA v2.
 Utilisez l'option « --group-overwrite-gid » pour écraser le GID des groupes
préexistants afin d'éviter ce problème :
    ipa migrate-ds --group-overwrite-gid \
                   --user-container='cn=users,cn=accounts' \
                   --group-container='cn=groups,cn=accounts' \
                   ldap://ds.example.com:389

 Utilisateurs ou groupes migrés peuvent avoir des classes d'objets et
attributs associés inconnus du serveur IPA v2. Ces classes d'objets et
attributs doivent être tenus en dehors du processus de migration :
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
                   --group-container='cn=groups,cn=accounts' \
                   --user-ignore-objectclass=radiusprofile \
                   --user-ignore-attribute=radiusgroupname \
                   ldap://ds.example.com:389

JOURNALISATION

La migration inscrit des avertissements et des erreurs sur le journal
d'erreurs Apache. Ce fichier devra être examiné après la migration pour
corriger ou enquêter sur tout problème qui serait mentionné.

Tous les 100 utilisateurs migrés un message de niveau info est affiché
indiquant l'avancement en cours et la durée écoulée pour permettre un suivi
du processus de progression de la migration.

Si le niveau de journalisation est « debug », en définissant « debug=True »
soit dans « /etc/ipa/default.conf », soit dans « /etc/ipa/server.conf »,
alors une entrée est inscrite pour chaque utilisateur ajouté, plus un
résumé quand le groupe utilisateur par défaut est mis à jour.

Migration vers IPA

Migration d'utilisateurs et de groupes d'un serveur LDAP vers IPA.

Ceci réalise une requête LDAP sur le serveur distant pour rechercher
utilisateurs et groupes dans un conteneur. Pour faire migrer les mots de
passe, vous devez vous connecter en tant qu'utilisateur capable de lire
l'attribut « userPassword » sur le serveur distant : chose généralement
réservée aux administrateurs de haut niveau comme « cn=Directory Manager »
dans 389-ds (utilisateur de la connexion par défaut).

Par défaut, le conteneur utilisateur est ou=People.

Par défaut, le conteneur groupe est ou=Groups.

Utilisateurs et groupes préexistants sur le serveur IPA ne sont pas touchés.

Deux schémas LDAP définissent comment les membres d'un groupe sont
enregistrés : RFC2307 et RFC2307bis. RFC2307bis utilise « member » et
« uniquemember » pour définir les membres d'un groupe, RFC2307 utilise
« memberUid ». Le schéma par défaut est RFC2307bis.

La fonctionnalité « compat » du schéma autorise IPA à formater à nouveau
les données pour les systèmes ne prenant pas en charge RFC2307bis. Il est
recommandé de désactiver cette fonction pendant la migration pour éviter
de surcharger le système. Vous la réactiverez après migration. Pour faire
la migration avec la fonction activée,utilisez l'option « --with-compat ».

Les utilisateurs migrés n'ont pas de référence Kerberos, ils n'ont que leur
mot de passe LDAP. Pour achever le processus de migration, les utilisateurs
doivent aller à la page http://ipa.example.com/ipa/migration et
s'authentifier en utilisant leur mot de passe LDAP pour générer leur
justificatif d'identité Kerberos.

Par défaut, la migration est désactivée. Utilisez la commande
« ipa config-mod » pour l'activer :

 ipa config-mod --enable-migration=TRUE

Si un DN de base n'est pas indiqué avec « --basedn », IPA utilise alors,
soit la valeur de « defaultNamingContext » si elle est définie, soit la
première valeur fixée dans « namingContexts » dans la racine du serveur LDAP
distant.

Les utilisateurs sont ajoutés comme membres du groupe utilisateur par défaut.
Cela peut être une tâche demandant du temps, ainsi pendant la migration cela
se fait en mode « batch » par tranches de 100 utilisateurs. Il y aura donc
une fenêtre dans laquelle les utilisateurs seront ajoutés à IPA, mais
ne seront pas encore membres du groupe d'utilisateurs par défaut.

EXEMPLES :

 Migration la plus simple, acceptant tous les paramètres par défaut :
   ipa migrate-ds ldap://ds.example.com:389

 En précisant le conteneur utilisateur et groupe. S'utilise pour migrer les
données utilisateur et groupe d'un serveur IPA v1 :
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
                  --group-container='cn=groups,cn=accounts' \
                  ldap://ds.example.com:389

 Comme un serveur IPA v2 comporte déjà des groupes prédéfinis pouvant entrer
en conflit avec des groupes du serveur (IPA v1) migré (par exemple admins,
ipausers), des utilisateurs dans un groupe en conflit comme groupe principal
peuvent se voir rattachés à un groupe inconnu sur le nouveau serveur IPA v2.
 Utilisez l'option « --group-overwrite-gid » pour écraser le GID des groupes
préexistants afin d'éviter ce problème :
    ipa migrate-ds --group-overwrite-gid \
                   --user-container='cn=users,cn=accounts' \
                   --group-container='cn=groups,cn=accounts' \
                   ldap://ds.example.com:389

 Utilisateurs ou groupes migrés peuvent avoir des classes d'objets et
attributs associés inconnus du serveur IPA v2. Ces classes d'objets et
attributs doivent être tenus en dehors du processus de migration :
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
                   --group-container='cn=groups,cn=accounts' \
                   --user-ignore-objectclass=radiusprofile \
                   --user-ignore-attribute=radiusgroupname \
                   ldap://ds.example.com:389

JOURNALISATION

La migration inscrit des avertissements et des erreurs sur le journal
d'erreurs Apache. Ce fichier devra être examiné après la migration pour
corriger ou enquêter sur tout problème qui serait mentionné.

Tous les 100 utilisateurs migrés un message de niveau info est affiché
indiquant l'avancement en cours et la durée écoulée pour permettre un suivi
du processus de progression de la migration.

Si le niveau de journalisation est « debug », en définissant « debug=True »
soit dans « /etc/ipa/default.conf », soit dans « /etc/ipa/server.conf »,
alors une entrée est inscrite pour chaque utilisateur ajouté, plus un
résumé quand le groupe utilisateur par défaut est mis à jour.

Greffons divers

Groupes réseau

Un groupe réseau est un groupe utilisé pour la vérification des droits.
Il peut contenir à la fois des valeurs utilisateur et hôte.

EXEMPLES :

 Ajouter un nouveau groupe réseau :
   ipa netgroup-add --desc="NFS admins" admins

 Ajouter des membres au groupe réseau :
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

 Retirer un membre du groupe réseau :
   ipa netgroup-remove-member --users=tuser2 admins

 Afficher les informations sur un groupe réseau :
   ipa netgroup-show admins

 Supprimer un groupe réseau :
   ipa netgroup-del admins

Notez la distinction entre attributs et entrées. Les permissions sont
indépendantes, donc la possibilité d'ajouter un utilisateur ne signifie
pas qu'il est possible de les modifier.

Jetons OTP

Jetons OTP

Configuration des jetons OTP.

IPA prend en charge l'utilisation de jetons OTP pour une authentification
à facteurs multiples. Ce code active la gestion des jetons OTP.

EXEMPLES :

 Ajouter un nouveau jeton :
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Examiner un jeton :
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Modifier le fournisseur :
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Supprimer un jeton :
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

Configuration OTP

Gestion des valeurs par défaut utilisées par IPA pour les jetons OTP.

EXEMPLES :

 Afficher la configuration de base OTP :
   ipa otpconfig-show

 Afficher toutes les options de configuration OTP :
   ipa otpconfig-show --all

 Modifier la fenêtre maximale d'authentification TOTP à 10 minutes :
   ipa otpconfig-mod --totp-auth-window=600

 Modifier la fenêtre maximale d'authentification TOTP à 12 heures :
   ipa otpconfig-mod --totp-sync-window=43200

 Modifier la fenêtre maximale d'authentification HOTP à 5 :
   ipa hotpconfig-mod --hotp-auth-window=5

 Modifier la fenêtre maximale d'authentification HOTP à 50 :
   ipa hotpconfig-mod --hotp-sync-window=50

Politique de mots de passe

Une politique de mots de passe permet de définir des limites sur les mots de
passe dans IPA, comme leur durée de vie, minimale ou maximale, la taille de
l'historique de mots de passe, le nombre de classes de caractères requises
(pour la résistance à force brute) et la longueur minimale du mot de passe.

Par défaut, une politique unique et globale est définie pour tous les
utilisateurs. Vous pouvez aussi créer une politique à appliquer à un groupe.
Chaque utilisateur est l'objet d'une seule politique de mots de passe, par
un groupe ou par la politique globale. Une politique de groupe remplace
totalement la politique globale ; elle n'est pas la somme de la politique
globale plus quelques paramètres spécifiques.

Chaque politique de groupe requiert un paramètre de priorité unique. Si un
utilisateur appartient à plusieurs groupes ayant des politiques différentes,
la priorité sera utilisée afin de déterminer quelle politique appliquer.
Une petite valeur indique une priorité élevée de politique.

Les politiques de mots de passe sont automatiquement supprimées quand les
groupes auxquels elles ont été associées sont supprimés.

EXEMPLES :

 Modifier la politique globale :
   ipa pwpolicy-mod --minlength=10

 Ajouter une nouvelle politique de groupe :
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Afficher la politique de mots de passe globale :
   ipa pwpolicy-show

 Afficher une politique de mots de passe de groupe :
   ipa pwpolicy-show localadmins

 Afficher la politique applicable à un utilisateur :
   ipa pwpolicy-show --user=tuser1

 Modifier une politique de mots de passe de groupe :
   ipa pwpolicy-mod --minclasses=2 localadmins

Permissions

Les permissions venant par défaut avec IPA sont dites « administrées ».
Un jeu d'attributs par défaut leur a été appliqué, mais l'administrateur
peut ajouter/supprimer des attributs individualisés à cet ensemble.

« Ping » sur un serveur IPA distant pour s'assurer de son fonctionnement.

La commande « ping » envoie une requête « echo « au serveur IPA. Le serveur
renvoie ses informations de version. Ce mécanisme est utilisé par le client
IPA pour confirmer que le serveur est disponible et est en mesure d'accepter
les requêtes.

Le serveur indiqué par « xmlrpc_uri » dans « /etc/ipa/default.conf » est
contacté en premier. S'il ne répond pas alors le client contactera n'importe
quel autre serveur défini dans les enregistrements SRV du DNS.

EXEMPLES :

 « Ping » d'un serveur IPA :
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 « Ping » verbeux d'un serveur IPA :
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Greffons non accessibles depuis la ligne de commande, commandes utilisées en interne

Privilèges

Un privilège combine les permissions en tâches logiques. Une permission
fournit les droits de réaliser une tâche unique. Certaines opérations IPA
requièrent une combinaison de plusieurs permissions. Un privilège est la
combinaison de ces permissions pour réaliser une tâche.

Par exemple, la création d'utilisateurs requiert les permissions suivantes :
 * création d'une nouvelle entrée
 * réinitialisation du mot de passe
 * ajout du nouvel utilisateur au groupe d'utilisateurs par défaut de IPA

La combinaison de ces trois tâches de bas niveau en privilège nommé
« Add User » facilite la gestion des rôles.

Un privilège ne peut contenir d'autres privilèges.

Reportez-vous la gestion des rôles et des permissions pour plus d'informations.

Fournit des capacités d'introspection de l'API.

Serveurs mandataires RADIUS

RADIUS Proxy Servers

Gestion des serveurs mandataires RADIUS.

IPA prend en charge l'utilisation d'un serveur mandataire externe RADIUS
pour des authentifications OTP « krb5 ». Cela procure une grande souplesse
pour l'intégration des services d'authentification tierce partie.


EXEMPLES:

 Ajouter un nouveau serveur :
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Rechercher tous les serveurs dont les entrées incluent la chaîne « example.com » :
   ipa radiusproxy-find example.com

 Afficher la configuration:
   ipa radiusproxy-show MyRADIUS

 Modifier le secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Supprimer la configuration:
   ipa radiusproxy-del MyRADIUS

RÉINSCRIPTION :

Un hôte déjà inscrit à un certain endroit ayant perdu sa configuration
(ex.: parce que sa VM a été supprimée), peut être réinscrit.

Pour plus d'informations, consulter les pages « man » de ipa-client-install.

Un hôte peut facultativement stocker des informations complémentaires
comme sa localisation, le système d'exploitation qu'il exécute, etc.

Relever le niveau du domaine IPA.

Domaines du royaume

Gérer la liste des domaines associés au royaume IPA.

EXEMPLES:

 Afficher la liste actuelle des domaines du royaume :
   ipa realmdomains-show

 Remplacer la liste des domaines du royaume :
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Ajouter un domaine à la liste des domaines du royaume :
   ipa realmdomains-mod --add-domain=newdomain.com

 Supprimer un domaine de la liste des domaines du royaume :
   ipa realmdomains-mod --del-domain=olddomain.com

La suppression de « %(hostname)s » engendre une déconnexion de la topologie de réplication pour le suffixe « %(suffix)s » :
%(errors)s
La topologie de réplication dans le suffixe « %(suffix)s » est déconnectée :
%(errors)s
Les droits définissent les opérations permises ; ce sont un ou plusieurs
des éléments suivants :
1. write - écrire un ou plusieurs attributs
2. read - lire un ou plusieurs attributs
3. search - rechercher un ou plusieurs attributs
4. compare - comparer un ou plusieurs attributs
5. add - ajouter une nouvelle entrée dans l'arbre
6. delete - supprimer une entrée existante
7. all - toutes les permissions sont garanties

Rôles

Les rôles sont utilisés pour affiner les délégations. Une permission accorde
la capacité d'effectuer une tâche de bas niveau (ajouter un utilisateur,
modifier un groupe, etc.). Un privilège combine une ou plusieurs
permissions en une abstraction de plus haut niveau comme « useradmin ». Un
administrateur d'utilisateur (useradmin) sera capable d'ajouter, modifier
et supprimer des utilisateurs.

Les privilèges sont assignés aux rôles.

Peuvent être membres d'un rôle des utilisateurs, des groupes, des systèmes
et des groupes de systèmes.

Les rôles ne peuvent contenir d'autres rôles.

EXEMPLES :

 Ajouter un nouveau rôle :
   ipa role-add --desc="Junior-level admin" junioradmin

 Ajouter des privilèges à ce rôle :
   ipa role-add-privilege --privileges=addusers junioradmin
   ipa role-add-privilege --privileges=change_password junioradmin
   ipa role-add-privilege --privileges=add_user_to_default_group junioradmin

 Ajouter un groupe d'utilisateurs à ce rôle :
   ipa group-add --desc="User admins" useradmins
   ipa role-add-member --groups=useradmins junioradmin

 Afficher les informations sur un rôle :
   ipa role-show junioradmin

 Le résultat des commandes ci-dessus fait que le groupe « junioradmin »
 peut ajouter des utilisateurs, réinitialiser des mots de passe, ou ajouter
 un utilisateur au groupe d'utilisateur par défaut de IPA.

Mappage d'utilisateur SELinux

Fait correspondre des utilisateurs IPA aux utilisateurs SELinux par hôte.

Hôtes, groupes d'hôtes, utilisateurs et groupes peuvent être définis par
rapport, soit à la règle, soit en pointant vers une règle HBAC existante.
En utilisant l'option « --hbacrule » de « selinuxusermap-find », une
recherche de correspondance exacte est faite sur le nom de la règle HBAC,
de sorte qu'une seule entrée sera renvoyée ou bien aucune.

EXEMPLES :

 Créer une règle « test1 » qui attribue à tous les utilisateurs le contexte
« xguest_u:s0 » sur l'hôte « server » :
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

 Créer une règle « test2 » qui attribue à tous les utilisateurs le contexte
« guest_u:s0 » et utilise une règle HBAC existante pour utilisateurs et hôtes :
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test1

 Afficher les propriétés d'une règle :
   ipa selinuxusermap-show test2

 Créer une règle pour un utilisateur donné. Elle fixe le contexte
 SELinux de l'utilisateur « john » à « unconfined_u:s0-s0:c0.c1023 »
 sur toute machine :
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Désactiver une règle :
   ipa selinuxusermap-disable test1

 Activer une règle :
   ipa selinuxusermap-enable test1

 Trouver une règle référençant une règle HBAC donnée :
   ipa selinuxusermap-find --hbacrule=allow_some

 Supprimer une règle :
   ipa selinuxusermap-del john_unconfined

VOIR AUSSI :

 La liste contrôlant l'ordre dans lequel la mappe d'utilisateurs SELinux
 est appliquée, ainsi que l'utilisateur SELinux par défaut, sont disponibles
 avec la commande « config-show ».

TYPES DE ZONE PRIS EN CHARGE

 * Zone maître (dnszone-*), contient les données faisant autorité.
 * Zone redirigée (dnsforwardzone-*), qui transfère les requêtes aux redirecteurs
   configurés (un ensemble de serveurs DNS).

Permissions de libre service

Une permission permet d'affiner une délégation de permissions. Les règles ou
instructions de contrôle d'accès (ACI) accordent la permission de donner les
permissions d'effectuer des tâches données comme ajouter un utilisateur,
modifier un groupe, etc.

Une permission de libre service définit ce qu'un objet peut modifier dans sa
propre entrée.


EXEMPLES :

 Ajouter une règle de libre service permettant aux utilisateurs de gérer
leurs adresses (avec les extensions entre accolades de Bash) :
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address"

 En gérant les listes d'attributs, vous devez incorporer tous les attributs
dans la liste, y compris les existants.
 Ajouter « telephoneNumber » à la liste (avec extension entre accolades Bash) :
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address"

 Afficher la règle modifiée :
   ipa selfservice-show "Users manage their own address"

 Supprimer une règle :
   ipa selfservice-del "Users manage their own address"

Configuration du serveur

Gérer les valeurs par défaut utilisées par IPA ainsi que certains de ses
paramètres d'ajustement.

NOTES :

La valeur de notification du mot de passe (--pwdexpnotify) est stockée ici
en vue de sa réplication. Elle n'est pas actuellement utilisée pour notifier
par avance aux utilisateurs l'expiration de leur mot de passe.

Certains attributs sont en lecture seule, fournis à titre d'information ;
ils comprennent :

* la base sujet de certificat : la base de sujet de certificat configuré,
  ex. O=EXAMPLE.COM, configurable uniquement à l'installation.
* les fonctions du greffon mots de passe : définit les hachages additionnels
  qu'un mot de passe va générer (d'autres conditions peuvent s'appliquer).

En fixant la liste ordonnée pour le mappage des utilisateurs SELinux, vous
devez mettre entre guillemets les valeurs pour éviter leur interprétation.

EXEMPLES :

 Afficher la configuration de base du serveur :
   ipa config-show

 Afficher toutes les options de configuration :
   ipa config-show --all

 Modifier la longueur maximale d'un nom d'utilisateur à 99 caractères :
   ipa config-mod --maxusername=99

 Augmenter délais et limites de taille des recherches sur le serveur IPA :
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Définir le domaine pour les courriels de l'utilisateur par défaut :
   ipa config-mod --emaildomain=example.com

 Activer le mode migration pour que « ipa migrate-ds » soit opérationelle :
   ipa config-mod --enable-migration=TRUE

 Définir l'ordre de la mappe des utilisateurs SELinux :
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Délégation contrainte de services

Gérez les règles permettant la délégation contrainte d'informations
d'authentification de façon à ce qu'un service puisse se faire passer
pour un utilisateur lors de la communication avec un service sans
que cela ne nécessite de la part de l'utilisateur de transmettre son TGT.
Cela constitue une méthode bien meilleure de délégation d'identification
car elle évite l'exposition du secret court terme de l'utilisateur.

La convention de nommage est d'ajouter le mot « target » ou « targets »
au nom de la règle de correspondance. Ce poitn n'est pas obligatoire mais
aide à visualiser l'association entre règles et cibles.

Une règle est constituée de deux choses :
  - une liste de cibles auxquelles la règle s'applique,
  - une liste de memberPrincipals qui sont autorisés à leur déléguer
    leurs droits.

Une cible consiste en une liste de principaux qui peuvent être délégués.

En anglais, une règle que ce principal peut déléguer comme cette liste
de principaux, tels que définis par ces cibles.

EXEMPLES :

 Ajouter une nouvelle règle de délégation contrainte :
   ipa servicedelegationrule-add ftp-delegation

 Ajouter une nouvelle cible de délégation contrainte :
   ipa servicedelegationtarget-add ftp-delegation-target

 Ajouter un principal à la règle :
   ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com       ftp-delegation

 Ajouter notre cible à la règle :
   ipa servicedelegationrule-add-target       --servicedelegationtargets=ftp-delegation-target ftp-delegation

 Add un principal à la cible :
   ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com       ftp-delegation-target

 Afficher les informations au sujet d'une règle de délégation et sa cible :
   ipa servicedelegationrule_show ftp-delegation
   ipa servicedelegationtarget_show ftp-delegation-target

 Supprimer une délégation contrainte :
   ipa servicedelegationrule-del ftp-delegation-target
   ipa servicedelegationtarget-del ftp-delegation

Dans cet exemple, le service ftp peut obtenir un TGT pour le service ldap
au nom de l'utilisateur associé.

Il est fortement découragé de modifier les délégations livrées avec IPA,
ipa-http-delegation et ses cibles ipa-cifs-delegation-targets et
ipa-ldap-delegation-targets. Des modifications erronées peuvent obérer
la capacité de délégation, en provoquant l'arrêt de fonctionnement du
moteur.

Services

Un service IPA représente un service qui s'exécute sur un hôte. L'enregistrement du
service IPA peut contenir un principal Kerberos, un certificat SSL ou les deux.

Un service IPA peut être directement géré à partir d'une machine, pour
autant que des permissions adéquates aient été données à la machine. Ceci
est vrai même pour les machines autres que celle à laquelle le service est
associé. Par exemple, demander un certificat SSL en utilisant les
justificatifs d'identité du principal du service de l'hôte. Pour gérer un
service en utilisant les références de l'hôte, vous devrez exécuter
« kinit » en tant qu'hôte :

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Ajouter un service IPA permet au service associé de demander un certificat
SSL ou un tableau de clés, mais cela est réalisé dans une étape distincte ;
cela n'est pas le résultat de l'ajout du service.

Seule la composante publique du certificat est stockée dans un
enregistrement de service ; la clé privée n'y est pas enregistrée.

EXEMPLES :

 Ajouter un nouveau service IPA :
   ipa service-add HTTP/web.example.com

 Autoriser un hôte à gérer un certificat de service IPA :
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Écraser la liste par défaut des types PAC pris en charge pour le service :
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

   NFS est un cas classique où la surcharge du type PAC est nécessaire.
   Actuellement, le code relatif à cette fonction dans le noyau Linux ne gère
   les tickets Kerberos que jusqu'à une taille maximale donnée. Comme les
   données PAC peuvent devenir bien plus grandes, il est recommandé de fixer
   « --pac-type=NONE » pour les services NFS.

 Supprimer un service IPA :
   ipa service-del HTTP/web.example.com

 Trouver tous les services IPA associés à un hôte :
   ipa service-find web.example.com

 Trouver tous les service HTTP :
   ipa service-find HTTP

 Désactiver la clé Kerberos et le certificat SSL d'un service :
   ipa service-disable HTTP/web.example.com

 Demander un certificat pour un service IPA :
   ipa cert-request --principal=HTTP/web.example.com example.csr

Définir le mot de passe d'un utilisateur

Si une personne autre que l'utilisateur change le mot de passe de cet
utilisateur (par exemple en cas de réinitialisation par les services
d'assistance technique), le mot de passe devra être modifié la première
fois qu'il sera utilisé, afin que l'utilisateur soit le seul à connaître
son mot de passe.

La politique de mot de passe de IPA contrôle la fréquence de changement
des mots de passe, les prérequis de leur résistance, et la taille
de l'historique des mots de passe.

EXEMPLES :

 Réinitialiser son propre mot de passe :
   ipa passwd

 Modifier le mot de passe d'un utilisateur :
   ipa passwd tuser1

Simuler l'utilisation des contrôles d'accès fondés sur l'hôte

Les règles HBAC contrôlent qui peut accéder à quel service sur quels hôtes.
Vous pouvez utiliser HBAC pour contrôler quels utilisateurs ou quels groupes
ont accés à un service ou à un groupe de services, sur un hôte cible.

L'application de règles HBAC présuppose un environnement de production ;
ce greffon a pour objet de fournir une simulation de l'évaluation des règles
HBAC sans nécessiter d'accès à cet environnement.

 Tester  l'arrivée d'un utilisateur dans un service sur un hôte donné
 vis à vis des règles actives existantes.

ipa hbactest --user= --host= --service=\
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]\
              [--sizelimit= ]

--user, --host et --service sont obligatoires, les autres sont optionnelles.

 Si --rules est défini, simule l'activation des règles « rules-list » et
 teste la connexion de l'utilisateur uniquement sur ces règles.

 Si --enabled est défini, toutes les règles HBAC activées sont ajoutées à
 la simulation

 Si --disabled est défini, toutes les règles HBAC désactivées sont ajoutées
 à la simulation

 Si --nodetail est défini, il n'est pas renvoyé d'information sur les règles  satisfaites ou non satisfaites.

 Si --rules et --enabled sont définis tous deux, la simulation est appliquée
 à --rules _et_ à tous les règles IPA activées.

 Si --rules n'est pas défini, la simulation est lancée vis à sis de toutes
 les règles IPA activées.
 Par défaut, il y a une limite globale IPA pour le nombre d'entrées
 renvoyées, vous pouvez la modifier avec l'option « --sizelimit ».

EXEMPLES :

    1. Utiliser toutes les règles HBAC activées dans la base de données IPA
    pour la simulation :
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      matched: allow_all

    2. Désactiver le résumé détaillé sur l'application des règles :
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Access granted: True
    --------------------

    3. Tester explicitement les règles HBAC indiquées :
    $ ipa hbactest --user=a1a --host=bar --service=sshd          
--rules=my-second-rule,myrule
    ---------------------
    Access granted: False
    ---------------------
      notmatched: my-second-rule
      notmatched: myrule

    4. Utiliser toutes les règles HBAC activées de la base de données IPA
       plus les règles explicitement définies :
    $ ipa hbactest --user=a1a --host=bar --service=sshd          
--rules=my-second-rule,myrule --enabled
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      matched: allow_all

    5. Tester toutes les règles HBAC désactivées de la base de données IPA :
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Access granted: False
    ---------------------
      notmatched: new-rule

    6. Tester toutes les règles HBAC désactivées de la base de données IPA
       plus les règles explicitement définies :
    $ ipa hbactest --user=a1a --host=bar --service=sshd          
--rules=my-second-rule,myrule --disabled
    ---------------------
    Access granted: False
    ---------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule

    7. Tester toutes les règles HBAC (activées et désactivées) de la base
       de données IPA :
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --enabled --disabled
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      notmatched: new-rule
      matched: allow_all


TEST HBAC ET domaines approuvés

Si un domaine approuvé externe est configuré dans IPA, les règles HBAC
sont aussi appliquées aux utilisateurs accédant aux ressources IPA à partir
du domaine approuvé. Les utilisateurs des domaines approuvés et les
groupes (et leur SID) peuvent être assignés à des groupes externes pouvant
être membres de groupes POSIX d'IPA éligibles aux règles HBAC, ce qui
autorise un accès aux ressources protégées par le système HBAC.

Le greffon « hbactest » peut tester des accès, à la fois d'utilisateurs
IPA locaux et d'utilisateurs de domaines approuvés à partir, soit du
nom d'utilisateur pleinement qualifié, soit du SID utilisateur. De tels noms
d'utilisateur doivent avoir un domaine approuvé précisé comme nom court
(DOMAINE\Administrateur) ou avec un nom de principal d'utilisateur (UPN),
Administrator@ad.test.

Veuillez noter que « hbactest » exécuté avec un utilisateur de domaine de
confiance en tant que paramètre --user ne peut être lancé que par des
membres du groupe des « administrateurs de confiance ».

EXEMPLES :

    1. Tester si un utilisateur d'un domaine approuvé défini par son
       nom court satisfait à toute règle :

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    2. Tester si un utilisateur d'un domaine approuvé défini par son
       nom de domaine satisfait à toute règle :

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    3. Tester si un utilisateur d'un domaine approuvé défini par son
       SID satisfait à toute règle :

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    4. Tester si un autre utilisateur d'un domaine approuvé défini
       par son SID satisfait à toute règle :

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

    5. Tester si un autre utilisateur d'un domaine approuvé défini par
       son nom court satisfait à toute règle :

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

Le coffre-fort standard utilise un mécanisme sécurisé pour le
transport et le stockage du secret. Le secret ne peut être récupéré
que par les utilisateurs ayant accès au coffre.

Sudo (su « do ») autorise un administrateur système à déléguer la possibilité
 à certains utilisateurs (ou groupes d'utilisateurs) d'exécuter certaines
 (ou toutes) commandes en tant qu'administrateur ou autre utilisateur, tout
 en donnant des moyens de contrôle des commandes et de leurs arguments.

Commandes sudo

Commandes utilisées en tant que briques de base pour sudo

EXEMPLES :

 Ajouter une nouvelle commande
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Supprimer une commande
   ipa sudocmd-del /usr/bin/less

Commandes sudo

Commandes utilisées en tant que briques de base pour sudo

EXEMPLES :

 Ajouter une nouvelle commande
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Supprimer une commande
   ipa sudocmd-del /usr/bin/less


Règles sudo

Le coffre-fort symétrique est similaire au coffre standard, mais il 
pré-chiffre le secret à l'aide d'un mot de passe avant son transport.
Le secret ne peut être récupéré qu'à l'aide du même mot de passe.


« automember-rebuild » s'utilise pour appliquer rétroactivement les règles
d'adhésion automatique aux entrées présentes, et ainsi revoir leur adhésion.

Il y a un certain nombre de cibles autorisées :
1. sous-arbre : un DN ; la permission s'applique au sous-arbre sous ce DN
2. filtre de cibles : un filtre LDAP
3. cible : un DN avec possiblement des jokers, indique les entrées
auxquelles la permission s'applique

Dans beaucoup de types RR de DNS, les données DNS mises dans un serveur LDAP
ne sont pas qu'un scalaire, ex. adresse IP ou nom de domaine, mais une
structure de données parfois complexe. Un bon exemple est l'enregistrement
LOC [RFC1876] constitué de nombre de parties obligatoires ou optionnelles
(degrés-minutes-secondes de latitude et longitude, altitude ou précision).

Ce code est une extension du greffon « otptoken » ; il fournit la prise en
charge pour lire/écrire des jetons YubiKey directement.

Pour activer le DN de liaison, exécutez la commande suivante pour définir le mot de passe :
LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -H ldap://ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

Afin de vérifier qu'aucun serveur n'est déconnecté dans la topologie d'un
suffixe donné, utiliser :
  ipa topologysuffix-verify $suffix

Topologie

Gestion de la topologie de réplication.

Topologie

Gestion de la topologie de réplication.

Nécessite a minima le niveau 1 de domaine.

UTILISATION d'OPTIONS STRUCTURÉES PAR TYPE

Les coffres-forts utilisateurs sont des coffres appartenant à un utilisateur
en particulier. Les coffres privés appartiennent à l'utilisateur courant. Les
coffres de services appartiennent à un service. Les coffres partagés 
appartiennent à l'administrateur, mais peuvent être utilisés par d'autres
utilisateurs ou services.

Utilisateurs

Gestion des utilisateurs. Tous les utilisateurs sont de type POSIX.

IPA prend en charge un grand nombre de formats de noms d'utilisateurs.
Certaines restrictions peuvent cependant s'appliquer dans un environnement
particulier. Par exemple, les noms d'utilisateurs commençant par un chiffre
ou ceux dépassant une certaine longueur peuvent poser problème à certains
systèmes UNIX.
Utiliser la commande « ipa config-mod » afin de modifier le format de nom
d'utilisateur autorisé par les outils IPA.

La désactivation d'un compte utilisateur lui interdit d'obtenir de
nouveaux justificatifs d'identité Kerberos. Elle n'invalide pas les
justificatifs déjà obtenus.

L'administration des mots de passe ne fait pas partie de ce module. Pour
plus d'informations sur ce sujet, cf. : « ipa help passwd »

Le verrouillage de compte en cas d'échec de mot de passe est déclenché par
le maître IPA de l'utilisateur. La commande « user-status » permet de
l'identifier. C'est sur ​​ce maître que l'administrateur doit déverrouiller
l'utilisateur.

EXEMPLES :

 Ajouter un nouvel utilisateur :
   ipa user-add --first=Tim --last=User --password tuser1

 Trouver tous les utilisateurs dont l'entrée contient la chaîne « Tim » :
   ipa user-find Tim

 Trouver tous les utilisateurs ayant « Tim » comme prénom :
   ipa user-find --first=Tim

 Désactiver un compte utilisateur :
   ipa user-disable tuser1

 Activer un compte utilisateur :
   ipa user-enable tuser1

 Supprimer un utilisateur :
   ipa user-del tuser1


Coffres-forts (vaults)

Vérifier la topologie de réplication pour le suffixe.

Vérifications effectuées :
  1. vérfier si la topologie n'est pas déconnectée. En d'autres mots, si des chemins
     de réplication existent bien entre tous les serveurs.
  2. vérifier si tous les serveurs n'ont pas un nombre supérieur à celui recommandé
     d'agrément de réplication.

À l'ajout d'un enregistrement, on peut utiliser des options RR spécifiques
ou standard pour une valeur brute, mais elles ne doivent pas être combinées
dans une même opération. En modifiant une entrée existante, des options RR
spécifiques peuvent s'utiliser pour modifier une partie d'un enregistrement
DNS où l'option standard est utilisée pour indiquer la valeur modifiée.
Cet exemple démontre une modification de préférence d'enregistrement MX de
0 à 1 dans un enregistrement sans modifier l'échangeur :
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

Jetons YubiKey
  ipa <command> --help -8 '${cn}' De manière alternative, les serveurs suivants sont capables d'exécuter cette commande : %(masters)s« %s » n'est pas un type de permission autorisé« %s » n'est pas un type d'objet${count} certificate(s) présent(s)${count} élément(s) ajouté(s)${count} élément(s) supprimé(s)${count} élément(s) désactivé(s)${count} élément(s) activé(s)${count} élément(s) supprimé(s)${count} option(s) supprimée(s)${count} utilisateur(s) activé(s)${count} utilisateur(s) restauré(s)${count} utilisateur(s) mis en attenteRéglages de ${primary_key} de ${entity}${primary_key} de ${entity} modifié${entity} ajoutée avec succès${primary_key} s'applique à :${primary_key} est membre de :${primary_key} est géré par :membres de ${primary_key} :Surcharges de ${primary_key} :${product}, version : ${version}%(attr)s ne contient pas '%(value)s'%(attr)s : syntaxe invalide.%(attr)s : une seule valeur autorisée.La recherche LDAP %(container)s ne renvoie aucun résultat (base de recherche : %(search_base)s, classe d'objet : %(objectclass)s)%(count)d enregistrement %(type)s sauté. Une seule valeur modifiable par enregistrement DNS.%(count)d enregistrements %(type)s sautés. Une seule valeur modifiable par enregistrement DNS.%(count)d ACI correspondant%(count)d ACI correspondant%(count)d LCA d'AC correspondante%(count)d LCA d'AC correspondantes%(count)d AC correspondante%(count)d AC correspondantes%(count)d serveur DNS correspondant%(count)d serveurs DNS correspondants%(count)d surcharge d'identifiants de groupes correspondante%(count)d surcharges d'identifiants de groupes correspondantes%(count)d règle HBAC correspondante%(count)d règles HBAC correspondantes%(count)d groupe de services HBAC correspondant%(count)d groupes de services HBAC correspondant%(count)d service HBAC correspondant%(count)d services HBAC correspondant%(count)d vue d'identifiants correspondante%(count)d vues d'identifiants correspondantes%(count)d surcharge d'identifiants correspondante%(count)d surcharges d'identifiants correspondantes%(count)d emplacement IPA correspondant%(count)d emplacements IPA correspondants%(count)d serveur IPA correspondant%(count)d serveurs IPA correspondants%(count)d jeton OTP correspond%(count)d jetons OTP correspondant%(count)d serveur mandataire RADIUS correspondant%(count)d serveurs mandataires RADIUS correspondant%(count)d mappe d'utilisateurs SELinux correspondant%(count)d mappe d'utilisateurs SELinux correspondant%(count)d groupe de commandes Sudo correspondant%(count)d groupes de commandes Sudo correspondant%(count)d commande sudo correspondant%(count)d commandes sudo correspondant%(count)d règle sudo correspondant%(count)d règles sudo correspondant%(count)d surcharge d'identifiants utilisateurs correspondante%(count)d surcharges d'identifiants utilisateurs correspondantes%(count)d clé « automount » correspondante%(count)d clés « automount » correspondantes%(count)d emplacement « automount » correspondant%(count)d emplacements « automount » correspondants%(count)d carte « automount » correspondante%(count)d cartes « automount » correspondantes%(count)d certificat correspondant%(count)d certificats correspondants%(count)d délégation correspondante%(count)d délégations correspondantes%(count)d groupe correspondant%(count)d groupes correspondants%(count)d hôte correspondant%(count)d hôtes correspondant%(count)d groupe d'hôtes correspondant%(count)d groupes d'hôtes correspondant%(count)d groupe réseau correspondant%(count)d groupes réseau correspondant%(count)d permission correspondant%(count)d permissions correspondant%(count)d greffon chargé%(count)d greffons chargés%(count)d privilège correspondant%(count)d privilèges correspondant%(count)d profil correspondant%(count)d profils correspondants%(count)d plage correspondant%(count)d plages correspondant%(count)d rôle correspondant%(count)d rôles correspondant%(count)d règle correspondante%(count)d règles correspondantes%(count)d segment correspondant%(count)d segment correspondants%(count)d permission de libre service correspondant%(count)d permissions de libre service correspondant%(count)d règle de délégation de service correspondante%(count)d règles de délégation de service correspondantes%(count)d cible de délégation de service correspondante%(count)d cibles de délégation de service correspondantes%(count)d service correspondant%(count)d services correspondant%(count)d suffixe de topologie correspondant%(count)d suffixes de topologie correspondants%(count)d confiance correspondante%(count)d confiances correspondantes%(count)d utilisateur correspondant%(count)d utilisateurs correspondant%(count)d variables%(count)d coffre-fort correspondant%(count)d coffre-forts correspondants%(count)s rôle serveur correspondant%(count)s rôles serveur correspondantsClient %(cver)s incompatible avec le serveur %(sver)s à « %(server)s »%(desc)s : %(info)s%(exception)s%(host)s en échec%(host)s en échec : %(error)s%(info)s%(key)s ne peut pas être supprimé car %(label)s %(dependent)s le requiert%(key)s ne peut être supprimé ou désactivé étant le dernier membre de %(container)s %(label)s%(label)s %(key)s ne peut être supprimé ou modifié : %(reason)s%(line)sle certificat %(name)s est invalideL'attribut par défaut %(attr)s de %(obj)s n'est pas autorisé !L'objet %(oname)s avec le nom « %(pkey)s » existe déjà« %(oname)s » de « %(otype)s » introuvable%(parent)s : %(oname)s introuvable%(pkey)s : %(oname)s introuvable%(port)s n'est pas un port valide%(reason)sDélai échu pour la tâche LDAP %(task)s, DN de la tâche : « %(task_dn)s »la catégorie %(type)s ne peut pas être définie à « all » tant que sont alloués %(objects)s%(user)s n'est pas un utilisateur POSIX%(value)s%i AC ajoutée.%i AC supprimée.%i AC ajoutées.%i AC supprimées.%i hôte ou groupe d'hôtes ajouté.%i hôte ou groupe d'hôtes supprimé.%i hôtes ou groupes d'hôtes ajoutés.%i hôtes ou groupes d'hôtes supprimés.%i profil ajouté.%i profil supprimé.%i profils ajoutés.%i profils supprimés.%i service ajouté.%i service supprimé.%i services ajoutés.%i services supprimés.%i utilisateur ou groupe ajouté.%i utilisateur ou groupe supprimé.%i utilisateurs ou groupes ajoutés.%i utilisateurs ou groupes supprimés.%sEnregistrement %s%s n'est pas un attribut valide.enregistrement %s%s à ajouter%s à exclure de la migration%s à supprimer%s : groupe introuvable%s : l'utilisateur est déjà préservé« ${port} » n'est pas un port valideLa commande « %(command)s » est obsolète. %(additional_info)s'%(entry)s' ne possède pas de certificat.« %(name)s » est requisL'option « %(option)s » est obsolète. %(additional_info)s'%(required)s' ne doit pas être vide lorsque '%(name)s' est défini'%s' est une partie requise d'un enregistrement DNS(obsolète)(cf. RFC %s pour plus de détails). Vérifier le GID du groupe existant. Utiliser l'option « --group-overwrite-gid » pour surcharger le GID7 n'est pas une raison de révocation valide<ol> <li>Créer une base de données de certificats ou utiliser une base existante. Pour créer une nouvelle base :<br/> <code># certutil -N -d &lt;database path&gt;</code> </li> <li>Créer un CSR avec le sujet <em>CN=&lt;${cn_name}&gt;,O=&lt;realm&gt;</em>, par exemple :<br/> <code># certutil -R -d &lt;database path&gt; -a -g &lt;key size&gt; -s 'CN=${cn},O=${realm}'${san}</code> </li> <li> Copier/coller le CSR (depuis <em>-----BEGIN NEW CERTIFICATE REQUEST-----</em> jusque <em>-----END NEW CERTIFICATE REQUEST-----</em>) dans la zone de texte ci-dessous : </li> </ol><p>La méthode implicite (mot de passe) est celle utilisée si aucune méthode n'est choisie.</p><p><strong>Mot de passe + double facteur :</strong> LDAP et Kerberos permettent l'authentification avec l'un ou l'autre des type d'authentification, mais Kerberos utilise une méthode de pré-authentification qui nécessite d'utiliser un ccache blindé.</p><p><strong>RADIUS avec un autre type :</strong> Kerberos utilise toujours RADIUS, mais pas LDAP. LDAP ne reconnait que le mot de passe et une des options d'authentification à double facteur.</p><p>Paramètrage spécifique à l'utilisateur, surcharge la configuration globale si l'une des options est cochée.</p><p><strong>Mot de passe + double facteur :</strong> LDAP est Kerberos permettent l'authentification avec l'un ou l'autre des types d'authentification, mais Kerberos utilise une méthode de pré-authentification qui nécessite d'utiliser un ccache blindé.</p><p><strong>RADIUS avec un autre type :</strong> Kerberos utilise toujours RADIUS, mais pas LDAP. LDAP ne reconnait que le mot de passe et une des options d'authentification à double facteur.</p>A Créer un enregistrement inverseA Adresse IPUne permission SYSTEM ne peut ni être modifiée, ni suppriméeUne liste séparée par des virgules des champs à explorer pour une recherche de groupesUne liste, séparée avec des virgules, des champs à explorer pour une recherche d'utilisateursDescription de ce serveur mandataire RADIUSUne description de cette règle d'auto-adhésionDescription de la commandeUne description de cet hôteDescription de ce groupe d'hôtesDescription de ce groupe de rôlesUn annuaire représentant une entrée LDAPUn groupe ne peut être membre de lui-mêmeUn groupe ne peut être ajouté comme membre de lui-mêmeUn hôte prêt à jouer le rôle de changeur de cléUn hôte pouvant agir comme changeur de messagerieUn nom d'hôte vers lequel cet alias pointeUne liste de valeurs d'ACIUne liste d'entrées LDAPEst attendue une liste des utilisateurs SELinux, délimités par des $Un groupe géré ne peut pas avoir de politique de mot de passe.Un problème est survenu en vérifiant que tous les membres étaient %(verb)s : %(exc)sEnregistrement AUne liste séparée par des espaces d'attributs qui seront supprimés lors des mises à jour de la réplication.Une chaîne de caractères recherchée dans tous les attributs d'objets pertinentsDonnées d'enregistrement A6Enregistrement A6AA compromisAAAA Créer un enregistrement inverseAAAA Adresse IPEnregistrement AAAAACINom d'ACIACI de la permission %s introuvablePréfixe d'ACIUn préfixe ACI est requisACI de nom « %s » introuvableACINom de la LCALe contrôleur de domaine AD n'a pas été en mesure aucun des contrôleurs de domaine IPA. Cela est probablement dû à un problème DNS ou de pare-feu.Configuration de la confiance ADContrôleur de domaine ADLe contrôleur de domaine AD se plaint à propos de la suite de mise en communication. Cela peut signifier qu'il y a de mauvaises synchronisations de l'un ou l'autre côté, par exemple.Nom d'hôte AFSDBSous-type AFSDBEnregistrement AFSDBNavigateur de l'APILe numéro de version de l'API n'a pas été envoyé, la compatibilité ascendante n'est pas garantie. La version de l'API du serveur est supposée être %(server_version)sEnregistrement APLÀ propos deAccès interditAccès autoriséAccès autorisé : %sA accès à cet hôteHoraire d'accèsAccédant àCompteParamètres de compteÉtat du compteCompte désactivéCompte désactivé : %(disabled)sActionsActiverActiver un utilisateur en attente « %(value)s »Activer un utilisateur en attente.Domaine Active DirectoryAdministrateur du domaine Active DirectoryMot de passe de l'administrateur de domaine Active DirectoryPlage pour les domaines Active DirectoryDomaine Active Directory avec attributs POSIXPlage pour les relations d'approbation Active Directory avec attributs POSIXActive Directory winsyncMot de passe de l'administrateur du domaine Active DirectoryUtilisateurs actifsZone activeAjouterAjouter des AC à une LCA d'ACAjouter un attribut personnaliséAjouter un indicateur d'authentification personnaliséAjouter un nouvel alias de principal KerberosAjouter plusieursAjouter un responsable à l'entrée d'utilisateur en attenteAjouter un responsable à l'entrée de l'utilisateurAjouter un nouveau serveur DNS.Ajouter une nouvelle surcharge d'identifiants de groupes.Ajouter un nouveau groupe de services HBAC.Ajouter un nouveau service HBAC.Ajouter une nouvelle vue d'identifiantsAjouter une nouvelle surcharge d'identifiant.Ajouter un nouvel emplacement IPA.Ajouter un nouveau service IPA.Ajouter un nouveau service IPA.Ajouter un nouveau jeton OTPAjouter un nouveau serveur mandataire RADIUS.Ajouter une nouvelle surcharge d'identifiants utilisateurs.Ajouter un nouveau jeton OTP YubiKey.Ajouter une nouvelle délégation.Ajouter une nouvelle politique de mot de passe.Ajouter un nouvel hôte.Ajouter un nouveau groupe d'hôtes.Ajouter un nouveau groupe réseau.Ajouter une nouvelle permission.Ajouter un nouveau privilège.Ajouter un nouveau rôle.Ajouter un noveau segment.Ajouter une nouvelle permission de libre service.Ajouter un nouvel utilisateur en attente.Ajouter un nouveau suffixe de topologie à gérer.Ajouter un nouvel utilisateur.Ajouter une permission pour une délégation d'accès de zone de redirection.Ajouter une permission pour une délégation d'accès par zone.Ajout d'une permission système sans ACI (commande interne)Ajouter une paire attribut/valeur. Format : attribut=valeur. Les
attributs doivent faire partie du schéma.Ajouter une règle d'auto-adhésion.Ajouter une option à la règle sudo.Ajouter, puis ajouter un autreAjouter et fermerAjouter et modifierAjouter les certificats à l'entrée de l'hôteAjouter des commandes et groupes de commandes sudo affectés par la règle sudo.Ajouter une condition à une règle d'auto-adhésion.Ajouter une valeur personnaliséeAjouter un domaineAjouter un enregistrement direct pour les serveurs de noms situés dans la zone crééeAjouter un groupe dans sudo pour exécution comme.Ajouter des hôtes et groupes d'hôtes affectés par la règle sudo.Ajouter les hôtes qui peuvent gérer cet hôte.Ajouter des hôtes pouvant administrer ce service.Ajouter un membre à une règle nommée de délégation de service.Ajouter un membre à une cible de délégation de service.Ajouter des membres à un groupe de commandes sudo.Ajouter des membres à un groupe.Ajouter des membres à un groupe d'hôtes.Ajouter des membres à un groupe réseau.Ajouter des membres à un privilège.Ajouter des membres à un rôle.Ajouter des membres à un coffre-fort.Ajouter des membres à un groupe de services HBAC.Ajouter les utilisateurs migrés n'ayant pas de groupe à un groupe par défaut (par défaut : vrai)Ajouter un nouvel enregistrement de ressources DNS.Ajouter un nouveau certificat à un serviceAjouter un nouvel alias de principal à un serviceAjouter un nouvel alias de principal à l'entrée de l'hôteAjouter un ou plusieurs certificats à l'entrée de l'utilisateur surchargé (idoverrideuser)Ajouter un ou plusieurs certificats à l'entrée utilisateurAjouter des propriétaires à un conteneur de coffre-fort.Ajouter des propriétaires à un coffre-fort.Ajouter des permissions à un privilège.Ajouter un principalAjouter des privilèges à un rôle.Ajouter des profils à une LCA d'AC.Ajouter des services à une LCA d'AC.Ajouter des services à une règle HBAC.Ajouter des hôtes cibles et groupes d'hôtes à une LCA d'AC.Ajouter des hôtes et des groupes d'hôtes cibles à une règle HBAC.Ajouter des hôtes et groupes d'hôtes cibles à une mappe d'utilisateurs SELinuxAjouter une cible à une règle nommée de délégation de service.Ajouter des cibles à une délégation de service nomméAjouter l'hôte aux DNS avec cette adresse IPAjouter au groupe par défautAjouter des utilisateurs et groupes affectés par la règle sudo.Ajouter des utilisateurs et groupes dans sudo pour exécution comme.Ajouter des utilisateurs et groupes à une LCA d'AC.Ajouter des utilisateurs et groupes à une règle HBAC.Ajouter des utilisateurs et groupes à une mappe d'utilisateurs SELinuxAjouter des utilisateurs pouvant gérer ce jeton. %(map)s ajoutéeAjout de %(src)s à %(dst)sConfiance Active Directory ajoutée pour le royaume « %(value)s »LCA d'AC « %(value)s » crééeSurcharge d'identifiants de groupes « %(value)s » ajoutéeRègle HBAC « %(value)s » ajoutéeService HBAC « %(value)s » ajoutéGroupe de services HBAC « %(value)s » ajoutéVue d'identifiants « %(value)s » ajoutéeSurcharge d'identifiants « %(value)s » ajoutéePlage d'ID « %(value)s » ajoutéeEmplacement IPA « %(value)s » ajoutéJeton OTP « %(value)s » ajoutéServeur mandataire RADIUS « %(value)s » ajoutéMappe d'utilisateurs SELinux « %(value)s » ajoutéeCommande sudo « %(value)s » ajoutéeGroupe de commandes sudo « %(value)s » ajoutéRègle sudo « %(value)s » ajoutéeSurcharge d'identifiants utilisateurs « %(value)s » ajoutéeRègle d'auto-adhésion « %(value)s » ajoutéeCarte « automount » indirect « %(value)s » crééeClé « automount » « %(value)s » crééeEmplacement « automount » « %(value)s » ajoutéCarte « automount » « %(value)s » ajoutéeCertificats ajoutés à l'hôte « %(value)s »Certificats ajoutés à l'utilisateur surchargé « %(value)s »Certificats ajoutés au principal de service « %(value)s »Certificats ajoutés à l'utilisateur « %(value)s »Condition(s) ajoutées à « %(value)s »Délégation « %(value)s » ajoutéeGroupe « %(value)s » crééHôte « %(value)s » ajoutéGroupe d'hôtes « %(value)s » ajoutéGroupe réseau « %(value)s » ajoutéNouveau serveur DNS « %(value)s » ajoutéAlias ajoutés à l'hôte « %(value)s »Alias ajoutés au principal de service « %(value)s »Option « %(option)s » ajoutée à la règle sudo « %(rule)s »Permission « %(value)s » ajoutéePrivilège « %(value)s » ajoutéRôle « %(value)s » ajoutéSegment « %(value)s » ajoutéPermission de libre service « %(value)s » ajoutéeService « %(value)s » ajoutéRègle de délégation de service « %(value)s » ajoutéeCible de délégation de service « %(value)s » ajoutéeUtilisateur en attente « %(value)s » ajoutéPermission système « %(value)s » ajoutéeSuffixe de topologie « %(value)s » ajoutéUtilisateur « %(value)s » ajoutéAjout de « %(value)s » au coffreInstructions complémentaires :Adresse invalide, impossible de redirigerCompte administrateurAdresse courriel de l'administrateurPublié par les serveursAffiliation modifiéeAgréments supprimésAlgorithmeTou(te)sTous les attributs auxquels la permission s'appliqueToutes les commandes doivent avoir au moins un résultatTous les filtres cible, y compris ceux définis avec « type » et « memberof »AutoriserAutoriser la synchronisation PTRAutoriser l'accès depuis le domaine approuvéAutoriser l'ajout de membres externes non-IPA depuis des domaines approuvésAutoriser les mises à jour dynamiques.Autorise l'utilisation en repli de l'annuaire LDAP du contrôleur de domaine AD. Pour les relations d'approbation bidirectionnelles uniquement.Autoriser la signature DNSSEC en ligneAutoriser la signature DNSSEC en ligne des enregistrements dans la zoneAutoriser requêteAutoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR)Autoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR) dans la zoneAutoriser le transfertAutoriser l'utilisation des ressources IPA par le domaine approuvéAutoriser des utilisateurs, hôtes ou groupes d'hôtes à créer un tableau de clés de cet hôte.Autoriser utilisateurs, hôtes ou groupes d'hôtes à créer un tableau de clés de ce service.Autoriser des utilisateurs, hôtes ou groupes d'hôtes à récupérer un tableau de clés de cet hôte.Autoriser les utilisateurs, groupes, hôtes ou groupes d'hôtes à récupérer un tableau de clés pour ce service.Cibles autoriséesAutorisé à prendre l'identitéAutorisé à créer un tableau de clésAutorisé à récupérer un tableau de clésAutoriser la migration malgré l'utilisation du greffon « compat »Déjà enregistréSuffixes UPN alternatifsAltitudeToujours demanderRecherche ambiguë, le domaine utilisateur n'a pas été indiquéUn serveur maître IPA ne peut ni être supprimé ni désactivéUne erreur est survenue (${error})Une erreur est survenue lors de la récupération des zones DNS.Une plage d'identifiants existe déjà pour cette relation de confiance. Vous devez soit supprimer l'ancienne plage, soit exclure les options « --base-id » ou « --range-size » de la commande.Délai entre deux interrogations du serveur de noms pour la recherche de nouvelles zonesLa balise « %(anchor)s » ne peut être résolue.Balise à surchargerToute ACToute commandeTout groupeN'importe quel hôteTout profilN'importe quel serviceN'importe quiAppliquée aux hôtesApplique une vue d'identifiants aux hôtes ou aux membres des groupes d'hôtes indiqués. Si une autre vue d'identifiants était appliquée à l'hôte, elle est remplacée.Applique une vue d'identifiants aux hôtes ou aux membres des groupes d'hôtes indiqués. Si une autre vue d'identifiants était appliquée à l'hôte, elle est remplacée.AppliquerAppliquer l'ACI à votre propre entrée (« self »)Appliquée aux groupes d'hôtesAppliquer aux hôtesChaîne arbitraire identifiant le segmentArchiver des données dans un coffre-fort.Données archivées dans le coffre-fort « %(value)s »Êtes-vous sûr de vouloir ${action} l'utilisateur ?<br/>Le changement prendra effet immédiatement.Êtes-vous sûr(e) de vouloir activer ${object} ?Êtes-vous sûr de vouloir désactiver l'utilisateur sélectionné ?Êtes-vous sûr de vouloir ajouter une permission pour la zone DNS ${object} ?Êtes-vous sûr de vouloir supprimer ${object} ?Êtes-vous sûr de vouloir supprimer les entrées sélectionnées ?Êtes-vous sûr de vouloir désactiver ${object} ?Êtes-vous sûr de vouloir désactiver les entrées sélectionnées ?Êtes-vous sûr de vouloir activer ${object} ?Êtes-vous sûr de vouloir activer les entrées sélectionnées ?Êtes-vous sûr de vouloir engager cette action ?Êtes-vous sûr de vouloir supprimer la permission pour la zone DNS ${object} ?Êtes-vous sûr de vouloir supprimer l'objet ${object} ?Êtes-vous sûr de vouloir restaurer les utilisateurs sélectionnés ?Êtes-vous sûr de vouloir mettre en attente l'objet ${object} ?Êtes-vous sûrs de vouloir mettre en attente les utilisateurs sélectionnés ?Êtes-vous sûr(e) de retirer l'application de la vue d'identifiants des entrées sélectionnées ?Êtes-sous sûr de vouloir déverrouiller l'utilisateur ${object} ?Êtes-vous sûr de vouloir supprimer les permissions à cet hôte ?Êtes-vous sûr de vouloir supprimer les permissions ce service ?Comme quiDemande un mot de passe non aléatoire à utiliser pour le principalVue d'identifiants attribuéeAdministrateur assigné au jeton (par défaut : soi-même)Utilisateur assigné au jeton (par défaut : soi-même)Au moins un nom de domaine ou une adresse IP doit être indiquéAttributClé d'attributRépartition des attributsAttribut à filtrer via « regex ». Ex. FQDN pour un hôte, ou « manager » pour un utilisateurAttributsAttributs pour une mise à jour complèteAttributs qui ne seront pas répliqués vers un serveur consommateur lors d'une réplication partielle. Par exemple,  `(objectclass=*) $ EXCLUDE accountlockout memberofLes attributs qui ne sont pas répliqués vers un serveur consommateur pendant une mise à jour complète. Par exemple : (objectclass=*) $ EXCLUDE accountlockoutAttributs à ignorer dans les entrées groupe dans DSAttributs à ignorer dans des entrées utilisateur dans DSAttributs à supprimerAttributs auxquels la délégation s'appliqueAttributs auxquels les permissions s'appliquentAttributs auxquels la permission s'applique par défautAttributs auxquels les permissions s'appliquent.AuditAuthentificationIndicateurs d'authentificationIndicateur d'authentificationIndicateurs d'authentificationServeur de nom faisant autoritéChangement de serveur de nom faisant autoritéNom de domaine du serveur de nom faisant autoritéID de l'autoritéRègle d'appartenance automatiqueL'auto-adhésion n'est pas configuréeRègle d'auto-adhésion : %s introuvable !AutogénéréÉchec de la mise à jour automatique des enregistrements DNS du système. Merci de relancer la mise à jour des enregistrements du système manuellement pour obtenir la liste des enregistrements manquants.Auto-adhésionRègle d'auto-adhésionLa tâche de reconstruction des appartenances automatiques est terminéeTâche de reconstruction de l'appartenance avec adhésion automatique démarréeMontage automatiqueClé « automount »Clés « automount »Emplacement de montage automatiqueDétail d'un emplacement « automount »Emplacements de montage automatiqueCarte « automount »Cartes « automount »Nom de clé « automount ».Objet clé « automount ».Nom d'emplacement .Nom de carte « automount ».Fichier maître « automount »DisponiblePolitique de mise à jour de BINDRetourRetour en haut de pageMauvais format de cache des justificatifs d'identitéType « salt » non-conforme ou non pris en compte.
Mauvais filtre de rechercheFiltre de recherche invalide %(info)sDN de baseDN de base sur le serveur LDAP distantID de baseBase pour les sujets de certificat (OU=Test,O=Example)Certificat de l'hôte encodé en Base-64Certificat du serveur codé en Base-64Certificat du service encodé en Base-64Certificat de l'utilisateur encodé en Base-64Échec du décodage « base64 » : %(reason)sFichier binaire à archiverDN de liaisonMot de passe de liaison déjà fourni (-w).
Mot de passe de liaison requis lors de l'utilisation d'un DN de liaison (-w ou -W).
Type de règle de liaisonBrève description de ce profilACL'autorité de certification « %s » est désactivéeLCA de l'ACLCA de l'ACAC compromisCatégorie d'ACune catégorie d'AC ne peut pas être définie à « all » tant qu'il reste des AC autoriséesCatégorie d'AC à laquelle l'ACL s'appliqueCertificat d'ACL'AC n'est pas configuréeACdes AC ne peuvent pas être ajoutées quand la catégorie de l'AC est « all »Algorithme CERTType de certificat CERTCertificat/CRL CERTÉtiquette de clé CERTEnregistrement CERTObjet justificatif d'identité de CIFSLe serveur CIFS %(host)s a refusé vos justificatifs d'identitéLe serveur CIFS a refusé vos justificatifs d'identitéMetavariable CLINom CLINom d'hôte CNAMEEnregistrement CNAMEUn enregistrement CNAME ne peut coexister avec aucun autre enregistrement (RFC 1034, section 3.6.2)CSRAnnulerImpossible de créer l'enregistrement inverse pour « %(value)s » : %(exc)sImpossible de décoder le fichier « %(filename)s » : %(exc)sImpossible d'établir la connexion LSA vers %(host)s. Le serveur CIFS est-il en cours d'exécution ?Impossible d'établir une relation d'approbation vers un AD déployé dans le même domaine que IPA. Une telle configuration ne peut être prise en charge.Impossible de trouver le domaine ou le serveur indiquéImpossible de réaliser la validation du SID sans installer la prise en charge de Samba 4. Assurez-vous d'avoir installé le sous-paquet d'IPA « server-trust-ad » sur le serveurImpossible de réaliser la validation de membre externe sans installer Samba 4. Assurez-vous d'avoir installé le sous-paquet « IPAserver-trust-ad » sur le serveurImpossible de rejoindre un domaine sans avoir au préalable configuré son propre domaine. Assurez-vous d'avoir lancé « ipa-adtrust-install » au préalable sur le serveurImpossible d'effectuer la commande sélectionnée sans configuration de Samba 4. Assurez-vous de bien avoir configuré ce serveur avec la commande « ipa-adtrust-install ».Impossible d'effectuer la commande sélectionnée sans installation de Samba 4. Assurez-vous de bien avoir installé sur le serveur le paquet IPA « server-trust-ad ».Impossible de lire le fichier « %(filename)s » : %(exc)sImpossible de résoudre le KDC pour le domaine demandéImpossible de récupérer la liste GC du domaine approuvéImpossible d'effectuer une recherche sur les domaines approuvés sans avoir au préalable configuré son propre domaine. Assurez-vous d'avoir au préalable lancé « ipa-adtrust-install » sur le serveurImpossible de spécifier simultanément un mécanisme SASL et un DN de liaison.
Impossible d'enregistrer les ACI de permissions dans %sImpossible d'utiliser %(old_name)s avec %(new_name)sPermis de conduire/carte d'identitéCertificatDonnée associée au certificatAutorités de certificationAutorité de certificationCertificat bloquéBlocage de certificat suppriméProfil de certificatProfil de certificat à utiliserProfils de certificatsCertificat révoquéBase de sujet de certificatType de certificatUtilisation du certificatCertificat pour ${primary_key} de ${entity}Erreur de format de certificat : %(error)sCertificat au format Base64 ou PEML'opération de certification ne peut être effectuée : %(error)sLes profils de certificats ne peuvent être renommésCertificat demandéCertificat de l'AC « %(ca)s » avec le numéro de série %(serial)s introuvableCertificat(s) enregistré(s) dans le fichier '%(file)s'Certificat/CRLCertificatsCessation d'activitéModifier le niveau actuel du domaine.Modifier le mot de passeTransformer en groupe POSIXTransformer en groupe externeMot de passe modifié pour « %(value)s »Classes de caractèresVérification DNSVérifier la connexion au serveur IPA distant.Vérifier l'état d'une demande de signature de certificat.Vérification de l'existence de l'enregistrement.Vérifier si l'un des serveurs a activé le service autorité de certification.VilleClasseRetire l'application de la vue d'identifiants des hôtes ou membres des groupes d'hôtes indiqués.Cliquer pour ${action}.Les informations d'identification du client peuvent être déléguées au serviceLe client n'est pas configuré. Lancer « ipa-client-install ».Version client. Utilisée pour déterminer si le serveur accepte la requête.Intervalle d'horlogeDécalage d'horlogeFermerLa fermeture du tableau des clés a échoué
Tout replierListe, séparée par des virgules, des types de chiffrementLa commande « %(name)s » a été abandonnée.Catégorie de commandeCatégorie de commande à laquelle la règle s'appliqueNom de commandeCommande non implémentéeCommandesNom usuelConditions n'ayant pu être ajoutéesConditions n'ayant pu être suppriméesConfigurationConfigurer votre jetonConfigurez le code QR en reconnaissant le code QR ci-dessous. Cliquez sur le code QR si vous voyez ceci sur le périphérique que vous souhaitez configurer.Limite configurée côté serveur dépasséeLimite configurée de taille dépasséeLimite configurée de durée dépasséeConfirmer le mot de passeConfirmationConnectivitéÉchecs consécutifs avant verrouillageParamètres de contactContacter ce serveur KDC particulierContinuerMode continu : pas d'arrêt sur erreurs.Mode continu. Les erreurs sont rapportées mais le processus se poursuitMode opératoire continu. Les erreurs sont notées, mais le processus continue.Convertir sur le serveurImpossible d'obtenir %(name)s de façon interactiveImpossible de lire « originfilter » de « UPG Definition ». Vérifiez vos permissions.CompteurBasé sur un compteur (HOTP)Créer un utilisateur en attente depuis un utilisateur suppriméCréer une AC.Créer une nouvelle LCA d'AC.Créer une nouvelle règle HBAC.Créer une nouvelle mappe d'utilisateurs SELinuxCréer une nouvelle clé « automount ».Créer un nouvel emplacement Créer une nouvelle carte « automount ».Créer un nouveau groupe.Créer un nouveau point de montage indirect.Créer une nouvelle règle de délégation de serviceCréer une nouvelle cible de délégation de serviceCréer un nouveau coffre-fort.Créer en tant que groupe non-POSIXCréer un enregistrement DNSCréer une nouvelle ICA.Créer une nouvelle zone de redirection DNSCréer une nouvelle zone DNS (enregistrement SOA).Créer un nouveau groupe de commandes sudo.Créer une nouvelle commande sudo.Créer une nouvelle règle sudo.Créer un enregistrement inverseCréer l'enregistrement inverse pour cette adresse IPACI « %(value)s » crééeAC « %(value)s » crééeCréation de l'enregistrement.Droits d'accès incorrects au cache des justificatifs d'identitéLes confiances croisées entre domaines n'ont pas été configurées. Assurez-vous d'avoir préalablement exécuté « ipa-adtrust-install » sur le serveurContenu actuel de l'enregistrement DNS :
Mot de passe actuelNiveau actuel du domaine :Le mot de passe actuel est requisValeur personnaliséeEnregistrement DHCIDAlgorithme DLVCondensé DLVType de condensé DLVÉtiquette de clé DLVEnregistrement DLVLe « commonName » du DN ne correspond pas à l'identifiant de connexion de l'utilisateurL'adresse email du DN ne correspond à aucune des adresses email de l'utilisateurDN du conteneur pour des groupes dans le DS relatif au DN de baseDN du conteneur pour les utilisateurs dans le DS relatif au DN de baseDN de la tâche lancéeDN à utiliser pour la liaison lorsque Kerberos n'est pas utiliséCible DNAMEEnregistrement DNAMEDNSZone de redirection DNSZones de redirection DNSConfiguration DNS globaleLe type d'enregistrement DNS "%s" n'est pas pris en charge par le plugin bind-dyndb-ldapEnregistrement de ressources DNSEnregistrements de ressources DNSServeur DNSNom du serveur DNSServeurs DNSZone DNSParamètres de zone DNSZones DNSÉchec de vérification du DNS : {%(expected)s} attendu, {%(got)s} obtenuClasse de DNSOptions de configuration DNSZone de redirection DNSZones de redirection DNSTransmetteur DNSLa sémantique de redirection DNS a été modifié depuis IPA 4.0.
Utilisez à la place les redirections de zones (dnsforwardzone-*).
Pour plus de détails, lisez la documentation.Le DNS n'est pas configuréun libellé de DNS ne peut pas dépasser 63 caractèresun libellé DNS ne peut pas dépasser 63 caractèresL'enregistrement DNS a été supprimé car videLe ou les enregistrements DNS de l'hôte %(host)s n'ont pu être supprimés. (%(reason)s)Les enregistrements DNS ne peuvent être mis à jour qu'un seul à la foisEnregistrement de ressource DNSType d'enregistrement de ressource DNSEnregistrements de ressources DNSLa zone DNS inverse %(revzone)s pour l'adresse IP %(addr)s n'est pas gérée par ce serveur.Serveur DNSLe serveur DNS %(server)s ne prend pas en charge : %(error)s.
Si la validation DNSSEC est activée sur le ou les serveurs IPA, merci de la désactiver.Le serveur DNS %(server)s ne prend pas en charge EDNS0 (RFC 6891) : %(error)s.
Si la validation DNSSEC est activée sur le ou les serveurs, merci de la désactiver.Serveur DNS %(server)s : %(error)s.Serveurs DNSZone DNSZone DNS %(zone)s introuvableLa zone DNS de chaque domaine Kerberos doit contenir des enregistrements SOA et NS. Aucun enregistrement trouvé pour : %sL'enregistrement racine de la zone DNS ne peut être renomméZones DNSEnregistrement DNSKEYLa prise en charge de DNSSEC est expérimentale.
%(additional_info)sÉchec de la validation DNSSEC : %(error)s.
Merci de vérifier votre configuration DNSSEC ou de désactiver la validation DNSSEC sur tous les serveurs IPA.Algorithme DSCondensé DSType de condensé DSÉtiquette de clé DSEnregistrement DSL'enregistrement DS ne doit pas être dans la zone sommet (RFC 4035 section 2.4)l'enregistrement DS doit coexister avec un enregistrement NS (RFC 4592 section 4.6, RFC 4035 section 2.4)DonnéesSortie de débogagePar défautGroupe par défaut (repli)Groupe par défaut (repli) pour ranger des entréesTypes de PAC par défautUtilisateur SELinux par défautUtilisateur SELinux par défaut quand il n'y a aucune correspondance dans la règle de mappe SELinuxLa vue de la relation d'approbation par défaut ne peut être appliquée sur un hôteLa vue de la relation d'approbation par défaut ne peut contenir des utilisateurs IPAAttributs par défautDomaine par défaut pour les courrielsValeur par défaut depuisGroupe par défaut pour les nouvelles entréesGroupe utilisateur par défaut pour les nouveaux utilisateursLe groupe par défaut des nouveaux utilisateurs n'est pas POSIXGroupe par défaut pour les nouveaux utilisateurs introuvableClasses d'objets de groupe par défautClasses d'objets de groupe par défaut (liste séparée par des virgules)Groupe d'hôte par défautEmplacement par défaut des répertoires utilisateurInterpréteur de commande par défautInterpréteur de commande par défaut pour les nouveaux utilisateursLa politique de ticket par défaut ne peut pas être lueTypes de PAC par défaut pris en charge pour des servicesTypes d'authentification utilisateur pris en charge par défautTypes d'authentification utilisateur par défautGroupe d'utilisateur par défautClasses d'objets utilisateur par défautClasses d'objets utilisateurs par défaut (liste séparée par des virgules)Groupe utilisateur par défautDegrés de latitudeDegrés de longitudeDélégationNom de délégationDélégationsSupprimerSupprimer '%(value)s' pour %(name)s ?Supprimer une ICA.Supprimer une zone de redirection DNS.Supprimer un enregistrement de ressources DNS.Supprimer la zone DNS (enregistrement SOA).Supprimer un serveur IPA.Supprimer une clé, ôter les permissionsSupprimer le serveurSupprimer un groupe de commandes sudo.Supprimer une commande sudo.Règle sudo supprimée.Supprimer une LCA d'AC.Supprimer un profil de certificat.Supprimer un serveur DNSSupprimer un serveur mandataire RADIUS.Supprimer une mappe d'utilisateurs SELinuxSupprimer une délégation.Supprimer une politique de mot de passe.Supprimer un hôte.Supprimer un groupe d'hôtes.Supprimer un groupe réseau.Supprimer une permission.Supprimer un privilègeSupprimer un rôleSupprimer un segment.Supprimer une permission de libre service.Supprimer un utilisateur en attente.Supprimer un suffixe de topologie.Supprimer la confiance.Supprimer un utilisateurSupprimer un utilisateur en préservant l'entrée correspondantes pour un usage futurSupprimer un utilisateur.Supprimer un conteneur de coffre-fort.Supprimer un coffre-fort.Supprimer les enregistrements associésTout supprimer ?Supprimer une surcharge d'identifiants de groupes.Supprimer une règle HBAC.Supprimer un groupe de services HBAC.Supprimer une vue d'identifiants.Supprimer une surcharge d'identifiants.Supprimer une plage d'ID..Supprimer un emplacement IPA.Supprimer un service IPA.Supprimer un jeton OTPSupprimer une surcharge d'identifiants utilisateurs.Supprimer une paire attribut/valeur. L'option sera évaluée
en dernier, après toutes les modifications et ajouts.Supprimer une règle d'auto-adhésion.Supprimer une clé « automount ».Supprimer un emplacement « automount ».Supprimer une carte « automount ».Supprimer un service HBAC existant.Supprimer un domaineSupprimer un groupe.Mode suppressionSupprimer une cible de délégation de service.Supprimer une règle de délégation de service.ACI « %(value)s » suppriméeAC « %(value)s » suppriméeLCA d'AC « %(value)s » suppriméeZone de redirection DNS « %(value)s » suppriméeServeur DNS « %(value)s » suppriméZone DNS « %(value)s » suppriméeSurcharge d'identifiants de groupes « %(value)s » suppriméeRègle HBAC « %(value)s » suppriméeService HBAC « %(value)s » suppriméGroupe de services HBAC « %(value)s » suppriméVue d'identifiants « %(value)s » suppriméeSurcharge d'identifiants « %(value)s » suppriméePlage d'ID « %(value)s » suppriméeEmplacement IPA « %(value)s » suppriméServeur IPA « %(value)s » suppriméJeton OTP « %(value)s » suppriméServeur mandataire RADIUS « %(value)s » suppriméMappe d'utilisateurs SELinux « %(value)s » supprimée.Commande sudo « %(value)s » suppriméeGroupe de commandes sudo « %(value)s » suppriméRègle sudo « %(value)s » suppriméeSurcharge d'identifiants utilisateurs « %(value)s » suppriméeRègle d'auto-adhésion « %(value)s » suppriméeClé « automount » « %(value)s » suppriméeEmplacement « automount » « %(value)s » suppriméCarte « automount » « %(value)s » suppriméeDélégation « %(value)s » suppriméeGroupe « %(value)s » suppriméHôte « %(value)s » suppriméGroupe d'hôtes « %(value)s » suppriméGroupe réseau « %(value)s » suppriméPermission « %(value)s » suppriméePrivilège « %(value)s » suppriméProfil « %(value)s » suppriméEnregistrement « %(value)s » suppriméRôle « %(value)s » suppriméSegment « %(value)s » suppriméPermission de libre service « %(value)s » suppriméeService « %(value)s » suppriméRègle de délégation de service « %(value)s » suppriméeCible de délégation de service « %(value)s » suppriméeUtilisateur en attente « %(value)s » suppriméSuffixe de topologie « %(value)s » suppriméConfiance « %(value)s » suppriméeUtilisateur « %(value)s » suppriméValeur « %(value)s » supprimée du coffreConteneur de coffre-fort suppriméLa suppression d'un groupe géré est interdite. Il doit d'abord être détaché.La suppression de ce serveur n'est pas autorisée, elle laisserait votre installation sans AC.La suppression de ce serveur laissera votre installation sans DNS.InterdireNuméro du serviceOptions obsolètesAbandonné ; utiliser %sDescriptionDescription de l'objet de l'ACDétacher un groupe administré d'un utilisateur.Groupe « %(value)s » détaché de l'utilisateur « %(value)s »DétectionDéterminer si le greffon de compatibilité de schéma est configuré pour servir les utilisateurs et groupes du domaineDéterminer si la commande « ipa-adtrust-install » a été exécutée sur ce systèmeDéterminer si la commande « ipa-adtrust-install » a été exécutée avec la tâche « sidgen »Dictionnaire de messages I18NDictionnaire de commande IPA codées JSONDictionnaire de méthode IPA codées JSONDictionnaire d'objets IPA codés JSONAnnuaire associant un nom de variable à une valeurCondenséType de condenséChiffresDirectAdhésion directeDirection de latitudeDirection de longitudeDirection de la réplication entre les nœuds gauche et droit de réplicationDésactiverDésactiver une zone de redirection DNS.Désactiver la zone DNS.Désactiver une LCA d'AC.Désactiver une règle sudo.Désactiver un compte utilisateur.Désactiver une règle HBAC.Désactiver une mappe d'utilisateurs SELinuxDésactiver la surcharge par utilisateurDésactiver la clé Kerberos et le certificat SSL d'un service.Désactiver la clé Kerberos, les certificats SSL et tous les services d'un hôte.Désactiver un jetonInterdire l'utilisation de ressources IPA par le domaine approuvéDésactivéLCA d'AC « %(value)s » désactivéeZone de redirection DNS « %(value)s » désactivéeZone DNS « %(value)s » désactivéeRègle HBAC « %(value)s » désactivéeMappe d'utilisateurs SELinux « %(value)s » désactivéeRègle sudo « %s » désactivéeHôte « %(value)s » désactivéService « %(value)s » désactivédomaine approuvé « %(value)s » désactivéCompte utilisateur « %(value)s » désactivéInterdire aux utilisateurs, hôtes ou groupes d'hôtes de créer un tableau de clés de cet hôte.Interdire aux utilisateurs, hôtes ou groupes d'hôtes de créer un tableau de clés de ce service.Interdire aux utilisateurs, hôtes ou groupes d'hôtes à récupérer un tableau de clés de cet hôte.Interdire aux utilisateurs, hôtes ou groupes d'hôtes de récupérer un tableau de clés de ce service.Afficher un enregistrement de ressources DNS.Afficher un groupe de commandes sudo.Afficher une commande sudo.Afficher une règle sudo.Afficher un segment.Afficher une ICA d'après son nom.Afficher une clé « automount ».Afficher un emplacement « automount »Afficher une carte « automount ».Afficher la configuration d'un nouveau serveur DNS.Afficher la politique effective d'un utilisateur donnéAfficher des informations à propos des zones de redirection DNS.Afficher les informations au sujet d'une zone DNS (enregistrement SOA).Afficher les informations sur un serveur mandataire RADIUS.Afficher les informations sur une sortie de commande.Afficher des informations sur un paramètre de commande.Afficher des informations sur une commande.Afficher les informations sur une délégation.Afficher les informations sur un sujet de l'aide.Afficher les informations sur un hôte.Afficher des informations sur un groupe d'hôtes.Afficher les informations d'un groupe nommé.Afficher les informations au sujet d'une règle de délégation de service.Afficher les informations sur une cible de délégation de service.Afficher l'information sur un groupe réseau.Afficher les informations sur une permission.Afficher les informations sur un privilège.Afficher les informations sur une plage.Afficher les informations sur un rôle.Afficher les informations sur une permission de libre service.Afficher les informations sur un utilisateur en attente.Afficher des informations sur une relation de confiance.Afficher l'information sur un utilisateur.Afficher les informations sur un conteneur de coffre-fort.Afficher des informations sur un coffre-fort.Afficher les informations d'une surcharge d'identifiants de groupes.Afficher les informations sur un groupe de services HBAC.Afficher des informations sur un service HBAC.Afficher les informations d'une vue d'identifiants.Afficher les informations d'une surcharge d'identifiants.Afficher les informations d'un emplacement IPA.Afficher les informations sur un service IPA.Afficher des informations au sujet du jeton OTPAfficher les informations d'une surcharge d'identifiants utilisateurs.Afficher des informations au sujet d'une règle d'auto-adhésion.    Afficher les informations sur une politique de mot de passe.Afficher des informations pour les groupes d'auto-adhésion par défaut (repli).
    Nom affichéAffiche les droits d'accès sur cette entrée (requiert --all). Cf. la page de manuel de « ipa » pour plus d'informations.Afficher la politique de tickets Kerberos.Afficher la liste des domaines du royaume.Afficher les propriétés d'une LCA d'AC.Afficher les propriétés d'une AC.Afficher les propriétés d'un profil de certificat.Afficher les propriétés d'une mappe d'utilisateurs SELinuxAfficher les propriétés d'une règle HBAC.Afficher l'enregistrement utilisateur pour le principal Kerberos en coursNe pas afficher le code QRVoulez-vous aussi faire une vérification DNS ?Voulez-vous vérifier si l'adresse du nouveau serveur faisant autorité est dans le DNSVoulez-vous supprimer l'alias kerberos ${alias} ?Voulez-vous supprimer le blocage du certificat ?Voulez-vous révoquer ce certificat ? Sélectionnez une raison depuis la liste déroulante.Voulez-vous mettre à jour les enregistrements DNS du système ?DocumentationID de l'autorité DogtagDomaineLe domaine « %(domain)s » n'est pas un domaine racine pour la forêt « %(forest)s »GUID du domaineNiveau du domaineLe niveau du domaine ne peut être redescendu.Le niveau actuel du domaine ne peut être relevé à {0}, le serveur {1} ne le prend pas en charge.Nom de domaine NetBIOSSID du domaineSID du domaine approuvéIdentifiant de sécurité du domaineContrôleur de domaine pour le domaine Active Directory (optionnel)Domaine activéNom de domaineNe pas créer de groupe privéNe pas attendre pour reconstruire l'appartenanceTéléchargementTélécharger le certificat dans un fichier au format PEM.Essai à blancClés dupliquées ignorées :Cartes dupliquées ignorées :Mise à jour dynamiqueModifierModifier ${entity}Attributs impactésAdresse courrielInformations employéMatriculeType d'employéActiverActiver une zone de redirection DNS.Activer la zone DNS.Activer une LCA d'AC.Activer une règle sudo.Activer un compte utilisateur.Activer une règle HBAC.Activer une mappe d'utilisateurs SELinuxActiver le mode migrationActive ou désactive un PKINIT anonymeActiver un jetonActivé(e)LCA d'AC « %(value)s » activéeZone de redirection DNS « %(value)s » activéeZone DNS « %(value)s » activéeRègle HBAC « %(value)s » activéeMappe d'utilisateurs SELinux « %(value)s » activéeRègle sudo « %s » activéeRôles serveur activésActivation du domaine approuvé « %(value)s »Compte utilisateur « %(value)s » activéType de chiffrement à demanderÉchec de comparaison du « enctype » !
EnregistréInscriptionÉchec de l'enregistrement. %s
Entrer à nouveau %(label)s pour validation :Saisir le nom du groupe approuvé.Saisir le nom du groupe approuvé ou du groupe IPA. N.B. : la recherche n'indique pas les groupes des domaines approuvés.Saisir le nom de l'utilisateur approuvé ou de l'utilisateur IPA. N.B. : la recherche n'indique pas les utilisateurs des domaines approuvés.Saisir le nom de l'utilisateur approuvé.EntréeL'entrée %s n'existe pasEntrée %s introuvableLe RDN de l'entrée n'est pas l'attribut « uid »L'entrée ne possède aucun attribut « %(attribute)s »Énumérer tous les hôtes auxquels la vue s'applique.ErreurErreur lors du changement d'état du compteErreur à l'obtention du royaume Kerberos par défaut : %s.
Impossible d'obtenir les justificatifs d'identité initiaux : %s.
Erreur à l'analyse de « %1$s » : %2$s.
Erreur à la résolution du tableau de clés : %s.
Erreur lors du stockage des justificatifs d'identité dans le cache : %s.
Établir une relation d'approbation bidirectionnelle. Par défaut, la relation est unilatérale entrante uniquement.Établit une relation d'approbation externe vers un domaine dans une autre forêt. La relation n'est pas transitive au delà du domaine.Établir en utilisantÉtablie et vérifiéeChangeurExclure deAttributs exclusExclusion« Regex » d'exclusionTout déplierExpire leExporter les meta-données du greffons pour l'interface WebExpressionExterneGroupe externe en tant que tel les commandes sont lancées (« sudorule-find » uniquement)Groupes externes de « RunAs Users »Groupes externes d'utilisateurs comme tel la commande peut être exécutéeUtilisateur externeUtilisateur externe comme tel les commandes peuvent être lancées (« sudorule-find » uniquement)Utilisateur externe auquel la règle s'applique (« sudorule-find » uniquement)Système externeMembre externeRelation d'approbation externeHachages additionnels à générer dans le greffon mots de passeFiltre cible supplémentaireAC en échecÉchec de « RunAs »Échec de « RunAsGroup »Échec de l'autorisation de création de tableaux de clésÉchec de l'autorisation de récupération des tableaux de clésHôtes/groupes d'hôtes en échecConnexions ayant échouéÉchec de « managedby »Membres en échecPropriétaires en échecProfils en échecServices/groupes de service en échecHôtes/groupes d'hôtes source en échecÉchec de la cibleÉchec lors de l'ajoutÉchec lors de l'ajout de la clé au tableau
Échec à l'ajout de l'utilisateur dans le groupe par défaut. Utiliser la commande « ipa group-add-member » pour l'ajouter manuellement.Échec de la liaison au serveur !
Échec du nettoyage du memberPrincipal %(principal)s dans l'entrée s4u2proxy %(dn)s : %(err)sÉchec du nettoyage des entrées du nom d'hôte DNA pour %(master)s : %(err)sÉchec du nettoyage des entrées DNS de %(hostname)s : %(err)sÉchec du nettoyage du principal ou des clés du serveur : %(err)sÉchec à la fermeture du tableau de clés
Échec à la création du contrôle !
Échec de création du contenu de la clé
Échec de création de la clé !
Échec de création d'une clé aléatoire !
Impossible de décoder la réponse de contrôle !
Échec à l'obtention du tableau de clés
Échec d'obtention du tableau de clés !
Impossible d'obtenir le résultat : %s
Échec à l'ouverture du tableau de clés
impossible d'ouvrir le fichier de configuration %s
Impossible d'ouvrir le tableau de clés
Échec de l'ouverture du tableau de clés « %1$s » : %2$s
Impossible d'analyser le fichier de configuration %s
Impossible d'analyser le résultat étendu : %s
Impossible d'analyser le résultat : %s
Échec à la suppressionÉchec de la suppression du serveur %(master)s de la liste de serveurs : %(err)sÉchec lors de la récupération de toute cléÉchec lors de la récupération du type de chiffrement %1$s (#%2$d)
Échec lors de la récupération du type de chiffrement #%d
Utilisateurs/groupes en échecÉchec dans le décodage du « Certificate Signing Request » : %sDélai de réinitialisation après échecGroupe principal de repliRepli sur l'annuaire LDAP du contrôleur de domaine ADFauxFalse si la migration échoue parce que le greffon « compat » est activé.Faux si le mode de migration a été désactivé.Numéro de faxRécupérer les domainesRécupération des zones DNS.Échec de la récupération des domaines depuis la forêt approuvée. Voir les informations détaillées dans le journal d'erreur.Fichier %(file)s introuvableFichier contenant les données à archiverFichier contenant la configuration du profilFichier contenant le nouveau mot de passe du coffre-fortFichier contenant la nouvelle clé publique du coffre-fortFichier contenant l'ancien mot de passe du coffre-fortFichier contenant l'ancienne clé privée du coffre-fortFichier contenant le mot de passe du coffre-fortFichier contenant la clé privée du coffre-fortFichier contenant la clé publique du coffre-fortFichier depuis lequel charger le certificat.Fichier duquel récupérer les donnéesFichier dans lequel stocker le certificat.Le nom de fichier est videNom de fichier du profil brut. Le format XML n'est pas pris en charge.FiltreFiltre disponible ${other_entity}RechercherTrouver les rôles serveur de serveursEmpreinteEmpreinte (SHA1)Type d'empreinteEmpreintesPremierPremier codePremier OTPPremier ID POSIX de la plagePremier ID POSIX de la plage réservée au domaine approuvéPremier RID dans la plage de RID correspondantePremier RID dans la plage de RID secondaireDate et heure à partir desquels le jeton peut être utiliséPrénomMarqueursLes segments suivants n'ont pas été supprimés :ForcerForcer la création de la zone DNS même si elle recouvre une zone existante.Forcer la création de la zone DNS même si le serveur de nom n'est pas résoluble.Forcer la création de la zone DNS même si le serveur de nom n'est pas résoluble. (Obsolète)Forcer la mise à jourForcer l'ajout d'un domaine même si absent des DNSForcer un changement de serveur de nom même si le serveur de nom n'est pas dans le DNSForcer la suppression du serveurForcer la suppression du serveur même s'il n'existe pasForcer l'hôte à rejoindre le domaine. Rejoindre à nouveau même s'il a déjà rejoint le domaine.On force la suppression de %(hostname)sErreur de formatRedirection prioritaireRedirection uniquementPolitique de redirectionLa politique de redirection est définie pour lui dans le DNS d'IPA, peut-être le redirecteur pointe-t'il vers un hôte incorrect ?Rediriger vers le serveur au lieu d'exécuter localementZones redirigées uniquementRedirecteurs de zoneRedirection désactivéeLa politique de transfert entre en conflit avec certaines zones automatiques vides. Les requêtes pour les zones spécifiées dans la RFC 6303 ignoreront le transfert et la récursion et résulteront toujours en des réponses NXDOMAIN. Pour surcharger ce comportement, utiliser la politique de transfert « only ».'%(value)s' trouvé.Nom completNom d'hôte pleinement qualifiéGECOSGIDGID (utiliser cette option pour le définir manuellement)GénéralCréer un OTPCréer un mot de passe aléatoire utilisé pour l'inscription en masseCréer un mot de passe aléatoireCréer les fichiers « automount » pour un emplacement donné.OTP crééObtenirObtenir le certificatLa configuration globale DNS est videConfiguration globale des relations d'approbationRedirecteurs globauxRedirecteurs globaux. Un port personnalisé peut être indiqué pour chaque redirecteur en utilisant le format standard « adresse_IP port PORT »Politique globale de redirection. Mettre à « none » pour désactiver tout redirecteur global configuré.Droits accordésPrivilèges accordés aux rôlesGroupeLe groupe « %s » n'existe pasNuméro d'identifiant de groupeSurcharge d'identifiant de groupeSurcharges d'identifiants de groupesOptions de groupeParamètres de groupeType de groupeConteneur de groupesDescription du groupeNom du groupeClasse d'objets groupeSurcharges des objets groupesChamps de recherche de groupeGroupe auquel appliquer l'ACIGroupes à surchargerType de groupeType de groupe auquel la règle s'appliqueGroupesGroupes autorisés à créer un tableau de clésGroupes autorisés à récupérer un tableau de clésGroupe de « RunAs Users »Règle HBACRègle HBAC délimitant les utilisateurs, les groupes et les groupes d'hôtesRègles HBACService HBACGroupe de services HBACGroupes de services HBACServices HBACTest HBACRègle HBACRègle HBAC %(rule)s introuvableDes membres locaux et des membres d'une règle HBAC ne peuvent pas être définis simultanémentRègles HBACService HBACDescription de service HBACGroupe de services HBACDescription de groupe de services HBACGroupes de services HBACGroupes de services HBAC à ajouterGroupes de services HBAC à supprimerServices HBACServices HBAC à ajouterServices HBAC à supprimerEnregistrement HIPFenêtre d'authentification HOTPFenêtre de synchronisation HOTPpassage d'occurrence d'authentification HOTPpassage d'occurrence de synchronisation HOTPErreur HTTPAdresse(s) MAC du matériel sur cet hôtePlate-forme matérielle de l'hôte (par ex. Lenovo T61)Sujet de l'aideMasquerCacher les détailsMasquer les détails des règles satisfaites ou pas, ou invalidesTaille de l'historiqueRépertoire personnelBase du répertoire utilisateurPrécision horizontaleHôteHôte « %(host)s » introuvableL'hôte « %(hostname)s » n'a pas d'enregistrement DNS de type A/AAAA correspondantCertificat de l'hôteGroupe d'hôtesParamètres des groupe d'hôtesGroupes d'hôtesGroupes d'hôtes autorisés à créer un tableau de clésGroupes d'hôtes autorisés à récupérer un tableau de clésMasques d'hôtesNom d'hôteParamètres d'hôteCatégorie de systèmesCatégorie d'hôte (les sémantiques associées à cet attribut vous sont propres)Catégorie d'hôte à laquelle la LCA s'appliqueCatégorie d'hôtes à laquelle la règle s'appliqueRègle de groupes d'hôtesRègles de groupes d'hôtesPlate-forme matérielle de l'hôte (par ex. « Lenovo T61 »)Hôte déjà joint.
L'hôte n'est pas pris en chargeLocalité de l'hôte (par ex. « Paris, IDF »)Emplacement de l'hôte (par ex. "Lab 2")Nom d'hôteSystème d'exploitation et version (par ex. « Fedora 9 »)Permissions de l'hôte suppriméesCommandes de contrôle d'accès basé sur l'hôteGroupe d'hôtesGroupes d'hôtes auxquels s'applique la vue d'identifiants. Veuillez noter que cette vue ne s'applique pas automatiquement aux hôtes ajoutés au groupe après l'exécution de la commande idview-apply.Groupes d'hôtes dont les hôtes doivent se voir la vue d'identifiants retirée. Veuillez noter que la vue n'est pas automatiquement retirée de tout hôte ajouté au groupe d'hôte après l'exécution de la commande idview-unapply.Nom d'hôteNom d'hôte (FQDN)Nom d'hôte de ce serveurHôtesHôtes autorisés à créer un tableau de clésHôtes autorisés à récupérer un tableau de clésHôtes ou groupes d'hôtes dont la vue d'identifiants n'a pu être retirée.Hôtes ou groupes d'hôtes auxquels cette vue d'identifiants ne pourra pas être appliquée.Hôtes dont la vue d'identifiants a été retirée.Hôtes auxquels s'applique cette vue d'identifiants.Hôtes auxquels la vue s'appliqueHôtes auxquels appliquer la vueHôtes dont on va retirer toute vue d'identifiants.Durée de maintien en cache des réponses négativesPlage d'IDPlages d'IDVue d'identifiantsNom de la vue d'identifiantsVue d'identifiants déjà appliquéeVue d'identifiants appliquée à %i hôte.Vue d'identifiants appliquée à %i hôtes.Vue d'identifiants retirée de %i hôte.Vue d'identifiants retirée de %i hôtes.Vues d'identifiantsSurcharge d'identifiantsLes surchages d'identifiants ne peuvent être renomméesLa plage ID existe déjà pour ce domaine approuvé, mais est d'un type différent. Vous devez soit supprimer l'ancienne plage manuellement, soit ne pas forcer le type via l'option « --range-type ».Type de plage d'identifiants, doit être ipa-ad-trust-posix, ipa-ad-trust ou ipa-localUne plage d'ID avec le même nom, mais pour un SID de domaine différent existe déjà. La plage d'ID pour le nouveau domaine approuvé doit être créée manuellement.Adresse IPL'adresse IP %(ip)s est déjà assignée au domaine %(domain)s.Réseau IP pour lequel créer un nom de zone inverseAgents IPA de relation d'approbation ADContrôleurs IPA de relation d'approbation ADL'AC de IPA ne peut être suppriméeMaître de renouvellement d'AC IPAServeurs d'AC IPAEnregistrements DNS IPAServeurs DNS IPAVersion du DNS de IPA.Maître des clés DNSSec IPAErreur IPAServeurs KRA IPAEmplacement IPADescription de l'emplacement IPAEmplacements IPALe type de plage IPA doit être « ipa-ad-trust » ou « ipa-ad-trust-posix » lorsque le SID du domaine approuvé est indiqué.Le type de plage IPA ne doit être ni « ipa-ad-trust », ni « ipa-ad-trust-posix » lorsque le SID du domaine approuvé n'est pas indiqué.Serveur IPARôle serveur IPARôles serveur IPAServeur IPA à utiliserServeurs IPAIPA ne gère pas la zone %(zone)s, merci de modifier vos serveurs DNS manuellementNom de l'emplacement IPAEnregistrements du ou des emplacements IPALe maître IPA a refusé  %(count)d fois les demandes de validation de relation d'approbation du contrôleur de domaine AD. Cela est probablement dû au fait que ce dernier a tenté de contacter une réplique où les informations de relations d'approbation n'ont pas encore été répliquées. De plus, vérifiez que le DNS AD est capable de résoudre les enregistrements SRV %(records)s vers le serveur IPA adéquat.Maîtres IPA« namingContext » d'IPA introuvable
objet IPANom du rôle IPAServeur IPA configuré comme maître des clés DNSSecLe domaine du serveur IPA ne peut être suppriméLe domaine du serveur IPA ne peut être omisNom d'hôte du serveur IPANom du rôle serveur IPAServeurs IPA configurés comme agents de relation d'approbation ADServeurs IPA configurés comme contrôleurs de relation d'approbation ADServeurs IPA configurés comme autorité de certificationServeurs IPA configurés comme agents de recouvrement de clésRelation d'approbation IPAID unique IPAEnregistrement IPSECKEYIdentitéParamètres d'identitéSi aucune AC n'est indiquée, les requêtes à l'autorité de certification par défaut sont autorisées.Si le problème persiste, veuillez contacter l'administrateur du système.Ignorer la vérification de dernier serveur d'AC ou DNSIgnorer le greffon « compat »Attribut groupe à ignorerClasse d'objets groupe à ignorerIgnorer les problèmes de connectivité dans la topologie après suppressionIgnorer les erreurs de topologieAttribut utilisateur à ignorerClasse d'objets utilisateur à ignorer%(src)s ignoré pour %(dst)sClés ignorées :On ignore ces avertissements et lancement de la suppressionOn ignore les erreurs de connectivité de la topologie.Importer un profil de certificat.Importer des fichiers « automount » pour un emplacement donné.Clés importées :Cartes importées :Profil « %(value)s » importéInclusion désactivéeInclusion activéeInclure toutes les règles IPA inactives dans le testInclure toutes les règles IPA actives dans le test [par défaut]Inclure dansAttributs inclusInclusion« Regex » d'inclusionOptions incompatibles indiquées (-r et -P)
IndirectService HBAC de membre indirectGroupe de services de membre indirectGroupes membres indirectsGroupes d'hôtes membres indirectsHôtes membres indirectsGroupes réseau de membres indirectsMembre indirect des groupes d'hôtesMembres indirect des rôlesDroits d'accès de membre indirectUtilisateurs membres indirectsAdhésion indirecteHérité de la configuration du serveurInitialiser le nœud de gaucheInitialiser le nœud de droiteInitialesLes données en entrée ont été indiquées plusieurs foisNom du fichier en entréeLe formulaire de saisie comporte des valeurs non-valides ou manquantes.Privilège « add » insuffisant pour l'entrée « %s ».Privilège « write » insuffisant pour l'attribut « krbLastPwdChange » de  l'entrée « %s ».Privilège « write » insuffisant sur l'attribut « userCertificate » de l'entrée « %s ».Accès insuffisant : %(info)sPrivilège insuffisant pour créer un certificat avec le nom de sujet « %s » alternatif.Erreur interneRequête JSON-RPC invalide : %(error)sURI LDAP invalide.Mécanisme de liaison SASL invalide
Nom de principal de service invalide
Données d'authentification invalidesFormat invalide. Doit être nom=valeurNombre de parties invalide !Type invalide ou non pris en compte. Les valeurs autorisées sont : %sClé publique invalide ou non prise en charge : %sType de coffre-fort invalideLa zone est-elle active ?ÉmettreÉmis parÉmis leÉmis pourÉmis à partir duÉmis à partir de cette date (AAAA-mm-jj)Émis jusqu'auÉmis à cette date (AAAA-mm-jj)ÉmetteurDN de l'émetteurNom distinctif de l'émetteurAC émettriceCeci est uniquement utilisée pour définir l'attribut SOA MNAME.Titre de posteRejoindre un domaine IPAEnregistrement KEYLe service KRA est désactivéÉchangeur KXPréférence KXEnregistrement KXCache des justificatifs d'identité Kerberos introuvable. Possédez-vous un ticket Kerberos ?
Clé KerberosClé Kerberos absenteClé Kerberos présente, hôte muni de permissionsClé Kerberos présente, permissions du service activéesNom de principal de service KerberosPolitique de tickets KerberosPrincipal d'utilisateur Kerberos introuvable. Avez-vous un cache de justificatifs d'identité Kerberos ?
Échec de l'initialisation du contexte Kerberos
Échec de l'initialisation du contexte Kerberos : %1$s (%2$d)
Erreur Kerberos : %(major)s/%(minor)sClés Kerberos disponiblesPrincipal KerberosLe principal Kerberos %s existe déjà. Utiliser la commande « ipa user-mod » pour le définir manuellement.Expiration du principal KerberosNom du principal Kerberos pour cet hôteCléClé compromiseÉtiquette de cléTableau de clésNom de fichier du tableau de clésRécupération du tableau de clés et stockage avec succès dans : %s
DN LDAPMécanisme de liaison SASL pour LDAP lorsque bindd ou bindpw ne sont pas utilisésURI LDAPURI LDAP du serveur DS depuis lequel effectuer la migration« basedn » de LDAPMot de passe LDAPMot de passe LDAP (hors utilisation de Kerberos)Schéma LDAPPortée de recherche LDAP pour les utilisateurs et les groupes : base, onelevel, ou subtree. Valeur par défaut : onelevelSuffixe LDAP qui sera géréDélai d'expiration LDAPAltitude LOCDegrés de latitude LOCDegrés de longitude LOCDirection de latitude LOCDirection de longitude LOCPrécision horizontale LOCMinutes de latitude LOCMinutes de longitude LOCSecondes de latitude LOCSecondes de longitude LOCTaille LOCPrécision verticale LOCEnregistrement LOCÉtiquetteDernierDate et heure au delà desquels le jeton ne peut plus être utiliséDernière authentification ayant échouéNomDernière authentification réussieLes espaces de début et de fin ne sont pas autoriséesNœud de gaucheNœud de réplication à gauche - un serveur IPAFiltre LDAP valide (i.e. ou=Engineering)Durée de validité du code du jeton TOTPNiveauÉnumérer tous les coffres-forts de servicesÉnumérer tous les coffres-forts d'utilisateursListe des maîtres IPA configurés comme serveurs DNSListe des maîtres IPAListe des suppressions ayant échouéListe des rôles activésListe des serveurs qui publient un emplacement donnéListe des domaines approuvés rafraîchie avec succès. Utiliser la commande « trustdomain-find » pour les énumérer.Liste des objets migrés, catégorisés par type.Liste des objets n'ayant pu être migrés, catégorisés par type.Charger le certificat de l'AC du serveur LDAP depuis FILEDomaine local :LocalitéEmplacementNom de l'emplacementEmplacement de l'ACIDurée du verrouillageConnecté en tant queInterpréteur de commandeAdresse MACMS-PACÉchangeur MXPréférence MXEnregistrement MXAdresse postaleDN mal forméPrincipal malforméGérer la politique de mots de passe d'un groupe spécifiqueAdministrer la politique de ticket pour un utilisateur donnéDN du suffixe LDAP administréGéré parSuffixe administréSuffixes administrésLa gestion de la topologie nécessite le niveau de domaine minimal ${domainlevel}Permission « managedby »GestionnaireGérantCarteType de mappeMarquer le jeton comme désactivé (par défaut : faux, false)Fichier maîtreCorrespondanceRègles satisfaitesType correspondantNiveau de domaine maxiNombre maximal d'échecsVie max.Durée de vie maximale (jours)Renouvellement max.Durée maximale (secondes) pour une recherche (0 ou -1 pour illimitée)Durée maximale (secondes) pour une recherche (> 0, -1 pour illimitée)Niveau de domaine maximalLe nombre maximal d'agréments par répliqueNombre maximum de certificats renvoyésNombre maximal d'entrées renvoyéesNombre maximal d'entrées renvoyées (0 pour illimité)Nombre maximum d'entrées à rechercher (-1 pour illimité)Nombre maximum d'entrées à rechercher (-1 ou 0 pour illimité)Nombre maximal de règles à traiter quand « --rules » n'est définiDurée de vie maximale d'un mot de passe (en jours)Durée maximale de la période de renouvellement (secondes)Numéro de série maximumDurée de vie maximale (secondes)Longueur maximale du nom d'utilisateurLa valeur maximale est ${value}Ne peut pas être videGroupe membreServices HBAC membresGroupes de services HBAC membresHôte membreGroupe d'hôtes membreMembres de commandes sudoUtilisateur membreGroupes de membresGroupes d'hôtes membresHôtes membresGroupes réseau membreMembre deMembre de règle HBACMembre de règle SudoMembre d'un groupeMembre du groupeMembre des groupesMembre du groupe d'hôtesMembre des groupes réseauPrincipaux membres deGroupes de services membresServices membresGroupe d'utilisateurs membreUtilisateurs membresMembres d'un domaine approuvé sous la forme DOM\nom ou nom@domaineMembres n'ayant pu être ajoutésMembres n'ayant pas pu être supprimésMigrer les utilisateurs et groupes de DS vers IPA.Mode migration désactivé.
Utiliser la commande « ipa config-mod --enable-migration=TRUE » pour l'activer.La migration des références des recherches LDAP n'est pas prise en charge.Niveau de domaine miniLongueur minimaleDurée de vie minimale (jours)Niveau de domaine minimalTaille minimale d'un mot de passeNombre minimal de classes de caractèresDurée de vie maximale d'un mot de passe (en jours)Numéro de série minimumLa valeur minimale est ${value}Minutes de latitudeMinutes de longitudeInformations diversesNouvelle clé publique du coffre-fort manquanteRéférence HTTP manquante ou invalide, %(referer)sAbsence de liste de contrôle des réponses !
Absence de contrôle de réponse !
Valeurs manquantes :Clé privée du coffre-fort manquanteClé publique du coffre-fort manquanteNuméro de téléphone mobileModèleModifiéConfiguration de la relation de confiance « %(value)s » modifiée.ACI « %(value)s » modifiéeAC « %(value)s » modifiéeLCA d'AC « %(value)s » modifiéeProfil de certificat « %(value)s » modifiéServeur DNS « %(value)s » modifiéRègle HBAC « %(value)s » modifiéeService HBAC « %(value)s » modifiéGroupe de services HBAC « %(value)s » modifiéPlage d'ID « %(value)s » modifiéeEmplacement IPA « %(value)s » modifiéServeur IPA "%(value)s" modifiéJeton OTP « %(value)s » modifiéServeur mandataire RADIUS « %(value)s » modifiéMappe d'utilisateurs SELinux « %(value)s » modifiéeCommande sudo « %(value)s » modifiéeGroupe de commandes sudo « %(value)s » modifié.Règle sudo « %(value)s » modifiéeSurcharge d'identifiants de groupes « %(value)s » modifiéeVue d'identifiant « %(value)s » modifiéeSurcharge d'identifiants « %(value)s » modifiéeSurcharge d'identifiants utilisateurs « %(value)s » modifiéeRègle d'auto-adhésion « %(value)s » modifiéeClé « automount » « %(value)s » modifiéeCarte « automount » « %(value)s » modifiéeDélégation « %(value)s » modifiéeGroupe « %(value)s » modifiéHôte « %(value)s » modifiéGroupe d'hôtes « %(value)s » modifiéGroupe réseau « %(value)s » suppriméPermission « %(value)s » modifiéePrivilège « %(value)s » suppriméRôle « %(value)s » modifiéSegment « %(value)s » modifiéPermission de libre service « %(value)s » modifiéeService « %(value)s » modifiéUtilisateur en attente « %(value)s » modifiéSuffixe de topologie « %(value)s » modifiéRelation de confiance « %(value)s » modifiée (la modification sera effective dans 60 secondes)Utilisateur « %(value)s » modifiéCoffre-fort « %(value)s » modifiéModifié : clé non définieModifier '%(value)s' pour %(name)s ?Modifier une ICA.Modifier la configuration de l'ACModifier la configuration d'un profil de certificat.Modifier une zone de redirection DNS.Modifier la configuration du serveur DNSModifier la zone DNS (enregistrement SOA).Modifier une plage.Modifier la politique de tickets Kerberos.Modifier les options de configuration OTP.Modifier un groupe de commandes sudo.Modifier une commande sudo.Modifier une règle sudo.Modifier une LCA d'AC.Modifier un enregistrement de ressources DNS.Modifier un jeton OTPModifier un serveur mandataire RADIUSModifier une mappe d'utilisateurs SELinuxModifier une délégation.Modifier une politique de mot de passe de groupe.Modifier un groupe.Modifier un groupe d'hôtes.Modifier un  groupe réseau.Modifier une permission.Modifier un privilège.Modifier un rôle.Modifier un segment.Modifier une permission de libre service.Modifier un utilisateur en attente.Modifier un suffixe de topologie.Modifier un utilisateur.Modifier un coffre-fort.Modifier une surcharge d'identifiants de groupes.Modifier une règle HBAC.Supprimer un groupe de services HBAC.Modifier un service HBAC.Modifier une vue d'identifiants.Modifier une surcharge d'identifiants.Modifier une surcharge d'identifiants utilisateurs.Modifier une règle d'auto-adhésion.
    Modifier une clé « automount ».Modifier une carte « automount ».Modifier un service IPA.Modifier les options de configuration.Modifier la configuration DNS globale.Modifier la configuration globale des relations d'approbation.Modifier les informations d'un hôte.Modifier les informations d'un emplacement IPA.Modifier les informations d'un serveur IPA.Modifier les domaines du royaume.Modifier le domaine approuvé de la confiancePlus d'une entrée avec la clé %(key)s trouvée, utilisez --info pour sélectionner l'entrée donnée.Information de montagePoint de montageDéplacer l'utilisateur supprimé dans l'espace en attenteMulti-valuéDoit être un nombre décimalDoit être une valeur d'horodatage UTC (ex. : « 2014-01-20 17:58:01Z »)Doit être un entierDrapeaux NAPTROrdre NAPTRPréférence NAPTRExpression rationnelle NAPTRRemplacement NAPTRService NAPTREnregistrement NAPTRNom de domaine NISLa valeur NONE ne peut être combinée avec d'autres types de PACNom d'hôte NSEnregistrement NSl'enregistrement NS n'est pas autorisé à coexister avec un enregistrement %(type)s sauf quand ils sont situés dans enregistrement de zone racine (RFC 2181, section 6.1)Les enregistrements NS peuvent être modifiés dans la somme sommet  - '@'. Enregistrement NSECEnregistrement NSEC3Enregistrement NSEC3PARAMEnregistrement NSEC3PARAM pour une zone au format : algorithme_hachage marqueurs itérations salt.NomNom de référencement de l'ACNom de la commande à exporterNom du groupe d'hôtesNom de l'AC émettriceNom de la méthode à exporterNom de l'objet à exporterNom de la carte parente (par défaut : auto.master).Nom du domaine approuvéLe serveur de noms '%(host)s' n'a pas d'enregistrement A/AAAA correspondantLe serveur de nom pour la zone inverse ne peut être un nom DNS relatifNi « --del-all », ni aucune option de suppression d'enregistrement donné n'a été indiqué.
Consulter l'aide pour connaître tous les types d'enregistrements pris en charge.Commandes imbriquées à exécuterNom NetBIOSGroupe réseauParamètres du groupe réseauDescription de groupe réseauNom de groupe réseauGroupes réseauServices réseauNouveau nom de l'ACINouveau certificatNouveau mot de passeNouveau mot de passe du principalNouveau testNouvel alias de principal KerberosNouvelle information de montageUn nouveau mot de passe est requisNouvelle clé publique indiquée plusieurs foisNouveau mot de passe du coffre-fortAjout : clé non définieAjout : clé définieSuivant(e)Aucun enregistrement A, AAAA, SSHFP ou PTR trouvé.Aucun « Common Name »  n'a été trouvé dans le sujet de cette demande.Aucun serveur DNS dans l'emplacement IPA %(location)s. Sans serveur DNS, l'emplacement ne fonctionnera pas comme attendu.Aucune clé maîtresse DNSSEC n'est installée. La signature de zone DNSSEC ne pourra pas fonctionner tant qu'une clé maîtresse n'est installée.Pas de certificat valideAucune donnée archivée.Cache des justificatifs d'identité introuvablePas de groupe par défaut (repli) définiPas d'entrées.Pas de fichier à lireAucun connecteur YubiKey libre !Aucune clé acceptée par le KDC
Aucune entrée correspondante trouvéePas d'option fournie pour supprimer un enregistrement donné.Aucune option fournie pour modifier un enregistrement donné.Pas d'autorisation pour joindre cet hôte dans le domaine IPA.
Pas de groupe privéPas de réponsePas d'attribut de ce type sur cette entréeCommande virtuelle inconnueAucune préférence de type de chiffrement sur le système ?!
Aucune valeur pour %sPas d'attentePas de permission en écriture sur le fichier « %s » du tableau de clés
Domaine autre que Active DirectoryRègles inexistantes ou invalidesRelation d'approbation externe non transitive vers un domaine dans une autre forêt Active DirectoryUsage uniquePas aprèsPas avantPas un groupe administréAdresse IP invalideAdresse IPv4 invalideAdresse IPv6 invalideAdresse réseau invalide (exemples : 2001:db8::/64, 192.0.2.0/24)Interdit sur une entrée qui n'est pas une feuilleArguments insuffisants pour établir la relation de confianceRègles non satisfaitesPas encore enregistréNoteNombre d'IDs dans la plageNombre de conditions ajoutéesNombre de conditions suppriméesNombre de jours de préavis d'expiration de mot de passeNombre de chiffres des codes du jetonNombre d'entrées renvoyéesNombre d'hôtes dont une vue d'identifiants a été retirée :Nombre d'hôtes auxquels la vue d'identifiants a été appliquée :Nombre de membres ajoutésNombre de membres supprimésNombre de propriétaires ajoutésNombre de propriétaires supprimésNombre de permissions ajoutéesNombre de permissions suppriméesNombre de greffons chargésNombre de privilèges ajoutésNombre de privilèges retirésDurée en secondes à attendre le bon achèvement des requêtes LDAP sortantes de la part d'un replica distant avant mise en échecNombre de variables renvoyées (<= total)OKOTPConfiguration pour les mots de passe à usage uniqueJeton OTPParamètres de jetons OTPJetons OTPOptions de configuration pour les mots de passe à usage uniqueOTP configuréjeton OTPjetons OTPClasses d'objets à ignorer pour les entrées groupe dans DSClasses d'objets à ignorer pour des entrées utilisateur dans DSClasses d'objets à utiliser pour la recherche d'entrées groupe dans DSClasses d'objets à utiliser pour la recherche d'entrées utilisateurs dans DSAncien mot de passe du coffre-fortAncienne clé privée du coffre-fortMots de passe à usage uniqueUn parmi « group », « permission » ou « self » est requisCommandes mots de passe à usage unique (OTP)Une seule valeur est autoriséeUn seul type de zone autorisé par nom de zoneSeules les valeurs « ipa-ad-trust » et « ipa-ad-trust-posix » sont autorisées pour « --range-type » lors de l'ajout d'une relation de confiance AD.Système d'exploitation et version de l'hôte (par ex. Fedora 9)Système d'exploitationOpération échouée : %s
Erreur sur les opérationsOption ajoutéeGroupe d'optionsL'option rid-base ne doit pas être utilisée lorsque le type de plage IPA est ipa-ad-trust-posixSous-arbre optionnel de DN dans lequel une entrée peut être déplacée (doit être dans le sous-arbre, mais peut ne pas encore exister)Sous-arbre optionnel de DN dans lequel une entrée peut être déplacée (doit être dans le sous-arbre, mais peut ne pas encore exister)DN optionnel auquel appliquer les permissions (doit être dans le sous-arbre, mais peut ne pas encore exister)OptionsLes options dom-sid et dom-name ne peuvent pas être utilisées simultanémentLes options « dom-sid » et « rid-base » doivent être utilisées simultanémentLes options « dom-sid » et « secondary-rid-base » ne peuvent pas être utilisées simultanémentLes options « dom-sid/dom-name » et « rid-base » doivent être utilisées simultanémentLes options « dom-sid/dom-name » et « secondary-rid-base » ne peuvent pas être utilisées simultanémentLes options « secondary-rid-base » et « rid-base » doivent être utilisées simultanémentOrdreOrdre des utilisateurs SELinux par priorité croissante, délimités par $Unité organisationnelleOrganisationUnité organisationnelleSous-arbre des DN originesAutres types d'enregistrementsNotre domaine n'est pas configuréMémoire saturée !
Mémoire saturée
Mémoire saturée
Mémoire saturée !Mémoire saturée !
Mémoire saturée !?
Fichier où stocker le certificat de transportNom de fichier de sortieN'afficher que les erreursSurcharger la liste par défaut des types PAC pris en charge. Utiliser « NONE » pour désactiver la prise en charge PAC pour ce service, ce qui peut être nécessaire pour les services NFS par exemple.Réécrire le mot de passe existantSurcharger la configuration héritéeSurcharger le GIDPropriétaire%s propriétaireGroupes propriétairesServices propriétairesUtilisateurs propriétairesPropriétaires n'ayant pu être ajoutésPropriétaires n'ayant pu être suppriméstype de PACPADPKINITPOSIXNom d'hôte PTREnregistrement PTRPageNuméro de téléavertisseurParamètresCarte parenteAnalyser tous les enregistrements DNS et les renvoyer sous forme structuréeErreur d'analyseMot de passeNotification d'expiration de mot de passe (jours)Politiques de mot de passePolitique de gestion des mots de passeUn mot de passe ne peut être indiqué que pour un coffre-fort symétriqueLe mot de passe ne peut être défini pour l'hôte enregistré.Modification du mot de passe terminéeExpiration de mot de passeTaille de l'historique des mots de passeFonctionnalités du greffon mots de passeLa réinitialisation du mot de passe a échoué.Mot de passe indiqué plusieurs foisMot de passe utilisé pour les inscriptions en masseLes mots de passe ne correspondent pasLes mots de passe ne correspondent pas !Les mots de passe ont été migrés dans un format chiffré.
IPA est incapable de créer des clés Kerberos sauf à
utiliser les mots de passe en clair. Tous les utilisateurs
migrés devront se connecter à https://your.domain/ipa/migration/
avant de pouvoir utiliser leur compte Kerberos.Les mots de passe doivent correspondrePolitique de redirection conditionnelle par serveur. Mettre à « none » pour désactiver la redirection vers un redireteur global pour cette zone. Dans ce cas, les redirecteurs de zone conditionnels sont ignorés.Redirecteurs par serveur. Un port personnalisé peut être indiqué pour chaque redirecteur avec le format standard « adresse_IP port PORT »Politique de redirection conditionnelle par zone. Mettre à « none » pour désactiver la redirection vers un redireteur global pour cette zone. Dans ce cas, les redirecteurs de zone conditionnels sont ignorés.Redirecteurs par zone. Un port personnalisé peut être indiqué pour chaque redirecteur avec le format standard « adresse_IP port PORT »Temps après lequel le compteur d'échecs sera réinitialisé (secondes)Durée pendant laquelle le verrouillage est actif (secondes)PermissionL'ACI « permission » permet un accès àAutorisation refusée : %(file)sMarqueurs de permissionNom de permissionRéglages des permissionsValeur de permissionUne permission avec un marqueur inconnu %s ne peut pas être modifiée ou suppriméePermissionsPermissions à accorder (« read », « write »). Par défaut : « write ».Permissions à accorder (« read », « write », « add », « delete », « all »)Type de chiffrements autorisésAutorisés à se voir émettre des certificats« Ping » sur un serveur distant.Plate-formeVeuillez choisir un type d'enregistrement de ressource DNS à ajouterVeuillez indiquer les redirecteurs.Veuillez essayer les options suivantes :PolitiquePortArguments positionnelsUne authentification préalable est requise pour le serviceMot de passe pré-partagéLe profil prédéfini « %(profile_id)s » ne peut être suppriméPréférencePréférence donnée à cet échangeur. Les plus petites valeurs sont les premières choisiesLangue préféréePréfixe utilisé pour distinguer les types d'ACI (« permission », « delegation », « selfservice », « none »)Utilisateurs préservésUtilisateurs préservésPrécédent(e)Base de RID principaleLes plages de RID principales et secondaires ne peuvent se recouvrirClé principale uniquementPrincipalLe principal %(principal)s n'a pas pu être authentifié : %(message)sLe principal '%(principal)s' n'est pas autorisé à utiliser l'AC '%(ca)s' avec le profil '%(profile_id)s' pour l'émission de certificat.Le principal « %s » du nom alternatif ne correspond pas au principal demandéPrincipal de ce certificate (par exemple : HTTP/test.example.com)Le principal n'est pas de la forme user@REALM : « %(principal)s »Nom principalAfficher aussi peu que possibleAffiche les informations de débogageAfficher les entrées telles qu'enregistrées sur le serveur. Affecte uniquement le format de sortie.Affiche la sortie XML-RPC brute en mode GSSAPIPrioritéPriorité de la politique (une valeur élevé indique une priorité basse)Clé privée indiquée plusieurs foisPrivilègeParamètres du privilègePrivilège retiréDescription du privilègeNom du privilègePrivilègesID de profilL'identifiant de profil « %(cli_value)s » ne correspond pas aux données du profil « %(file_value)s »Identifiant de profilCatégorie de profilCatégorie de profil à laquelle la LCA s'appliqueConfiguration de profilProfil de configuration enregistré dans le fichier « %(file)s »Description de profilProfilsInvite de définition du mot de passe utilisateurPossibilité futureMise en place des permissionsClé publiqueUne clé publique ne peut être indiquée que pour un coffre-fort asymétriqueClé publique indiquée plusieurs foisLa largeur du code QR est supérieure à celle du terminal. Merci d'agrandir votre fenêtre de terminal.Interroger le niveau actuel du domaine.La recherche a renvoyé plus de résultats que le nombre limite configuré. Affichage des ${counter} premiers résultats.Liens rapidesMode discret. Seules les erreurs sont affichées.RADIUSRéglages du serveur mandataire RADIUSServeur RADIUSServeurs RADIUSConfiguration du serveur mandataire RADIUSServeur mandataire RADIUSNom du serveur mandataire RADIUSServeurs mandataires RADIUSNom d'utilisateur sur serveur mandataire RADIUSRÉVOQUÉDomaine Kerberos conforme à la RFC4120L'attribut RFC822Name ne correspond à aucune des adresses email de l'utilisateurEnregistrement RPEnregistrement RRSIGMot de passe aléatoireConfiguration des plagesNom de la plageTaille de la plageType de plageEnregistrements %s brutsEnregistrements A brutsEnregistrements A6 brutsEnregistrements AAAA brutsEnregistrements AFSDB brutsEnregistrements APL brutsEnregistrements CERT brutsEnregistrements CNAME brutsEnregistrements DHCID brutsEnregistrements DLV brutsEnregistrements DNAME brutsEnregistrements DNSKEY brutsEnregistrements DS brutsEnregistrements HIP brutsEnregistrements IPSECKEY brutsEnregistrements KEY brutsEnregistrements KX brutsEnregistrements LOC brutsEnregistrements MX brutsEnregistrements NAPTR brutsEnregistrements NS brutsEnregistrements NSEC brutsEnregistrements NSEC3 brutsEnregistrements PTR brutsEnregistrements RP brutsEnregistrements RRSIG brutsEnregistrements SIG brutsEnregistrements SPF brutsEnregistrements SRV brutsEnregistrements SSHFP brutsEnregistrements TA brutsEnregistrements TKEY brutsEnregistrements TLSA brutsEnregistrements TSIG brutsFiltre cible brutLa valeur brute d'un enregistrement DNS a déjà été configurée avec l'option « %(name)s »Rétablissement de la confiance pour le domaine « %(value)s »Domaines pour le royaumeLe mot de passe de l'administrateur du domaine doit être indiquéDomaines du royaumeNom du royaumeIncohérence domaine-royaumeRaisonRaison de la révocationRaison de révocation du certificat (0-10)Raison de la révocation du certificat (1-10). Utilisez « ipa help cert » pour plus d'informations sur les raisons de révocation.Reconstruction des adhésions automatiquesReconstruire les appartenances automatiques.Reconstruire l'appartenance pour tous les membres d'un groupeReconstruire l'appartenance pour les hôtes indiquésReconstruire l'appartenance pour les utilisateurs indiqués Le nombre maximal d'agréments de réplication est dépasséType d'enregistrementLa création de l'enregistrement a échoué.Données d'enregistrementNom d'enregistrementEnregistrement non trouvé.Type d'enregistrementEnregistrementsEnregistrements pour la zone DNSRedirectionRedirection vers l'enregistrement PTRRafraîchirRafraîchir la liste des domaines associés à la relation de confianceRafraîchir la page.Expression rationnelleLe nom d'enregistrement relatif « %(record)s » contient le nom de la zone « %(zone)s » comme suffixe, ce qui aboutit au FQDN « %(fqdn)s ». Cela constitue généralement une erreur du fait du point final manquant à la fin du nom indiqué.Poids relatifs des services des serveurs (compte par emplacement)Recharger la configuration actuelle depuis le serveur.Recharger le navigateur.Nom d'hôte du serveur IPA distantNom du serveur distantSupprimer les enregistrements A, AAAA, SSHFP et PTR de l'hôte géré par le DNS de IPA.Supprimer des AC d'une LCA d'ACSupprimer un alias KerberosSupprimer une permissionSupprimer un responsable de l'entrée de l'utilisateur en attente.Supprimer un responsable de l'entrée de l'utilisateurSupprimer la permission pour une délégation d'accès de zone de redirection.Supprimer une permission pour une délégation d'accès par zone.Supprimer tous les principaux de ce royaumeRetirer une option d'une règle sudo.Supprimer les certificats d'un serviceSupprimer les certificats de l'entrée de l'hôteRetirer des commandes et groupes de commandes sudo affectés par la règle sudo.Supprimer des conditions d'une règle d'auto-adhésion.    Supprimer le groupe par défaut (repli) pour toute entrée sans correspondance.Supprimer les entrées du DNSRetrait de la LRCRetirer un groupe de sudo pour exécution comme.Supprimer le blocageRetirer des hôtes et groupes d'hôtes affectés par la règle sudo.Supprimer les hôtes qui peuvent gérer cet hôte.Supprimer des hôtes pouvant administrer ce service.Supprimer un membre d'une règle nommée de délégation de service.Supprimer un membre d'une cible de délégation de service.Retirer des membres d'une délégation de service nomméSupprimer des membres d'un groupe de commandes sudo.Supprimer des membres d'un groupe.Supprimer des membres d'un groupe d'hôtes.Supprimer des membres d'un groupe réseau.Supprimer les membres d'un privilègeSupprimer des membres d'un rôle.Supprimer les membres d'un coffre-fort.Supprimer des membres d'un groupe de services HBAC.Supprimer les certificats de l'entrée de l'utilisateur surchargéSupprimer les certificats de l'entrée de l'utilisateurSupprimer des propriétaires d'un conteneur de coffre-fort.Supprimer les propriétaires d'un coffre-fort.Supprimer des permissions d'un privilège.Supprimer un alias de principal de l'entrée d'un hôteSupprimer un alias de principal d'un serviceSupprimer des privilèges d'un rôle.Retirer des profils d'une LCA d'AC.Ajouter des services et des groupes de services d'une règle HBAC.Retirer des services d'une LCA d'AC.Supprimer une cible d'une règle nommée de délégation de service.Retirer des utilisateurs et groupes d'une LCA d'AC.Retirer des hôtes et des groupes d'hôtes cibles d'une règle HBAC.Supprimer des hôtes et groupes d'hôtes cibles d'une mappe d'utilisateurs SELinuxRetirer des utilisateurs et groupes affectés par la règle sudo.Retirer des utilisateurs et groupes dans sudo pour exécution comme.Retirer des utilisateurs et groupes d'une LCA d'AC.Retirer des utilisateurs et des groupes d'une règle HBAC.Supprimer des utilisateurs et groupes d'une mappe d'utilisateurs SELinuxSupprimer des utilisateurs pouvant gérer ce jeton.Alias supprimés pour l'hôte « %(value)s »Alias supprimés du principal de service « %(value)s »Certificats supprimés pour l'hôte « %(value)s »Certificats supprimés de l'utilisateur surchargé « %(value)s »Supprimer les certificats du principal de service « %(value)s »Certificats supprimés de l'utilisateur « %(value)s »Conditions supprimées de « %(value)s »Groupe « %(value)s » par défaut (repli) supprimé pour l'auto-adhésionInformations sur le domaine approuvé « %(value)s » suppriméesOption « %(option)s » supprimée de la règle sudo « %(rule)s »Permission système « %(value)s » suppriméeSuppression de %(servers)s de la topologie de réplication, merci de patienter...Suppression du principal %s
RenommerRenommer une ICA.Renomme l'objet %(ldap_obj_name)sRenommer l'objet surcharge d'identifiant de groupeRenommer l'objet surcharge de vue d'identifiantsRenommer l'objet jeton OTPRenommer l'objet surcharge d'identifiant d'utilisateurRenommer l'objet clé d'automontageRenommer l'objet groupeACI renommée en « %(value)s »Maître en charge du renouvellement de l'autorité de certificationRemplacementLa réplique est un serveur de clés DNSSEC actif. Le désinstaller pourrait casser votre système DNS. Merci de d'abord désactiver ou de remplacer votre serveur de clés DNSSEC.Agrément de réplication activéConfiguration de la réplicationRaffraichissement demandé pour la réplication via le segment « %(pkey)s ».La topologie de réplication du suffixe « %(suffix)s » contient des erreurs.La topologie de réplication du suffixe « %(suffix)s » est en ordre.Demander une réinitialisation complète du nœud en récupérant les données d'un autre nœud.Identifiant de la demandeIl manque le paramètre « method » à la requêteIl manque le paramètre « params » à la requêteLa requête doit être un dictionnaireÉtat de la demandeRequisChamp requisNécessite une authentification préalableRéinitialiserRéinitialiser la politique de tickets Kerberos.Remise à zéro OTPRéinitialiser le mot de passeRéinitialiser votre mot de passe.Résoudre un nom de système DNS.Résoudre un nom de système DNS. (Obsolète)Résoudre les identifiants de sécurité des groupes et utilisateurs dans des domaines approuvésRestaurerRésultatRésultat de la simulationRésultat de la commandeRésultats tronqués, essayer un recherche plus préciseLes résultats doivent uniquement contenir un attribut de clé principale (« %s »)Les résultats doivent uniquement contenir un attribut de clé principale (« anchor »)Les résultats doivent uniquement contenir un attribut de clé principale (« cn »)Les résultats doivent uniquement contenir un attribut de clé principale (« command »)Les résultats doivent uniquement contenir un attribut de clé principale (« group »)Les résultats doivent uniquement contenir un attribut de clé principale (« group-name »)Les résultats doivent uniquement contenir un attribut de clé principale (« hostname »)Les résultats doivent uniquement contenir un attribut de clé principale (« id »)Les résultats doivent uniquement contenir un attribut de clé principale (« location »)Les résultats doivent uniquement contenir un attribut de clé principale (« map »)Les résultats doivent uniquement contenir un attribut de clé principale (« name »)Les résultats doivent uniquement contenir un attribut de clé principale (« sudocmdgroup-name »)TentativesRécupérer une donnée depuis un coffre-fortRécupérer un certificat existant.Récupérer et afficher tous les attributs à partir du serveur. Affecte la sortie de la commande.Retrouver les clés courantes sans les modifierDonnée récupérée depuis le coffre-fort « %(value)s »Échec de la récupération de la chaîne de certificat de l'AC : %sÉchec de la récupération de l'état de l'AC avec l'état %dÉchec de la récupération de l'état de l'AC : %sRéessayerNouvelle tentative de récupération avec la méthode pre-4.0...
Retourner à la page principale et tenter à nouveau l'opérationL'enregistrement inverse pour l'adresse IP %(ip)s existe déjà dans la zone inverse %(zone)s.La zone inverse %(name)s requiert exactement %(count)d composants d'adresses IP, %(user_count)d donnésRéseau IP de zone inverseRétablirRaison de la révocationRévoquerRévoquer un certificat.RévoquéRévoqué à partir duRévoqué à partir de cette date (AAAA-mm-jj)Révoqué jusqu'auRévoqué à cette date (AAAA-mm-jj)Nœud de droiteNœud de réplication à droite - un serveur IPADroitsDroits à accorder (read, search, compare, write, add, delete, all)RôleParamètres du rôleNom du rôleÉtat du rôleRôlesLe domaine racine de la relation de confiance est toujours activé pour la confiance existanteNom de règleÉtat de la règleType de règleType de règle (allow)RèglesRègles à tester. Si non précisé, --enabled est impliciteExécute les commandesLancer testLancer en tant qu'un utilisateur donnéLancer en tant que n'importe quel utilisateur du groupe indiquéLancer avec le GID d'un groupe POSIX donnéGroupe « RunAs External »Utilisateur « RunAs External »Catégorie « RunAs Group »Catégorie « RunAs Group » à laquelle la règle s'applique« RunAs Groups»Catégorie « RunAs User »Catégorie « RunAs User » à laquelle la règle s'applique« RunAs Users »« RunAsGroup » n'accepte pas « %(name)s » comme nom de groupe« RunAsUser » n'accepte pas « %(name)s » comme nom de groupe« RunAsUser » n'accepte pas « %(name)s » comme nom d'utilisateurLiaison SASL échouée
Options SELinuxUtilisateur SELinuxMappe d'utilisateurs SELinuxRègle de mappe utilisateurs SELinuxRègles de mappes utilisateurs SELinuxMappes d'utilisateurs SELinuxUtilisateur SELinux %(user)s introuvable dans la liste ordonnée (dans la configuration)L'utilisateur SELinux « %(user)s » n'est pas valide : %(error)sL'utilisateur par défaut de la mappe utilisateur SELinux n'est pas dans la liste d'ordreListe de correspondance d'utilisateurs SELinux introuvable dans cette configurationOrdre de la mappe des utilisateurs SELinuxEmpreinte SHA1Empreinte SHA256SIDEntrant dans liste noire de SIDSortant de liste noire de SIDLe SID ne correspond à aucun domaine approuvéLe SID ne correspond exactement à aucun SID du domaine approuvéImpossible de trouver le SID du domaine approuvé désigné. Veuillez indiquer directement le SID avec l'option « dom-sid ».Le SID n'est pas reconnu en tant que SID valide pour un domaine approuvéLe SID n'est pas valideEnregistrement SIGClasse SOAExpiration SOAMinimum SOAClasse d'enregistrement SOA Heure d'expiration de l'enregistrement SOADurée d'actualisation de l'enregistrement SOADurée avant nouvel essai d'enregistrement SOANuméro de série de l'enregistrement SOAActualisation SOANouvel essai SOANuméro de série SOAEnregistrement SPFPort SRVPriorité SRVCible SRVPoids SRVEnregistrement SRVClé publique SSHEmpreinte de clé publique SSHClé publique SSH :Clés publiques SSHAlgorithme SSHFPEmpreinte SSHFPType d'empreinte SSHFPEnregistrement SSHFPSSSD n'a pu résoudre l'objet en un SID valideSelIdentique à --%sEnregistrerRechercherOptions de rechercheRechercher des paramètres de commandes.Recherches dans les domaines approuvésRecherche des %(searched_object)s avec ceux de %(ldap_object)s de %(relationship)s.Recherche des %(searched_object)s sans ceux de %(ldap_object)s de %(relationship)s.La recherche de %1$s sur « rootdse » a échoué avec l'erreur %2$d
Rechercher des LCA d'AC.Rechercher des AC.Rechercher des profils de certificats.Rechercher des zones de redirection DNS.Rechercher des enregistrements de ressources DNS.Rechercher des serveurs DNS.Rechercher des zones DNS (enregistrements SOA).Rechercher des règles HBAC.Rechercher des services HBAC.Rechercher des emplacements IPA.La recherche du « namingContext » d'IPA a échoué avec l'erreur %d
Rechercher des serveurs IPA.Rechercher des services IPA.Rechercher un jeton OTPRechercher des serveurs mandataires RADIUS.Rechercher des mappes d'utilisateurs SELinuxRechercher des groupes de commandes sudo.Rechercher des commandes sudo.Rechercher une règle sudo.Rechercher un groupe réseau.Rechercher des permissions de libre service.Rechercher une surcharge d'identifiants de groupesRechercher des groupes de services HBAC.Rechercher une vue d'identifiants.Rechercher une surcharge d'identifiants.Rechercher une surcharge d'identifiants utilisateursRechercher une clé « automount ».Rechercher un emplacement « automount ».Rechercher une carte « automount ».Rechercher des règles d'auto-adhésion.Rechercher des sorties de commande.Rechercher des commandes.Rechercher des délégations.Recherche de certificats existants.Rechercher des zones redirigées uniquementRechercher des politiques de mot de passe de groupe.Rechercher des groupes.Rechercher des sujets de l'aide.Rechercher un groupe d'hôtes.Rechercher des hôtes avec ces membres de règles HBAC.Rechercher des hôtes avec ces membres de groupes d'hôtes.Rechercher des hôtes sans ces membres de groupes d'hôtes.Rechercher des hôtes sans ces membres de rôles.Rechercher des systèmes sans ces membres de règles sudo.Rechercher des hôtes.Rechercher des groupes réseaux dont les membres sont ces groupes.Rechercher des groupes réseaux dont les membres sont ces groupes d'hôtes.Rechercher des groupes réseaux dont les membres sont ces hôtes.Rechercher des groupes réseaux dont les membres sont ces groupes réseau.Rechercher des groupes réseaux avec ces membres de groupes réseau.Rechercher des groupes réseaux dont les membres sont ces utilisateurs.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes d'hôtes.Rechercher des groupes réseaux dont les membres ne sont pas ces hôtes.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes réseau.Rechercher des groupes réseaux sans ces membres de groupes réseau.Rechercher des groupes réseaux dont les membres ne sont pas ces utilisateurs.Recherche des permissions.Rechercher des privilèges.Rechercher des plages.Rechercher des rôles.Rechercher des cibles de délégation de serviceRechercher des règle de délégation de service.Rechercher des utilisateurs en attente.Rechercher des segments de topologie.Rechercher des suffixes de topologie.Rechercher des suffixes de topologie.Rechercher des confiances.Rechercher des utilisateurs.Rechercher des coffres-fortsLes résultats de la recherche ont été tronqués : %(reason)sÉtendue de la rechercheLimite de taille d'une rechercheLimite de temps d'une rechercheSecond codeDeuxième OTPBase de RID secondaireSecondes de latitudeSecondes de longitudeSecretIdentifiant de sécuritéIdentifiants de sécurité (SID)Information sur le segmentNom de segmentTout sélectionnerSélectionner les entrées à supprimer.SélecteurMoi-mêmePermission de libre servicePermissions de libre serviceNom de la permission de libre serviceLa sémantique de %(label)s a changé. %(current_behavior)s
%(hint)sListe séparée par des points-virgules d'adresses IP ou de réseaux autorisés à émettre des requêtesListe séparée par des points-virgules d'adresses IP ou de réseaux autorisés à effectuer des transfertsSensibleNuméro de sérieNuméro de sérieNuméro de série (hex)Numéro de sérieNuméro de série (hex)Numéro de série en décimal (ou en hexadécimal avec le préfixe 0x)ServeurLe serveur « %(srv)s » possède %(n)d agréments avec les serveurs :Le serveur %(srv)s ne peut contacter les serveurs : %(replicas)sNom du serveurRôle serveurRôles serveurLe serveur a déjà été suppriméNom du serveurNom de serveur non fourni et indisponible
Arrêt brutal de la suppression du serveur : %(reason)s.Le serveur vérifiera le ou les serveurs de redirection DNS.ServeursInformations sur les serveurs :Serveurs situés à l'emplacementServeurs appartenants à l'emplacement IPAServiceLe service %(service)s doit être redémarré sur le serveur IPA %(server)s pour permettre la prise en compte de la nouvelle configuration.Service « %(service)s » introuvable dans la base de données KerberosCertificat de serviceGroupes de servicesOptions du serviceParamètres de serviceCatégorie de serviceCatégorie de service à laquelle la LCA s'appliqueCatégorie de services à laquelle la règle s'appliqueRègle de délégation de serviceRègles de délégation de serviceCible de délégation de serviceCibles de délégation de serviceNom de groupe de services HBACNom de serviceNom de service du service coffrePrincipal du serviceAlias de principal de servicePrincipal de service pour ce certificat (par ex.: HTTP/test.example.com)Le principal de service n'est pas de la forme : service/fully-qualified host name: %(reason)sPoids relatif du servicePermissions du service suppriméesPoids du serviceLes options de service(s), d'utilisateur(s) ou de coffres-forts partagé(s) ne peuvent être utilisées simultanémentLes options de service, d'utilisateur ou de coffre-fort partagé ne peuvent être utilisées simultanémentLes options de service, de partage et d'utilisateur ne peuvent être utilisées simultanément.ServicesErreur de sessionClé de session emballée avec le certificat de transportDélai d'expiration de la sessionDéfinirDéfinir le niveau du domaineParamétrer le mot de passe à usage uniqueDéfinir la clé SSHDéfinir le mot de passe d'un utilisateur.Modifie un attribut d'une paire nom/valeur. Le format est attribut=valeur.
Pour des attributs à valeurs multiples, la commande remplace les valeurs déjà présentes.Définir un groupe par défaut (repli) pour toutes les entrées sans correspondance.Définir le groupe « %(value)s » par défaut (repli) pour l'auto-adhésionParamètresSecret partagé pour la confianceCoffre-fort partagéAfficherAfficher les informations sur le serveur IPA.Montrer le code QRAfficher les résultatsAfficher tous les greffons chargés.Afficher l'uri de configurationAfficher les détailsAfficher les variables d'environnement.Afficher la configuration globale des relations d'approbation.Afficher le suffixe géré.Afficher l'état du rôle sur un serveurAfficher la configuration OTP actuelle.Afficher la configuration actuelle.Afficher la configuration DNS globale.Affiche la liste des types de chiffrement autorisés, et sort.Afficher la configuration du coffre-fort.Afficher/définir la cléAffichage des entrées ${start} à ${end} sur ${total}.Liaison simple échouée
Simulation de l'utilisation des contrôles d'accès basées sur les hôtesTailleLimitation de tailleLa taille des données excède la limite actuelle fixée à %(limit)d octets.Taille de la plage d'ID réservée au domaine approuvéPasser la vérification DNSPasser la vérification lorsque le dernier serveur DNS ou AC maître est suppriméPasser la vérification de recouvrement%(key)s ignoré%(map)s ignoréCertaines entrées n'ont pas été suppriméesCertaines opérations ont échoué.Groupes d'hôtes sourcesHôtes sourcesHôte sourceCatégorie d'hôtes sourcesCatégorie d'hôtes sources à laquelle la règle s'appliqueAC indiquéesCommandes et groupes définisGroupes définisHôtes et groupes indiquésProdils indiquésServices et groupes indiquésUtilisateurs et groupes indiquésIndique où stocker l'information du tableau de clés.Définir un ${entity} externeMette en attenteMettre en attente l'utilisateurMettre en attente les utilisateursUtilisateur en attente %s activéUtilisateurs en attenteCompte utilisateur en attente « %(value)s »Types d'enregistrement standardÉtat/ProvinceÉtatÉtat du rôleArrêter un rafraichissement en cours du ou des nœuds choisis.Arrêt du raffraichissement demandé pour la réplication via le segment « %(pkey)s ».Stocker les certificats émisAdresseStructuréSujetDN de l'objetNom distinctif de l'objetLe type %s de nom alternatif de sujet est interditSoumettre une demande de signature de certificat.Sous-arbreSous-arbre auquel appliquer l'ACIBranche à laquelle appliquer les permissionsSous-typeSuccèsSudoGroupes de commandes « sudo allow »Commandes « sudo allow »Commande sudoGroupe de commandes sudoGroupes de commandes sudoCommandes sudoGroupes de commandes « sudo deny »Commande « sudo deny »Option sudoRègle sudoRègles sudoOrdre sudoNom du suffixeRemplacéType de chiffrements pris en charge :
Suppression du traitement des attributs d'adhésion.Synchroniser le jeton OTPSynchroniser un jeton OTP.Erreur de syntaxe : %(error)sEnregistrements DNS du système mis à jourEnregistrement TAEnregistrement TKEYDonnée d'association du certificat TLSAUtilisation du certificat TLSAType de correspondance TLSASélecteur TLSAEnregistrement TLSAFenêtre de synchronisation TOTPFenêtre d'authentification TOTPDurée de la fenêtre d'authentification TOTP (secondes)Variance temporelle de synchronisation TOTP (secondes)Différence entre le jeton TOTP et le serveur IPAEnregistrement TSIGÔter un certificat révoqué en attente.CibleDN cibleSous-arbre des DN ciblesGroupe cibleHôte cibleMembres cibles d'un groupe (définit « memberof » du filtre cible)Zone inverse cible non trouvée.Cibler votre propre entrée (« self »)DN de la tâcheDN de la tâche = « %s »Numéro de téléphoneTester la syntaxe de l'ACI, sans rien écrireDonnée texteLe texte ne correspond pas au motif du champL'option « --domain » ne peut être utilisée conjointement avec les options « --add-domain » or « --del-domain ». Utilisez « --domain » pour indiquer explicitement la liste complète des domaines du royaume, utilisez « --add-domain » et « --del-domain » pour ajouter et supprimer les domaines de manière individuelle.L'ACI de la permission %(name)s n'a pas été trouvée dans %(dn)s Le domaine IPAL'enregistrement TXT _kerberos du domaine %(domain)s ne peut être créé (%(error)s).
Cela peut arriver si la zone n'est pas gérée par IPA. Merci de créer manuellement l'enregistrement, qui doit contenir la valeur suivante : « %(realm)s »L'enregistrement TXT _kerberos du domaine %(domain)s ne peut être supprimé (%(error)s).
Cela peut arriver si la zone n'est pas gérée par IPA. Merci de le supprimer manuellement.La clé « automount » %(key)s avec l'info %(info)s n'existe pasLe caractère « %(char)r » n'est pas autorisé.Le groupe par défaut ne peut être suppriméLe type « deny » est obsolète.Le nom de domaine de l'hôte cible ou '.' si le service n'est vraiment pas disponible dans ce domaineLes domaines suivants n'appartiennent pas à ce domaine Kerberos : %(domains)sLe groupe n'existe pasL'hôte « %s » auquel ajouter un service n'existe pas.Le nom d'hôte doit être pleinement qualifié : %s
Le nom d'hôte ne doit pas être : %s
Nom d'hôte ou adresse IP (avec ou sans port)Le nom d'hôte vers lequel cet enregistrement inverse pointeLe nom d'hôte sous lequel enregistrerLa paire « key/info » doit être unique. Une clé nommée %(key)s avec l'info%(info)s existe déjà.Le fichier tableau de clés duquel il faut retirer le principal ou les principaux.Les types les plus courants pour ce type de zone sont : %s
Le nombre de fois autorisées pour tenter une authentificationLa valeur de la clé principale de l'entrée, par ex. « jdoe » pour un utilisateurLe principal pour cette demande n'existe pas.Le principal pour lequel obtenir un tableau de clés (par ex: ftp/ftp.example.com@EXAMPLE.COM)Le principal à supprimer d'un tableau de clés (par ex. : ftp/ftp.example.com@EXAMPLE.COM)Le domaine du principal ne correspond pas au domaine de ce serveur IPALe domaine Kerberos des domaines suivants ne peuvent être détectés : %(domains)s. S'il existe des domaines appartenant à ce royaume, merci de créer un enregistrement TXT kerberos contenant « %(realm)s » dans chacun d'entre eux.Le schéma utilisé sur le serveur LDAP. Les valeurs prises en charge sont RFC2307 et RFC2307bis. La valeur par défaut est RFC2307bisLe critère de recherche n'est pas suffisamment précis. Une valeur attendue, mais %(found)d trouvées.Secret utilisé pour chiffrer les donnéesLe principal du service pour le nom %s alternatif du sujet dans la demande de certificat n'existe pasLe nom du thème ou de la commande.Délai d'expiration total pour toutes les tentatives (en secondes)L'attribut de nom d'utilisateur de l'objet utilisateurLe nom d'utilisateur, mot de passe ou code du jeton ne sont pas correctsCette commande ne peut être utilisée que pour modifier l'allocation d'ID pour le domaine local. Utilisez « ipa help idrange » pour plus d'informations.Cette commande s'appuie sur l'existence du groupe « editors », mais ce groupe n'a pas été trouvé.Cette commande requiert un accès administrateurCette entrée existe déjàCette entrée ne peut être activée ou désactivéeCette entrée est déjà membreCette entrée est déjà désactivéeCette entrée est déjà activéeCette entrée n'est pas un membreCe groupe autorise déjà des membres externesCe groupe ne peut être de type POSIX car il est externeCe groupe est déjà de type POSIXCe groupe est déjà de type POSIX et ne peut être converti en groupe externeCela peut prendre un peu de temps, veuillez patienter...Cette page comporte des modifications non-sauvegardées. Veuillez les enregistrer ou les annuler.Ticket périméLa politique de ticket pour %s ne peut pas être lueLimitation de duréeLimite de la durée de la recherche en secondesLimite de la durée de la recherche en secondes (0 pour illimité)Heure actuelleDurée de vieDurée de vie des enregistrements en sommet de zoneJetons temporels (TOTP)Délai d'expirationDélai d'attente dépassé.Pour établir la confiance avec Active Directory, le nom de domaine et le nom de royaume du serveur IPA doivent correspondrePour obtenir de l'aide, utiliser :ID du jetonDescription du jeton (à titre d'information)Algorithme de hachage du jetonModèle du jeton (à titre d'information)Secret du jeton (Base32 ; par défaut : aléatoire)Numéro de série du jeton (à titre d'information)Échec de synchronisation du jetonNom du fabricant du jeton (à titre d'information)Jeton synchroniséCommandes du thème :Thème ou commandeTopologieSegment de topologieSegments de topologieLa topologie ne permet pas au serveur %(server)s de se répliquer avec les serveurs :La topologie est déconnectéeLa gestion de la topologie nécessite le niveau de domaine minimal {0}Suffixe de topologieSuffixes de topologieNombre total de variables d'environnement (>= count)Certificat de transportVraiVrai si tous les résultats n'ont pas été renvoyésVrai signifie que l'opération a réussiConfianceConfiguration de la confianceSens de la confianceConfiguration des relations d'approbationÉtat de la confianceType de confianceType de confiance (par défaut, ad pour Active Directory)domaine approuvéLe domaine approuvé %(domain)s est inclus parmi les royaumes de domaines IPA. Il doit être retiré de manière préalable à l'établissement de la relation d'approbation. Cf. la commande « ipa realmdomains-mod --del-domain ».Le domaine approuvé et le compte administrateur utilisent des domaines différentsLe domaine approuvé n'a pas renvoyé un objet uniqueLe domaine approuvé n'a pas renvoyé un SID valide pour l'objetPartenaire de domaine approuvédomaines approuvésApprouvé pour délégation.Forêt de confianceForêt en cours de mise en confianceConfiancesAuthentification à deux-facteursConfiance réciproqueTypeType d'objets IPA (définit le sous-arbre et le filtre cible de la classe d'objets)Type du jetonTypes d'authentification utilisateur pris en chargeUIDSuffixes UPNURIURLNe  plus appliquerRetirer l'application de la vue d'identifiants d'hôtesRetire l'application de la vue d'identifiants des hôtes de groupes d'hôtesNe plus appliquer aux groupes d'hôtesNe  plus appliquer aux hôtes Impossible de communiquer avec le CMSImpossible de communiquer avec le CMS (état %d)Impossible de créer un groupe privé. Un groupe '%(group)s' existe déjà.Impossible de déterminer le serveur IPA depuis %s
Impossible de savoir si le principal Kerberos %s existe déjà. Utiliser la commande 'ipa user-mod' pour le définir manuellement.Impossible de déterminer le DN racine de %s
Impossible d'afficher le code QR avec l'encodage configuré sur la sortie. Merci d'utiliser l'URI du jeton pour configurer votre jeton OTPImpossible d'activer SSL dans LDAP
Impossible de créer le cache des justificatifs d'identité Kerberos
Impossible d'initialiser la bibliothèque LDAP !
Impossible de joindre l'hôte : cache des justificatifs d'identité Kerberos introuvable
Impossible de joindre l'hôte : principal d'utilisateur Kerberos introuvable et mot de passe non fourni.
Impossible de joindre l'hôte : l'initialisation du contexte Kerberos a échoué
Impossible d'analyser le principal
Impossible d'analyser le nom du principal
Impossible d'analyser le principal : %1$s (%2$d)
Impossible de supprimer l'entrée
Impossible de définir LDAP_OPT_PROTOCOL_VERSION
Impossible de définir LDAP_OPT_X_SASL_NOCANON
Impossible de vérifier les permissions en écriture vers ADRestaurer un compte utilisateur supprimé.Compte utilisateur « %(value)s » restauréAnnulerTout annulerAnnuler toutes les modifications dans ce champ.Annuler cette modification.Désinscrire cet hôte du serveur IPAÉchec de la désinscription.
Désinscription réussie.
ID uniqueInconnuErreur inconnueOption inconnue : %(option)sDéverrouillerCompte utilisateur « %(value)s » déverrouilléPas de correspondanceSuppression des permissionsRègles non résolues dans « --rules »RéintégréModifications non sauvegardéesTout désélectionnerNon-spécifiéValeur non prise en chargeModifierMettre à jour les entrées DNSMettre à jour les enregistrements DNS du serveurMettre à jour les enregistrements DNS des emplacements et serveurs IPAÉchec de la  à jour de l'enregistrement du système « %(record)s », erreur : %(error)sUtilisateurGroupe d'UtilisateursGroupes d'utilisateursIdentifiant utilisateurNuméro d'identifiant utilisateurNuméro identifiant d'utilisateur (le système en assigne un si non défini)Surcharge d'identifiant utilisateurSurcharges d'identifiants utilisateursOptions utilisateursAttribut utilisateurTypes d'authentification utilisateurCatégories d'utilisateursCatégorie d'utilisateurCatégorie d'utilisateurs (la sémantique associée à cet attribut est interprétée localement)Catégorie d'utilisateur à laquelle la LCA s'appliqueCatégorie d'utilisateurs à laquelle la règle s'appliqueConteneur d'utilisateurGroupe d'utilisateursL'ACI d'un groupe utilisateur permet un accès àRègle de groupe utilisateurRègles de groupes d'utilisateursGroupe d'utilisateur auquel s'applique la délégationGroupe d'utilisateurs auquel appliquer les permissions (définit « target »)Identifiant de connexionNom d'utilisateurClasse d'objets utilisateurSurcharges des objets utilisateursMot de passe utilisateurChamps de recherche utilisateurUtilisateurs à surchargerDescription intelligible de l'action effectuéeAttributs propres à un utilisateur auxquels la permission s'appliqueAttributs propres à un utilisateur auxquels la permission ne s'applique explicitement pasNom d'utilisateurNom d'utilisateur du coffre-fort personnelUtilisateursUtilisateurs autorisés à créer un tableau de clésUtilisateurs autorisés à récupérer un tableau de clésCertificat valide présentValide à partir duInvalide après à partir duValide à partir de cette date (AAAA-mm-jj)Invalide après jusqu'auValide jusqu'à cette date (AAAA-mm-jj)Invalide avant à partir duValide à partir de cette date (AAAA-mm-jj), non valide avantInvalide avant jusqu'auValide à cette date (AAAA-mm-jj), non valide avantValide jusqu'auErreur de validationValiditéFin de validationDépart de validationCoffre-fortConteneur de coffres-fortsConteneurs de coffres-fortsConfiguration du coffre-fortLes données du coffre-fort sont chiffrées avec la clé de sessionDescription du coffre-fortNom du coffre-fortMot de passe du coffre-fortClé privée du coffre-fortClé publique du coffre-fortSel du coffre-fortService du coffre-fortType de coffre-fortUtilisateur du coffre-fortCoffres-fortsFournisseurVérifier le mot de passeVérifier le mot de passe du principalVersionPrécision verticaleVia le serviceAfficherAfficher le certificatEn attente de confirmation par la partie distanteAttentionAvertissement, type de chiffrement inconnu.
Avertissement, type « salt » inconnu.
Avertissement : échec de conversion de type (#%d)
Avertissement : les types « salt » ne sont pas traités avec des mots de passe aléatoires (cf. option -P)
PoidsPoids des services des serveursLors de la migration d'un groupe existant déjà dans le domaine IPA, surcharger le GID du groupe et renvoyer un succèsActivation ou non d'un agrément de réplication, signifiant que la réplication fonctionne par le biais de cet agrémentStocker ou non les certificats émis à partir de ce profilQuiTravail en coursÉcrire le profil de configuration dans un fichierVous essayez de référencer un groupe privé magique qui ne peut être surchargé. Essayez plutôt de surcharger l'attribut GID de l'utilisateur.Vous pouvez utiliser <a href="${link}" target="_blank">FreeOTP<a/> comme application de jeton logiciel OTP.Vous pouvez avoir besoin de les supprimer manuellement de l'arbreVous devez enregistrer un hôte afin de créer un serviceVous allez être redirigé vers la zone DNS.Votre mot de passe expire dans ${days} jours.Votre relation d'approbation avec %(domain)s est cassée. Merci de la recréer à l'aide de « ipa trust-add ».Connecteur YubiKeyCode postalRedirection de zoneZone trouvée : ${zone}Nom de zoneNom de zone (FQDN)L'enregistrement '%s' de zone ne peut être suppriméIntervalle de rafraîchissement de zoneÉchec de « access() » sur %1$s : erreur n°= %2$d
L'utilisateur actif nommé « %(user)s » existe déjàvaleur de l'algorithme : intervalle autorisé 0-255tous les maîtres doivent avoir le rôle %(role)s activéune erreur interne est survenueune erreur interne est survenue sur le serveur à « %(server)s »la réponse à la requête « %(owner)s %(rtype)s » ne comporte pas de signatures DNSSEC (pas de données RRSIG)n'importe quel serveur configurél'API n'a pas un tel espace de noms : « %(name)s »au moins une des options « type », « users » ou « hosts » doit être indiquéeau moins un parmi « type », « filter », « subtree », « targetgroup », « attrs » ou « memberof » est requisl'attribut « %(attribute)s » n'est pas autoriséattribut « %s » interditl'attribut n'est pas configurable« attrs » et attributs inclus s'excluent mutuellement« attrs » et attributs inclus/exclus s'excluent mutuellementajoute automatiquement le principal s'il n'existe pasclé « automount »clés « automount »emplacement de montage automatiqueemplacements de montage automatiquecarte « automount »cartes « automount »« basedn »Échec de « ber_init() », contrôle invalide ?!
échec de « ber_scanf() », « kvno » introuvable ?!
mot de passe de liaisondoit contenir au plus %(len)d caractèrespeut être d'au plus %(maxlength)d octetspeut être d'au plus %(maxlength)d caractèresdoit être inférieur ou égal à %(maxvalue)ddoit valoir au plus %(maxvalue)simpossible d'ajouter à un privilège l'autorisation "%(perm)s" ayant pour type de liaison "%(bindtype)s"ne peut pas être videimpossible de se connecter à « %(uri)s » : %(error)simpossible de supprimer une politique de mot de passe globaleimpossible de supprimer des permissions administréesimpossible de supprimer le domaine racine de la relation de confiance, utiliser la commande « trust-del » pour supprimer la relation de confianceimpossible de désactiver le domaine racine de la relation de confiance, utiliser la commande « trust-del » pour supprimer la relation de confiance elle-mêmeimpossible d'ouvrir le fichier de configuration %s
impossible de renommer les permissions administréesimpossible de définir le type de liaison d'une autorisation qui est assignée à un privilègeimpossible d'indiquer à la fois certificat brut et un nom de fichierimpossible de définir simultanément un filtre de cible totale et un filtre de cible complémentaireimpossible d'utiliser « stat() » sur le fichier de configuration %s
la modification s'est heurtée à une autreTransformer en groupe POSIXmodifier afin de permettre une prise en charge des membres externes non-IPA depuis des domaines approuvésprocessus fils terminé avec %d
cn est immuablecommandela commande « %(name)s » prend au plus %(count)d argumentla commande « %(name)s » prend au plus %(count)d argumentsla commande « %(name)s » ne prend pas d'argumentcommandesdes commandes ne peuvent pas être ajoutées quand la catégorie de commande est « all »commandes pour contrôler la configuration sudola communication avec le serveur CIFS a échouéoptions de configurationentrée conteneur (%(container)s) introuvableLa LCA d'AC par défaut ne peut qu'être désactivéedélégationdélégationssupprimerdescriptionJustificatifs Kerberos non reçusne correspond à aucun des formats acceptés :domainele domaine n'est pas configuréle domaine n'est pas de confiancele nom de domaine « %(domain)s » doit être normalisé à : %(normalized)sle nom de domaine ne peut pas dépasser 255 caractèreschaque élément de LCA doit se terminer par un point-virgulelibellé DNS videfiltre videentréesentréeerreur de conversion des données lors du transport XML-RPC : %(error)serreur sur le serveur « %(server)s » : %(error)séchec de l'exécution de « ipa-getkeytab », erreur n° %d
format attendu : <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphen (nombre impair de chiffres hexadécimaux ou tiret)fichier où stocker le certificatnom de fichier« filter » et « memberof » s'excluent mutuellementles marqueurs doivent être une valeur parmi « S », « A », « U », ou « P »valeur des marqueurs : intervalle autorisé 0-255forcer la création d'un enregistrement NS même si le nom du système n'est pas dans le DNSforcer la suppression des permissions SYSTEMforcer le nom même si absent des DNSforcer le nom du principal même si absent du DNSechec de « fork() »
le format doit être définit sous la forme
    "d1 [m1 [s1]] {"N"|"S"}  d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
    où :
       d1:     [0 .. 90]            (degrés de latitude)
       d2:     [0 .. 180]           (degrés de longitude)
       m1, m2: [0 .. 59]            (minutes de latitude/longitude)
       s1, s2: [0 .. 59.999]        (secondes de latitude/longitude)
       alt:    [-100000.00 .. 42849672.95] PAR .01 (altitude en mètres)
       siz, hp, vp: [0 .. 90000000.00] (taille/précision en mètres)
    Cf. RFC 1876 plus de détailsle format doit être spécifié comme « %(format)s » %(rfcs)sLa zone redirigiée « %(fwzone)s » n'est pas en fonction car il lui manque une délégation NS correcte dans la zone faisant autorité « %(authzone)s ». Merci d'ajouter les enregistrement NS « %(ns_rec)s » à la zone « %(authzone)s ».l'identifiant de groupe ne peut être défini pour un groupe externegivenname est requisgroupegroupe runAs« group », « permission » et « self » s'excluent mutuellementgroupesgroupes à ajoutergroupes à exclure de la migrationgroupes à supprimerhôteune catégorie d'hôtes ne peut pas être définie à « all » tant qu'il reste des hôtes autorisésgroupe d'hôtesgroupes d'hôtesgroupes d'hôtes à ajoutergroupes d'hôtes à supprimermasques d'hôtes des hôtes autorisésgroupe d'hôtesUn groupe d'hôtes nommé « %s » existe déjà. Les groupes d'hôtes et les groupes réseau partagent le même espace de nommagegroupe d'hôtesnom d'hôtele nom d'hôte contient un libellé vide (plusieurs points consécutifs)Le nom d'hôte indiqué dans le sujet de la demande « %(cn)s » ne correspond pas au nom d'hôte du principal « %(hostname)s »hôtesdes hôtes ne peuvent pas être ajoutés quand la catégorie de l'hôte est « all »des hôtes ne peuvent pas être définis quand le type est « group »hôtes à ajouterhôtes à supprimerplage idtype de plage d'idvaleur de temps incomplètetype incorrectentier pour ordonner  les règles sudo« %(name)s » invalide : %(error)sDN invalide (%s)format d'adresse IP invalideversion d'adresse IP invalide (est %(value)d, doit être %(required_value)d) !format de réseau IP invalideIdentifiant de profil invalideclé publique SSH invalideformat d'adresse invalidenom d'attribut invalidenom de domaine invalidenom de domaine invalide : %snom de domaine invalide : doit être pleinement qualifiéformat d'e-mail invalide : %(email)scode d'échappement invalide dans le nom du domainemasque d'hôte invalidenuméro de port invalide« ipa-getkeytab » a des permissions incorrectes ?
« ipa-getkeytab » introuvable
est requisvaleur des itérations : intervalle autorisé 0-65535réglages de la politique de tickets KerberosLa clé %(key)s existe déjàla clé nommée %(key)s existe déjà« krb5_kt_close » %1$d : %2$s
« krb5_kt_get_entry » %1$d : %2$s
« krb5_kt_remove_entry » %1$d : %2$s
« krb5_parse_name » %1$d : %2$s
« krb5_unparse_name » %1$d : %2$s
« kvno » %d
les nœuds de gauche et de droite ne peuvent être identiquesle nœud de gauche n'est pas un nœud de la topologie : %(leftnode)sle nœud de gauche ou de droite doit être indiquélimites dépassées pour cette requêtePlage pour domaine localemplacementemplacementsresponsable %(manager)s introuvableLa carte %(map)s existe déjàcartes non connectées à « /etc/auto.master » :correspond exactement au nom communnuméro de série plafond%s membreService HBAC membreGroupe de services HBAC membregroupe membrehôte membregroupe d'hôte membreGroupe réseau membrecommande membre de règle sudonuméro de série plancher« base_id » manquantla modification de clé principale n'est pas autoriséepoint de montage relatif à la carte parente, ne peut pas commencer par /doit être « %s »doit être « %(value)s »doit être un nom de DNSdoit être « TRUE » ou « FALSE »doit être « True » ou « False »doit être un texte Unicodedoit être un nombre décimaldoit être absoludoit être un nombre entierdoit être d'au moins %(minlength)d octetsdoit être d'au moins %(minlength)d caractèresdoit être supérieur ou égal à %(minvalue)ddoit valoir a minima %(minvalue)sdoivent être des données binairesdoit être une valeur date/heuredoit être un dictionnairedoit être mis entre parenthèsesdoit être d'exactement %(length)d octetsdoit être d'exactement %(length)d caractèresdoit être une valeur parmi %(values)sdoit être relatifdoit contenir un tuple (liste, dict)doit avoir le rôle %(role)s activédoit correspondre au motif « %(pattern)s »groupe réseauUn groupe réseau nommé « %s » existe déjà. Les groupes d'hôtes et les groupes réseau partagent un même espace de noms.groupes réseauGroupes réseau à ajouterGroupes réseau à supprimerpas de commande ou de sujet d'aide pour « %(topic)s »pas de modification à effectuerpas de relation de confiance configuréeaucun domaine approuvé ne correspond au nom simple indiquémodification des entrées de groupe interditemodification des entrées d'un utilisateur interditenon autorisé à effectuer l'opération : %simpossible d'effectuer la vérification de la connexion au serveurintrouvablepas pleinement qualifiénon modifiable sur les permissions administréesLa classe de nombres « %(cls)s » n'est pas dans la liste des classes de nombres autorisées : %(allowed)snombre de mots de passeclasse d'objet %s introuvableune ou plusieurs valeurs à supprimerseul « ad » est pris en chargeuniquement disponible sur les permissions administréesuniquement lettres, nombres, %(chars)s sont autorisés. Les noms DNS ne peuvent commencer ou se terminer par %(chars2)sseules les zones maître peuvent contenir des enregistrementsseul un unique enregistrement CNAME est autorisé par nom (RFC 2136, section 1.1.5)un seul enregistrement DNAME est autorisé par nom (RFC 6672, section 2.4)seul un nœud peut être indiquéopération non définieoption renommée ; utiliser %sles options ne sont pas autoriséesle rang doit être une valeur unique (%(order)d déjà utilisée par %(rule)s)mémoire saturée
donnée hors zone : le nom de l'enregistrement doit être un sous-domaine de la zone ou un nom relatifles arguments et options se chevauchent : %(names)spropriétaire %sle propriétaire des enregistrements %(types)s ne doit pas être un nom de domaine comportant des jokers (RFC 4592 section 4)« params » doit être une liste« params » doit contenir [args, options]« params[0] » (alias « args ») doit être une liste« params[1] » (alias « options ») doit être un dictionnaire mot de passepolitiques de mot de passepolitique de mots de passemot de passe à utiliser pour la connexion en cas de non-utilisation de Kerberospermissionla permisison « %(value)s » existe déjàpermissions« pkinit »préserverpreserve et no-preserve ne peuvent être indiqués simultanémentprincipal introuvable
principal introuvable dans la réponse XML-RPC
la priorité ne peut être définie sur la politique globalela priorité doit être une valeur unique (%(prio)d est déjà utilisé par %(gname)s)privilègegroupe avec privilègesgroupe d'hôtes privilégiésrègle de délégation de service privilégiécible de délégation de service privilégiéeprivilègesla catégorie de profil ne peut être positionnée à 'all' tant qu'il existe des profils autorisésdes profils ne peuvent pas être ajoutés quand la catégorie de profil est « all »« pysss_murmur » non disponible sur le serveur et aucun « base-id » fourni.requête « %(owner)s %(rtype)s » avec EDNS0: %(error)srequête « %(owner)s %(rtype)s » : %(error)sla plage existeune modification de plage laissant des objets avec un ID en dehors de la plage définie n'est pas autoriséemodifier le type de plageerreur en lecture
domaine introuvable
la validation DNSSEC de l'enregistrement « %(owner)s %(rtype)s » a échoué  sur le serveur %(ip)séchec de la requête avec le code état HTTP %drésultat de la réponse XML-RPC introuvable
récupère et affiche tous les attributs du serveur. Modifie la sortie de la commande.le nœud de droite n'est pas un nœud de la topologie : %(rightnode)srôlerôlesrôles à supprimergroupes runAsutilisateur runAsutilisateurs runAsvaleur « salt » : %(err)srechercher des groupes POSIXrechercher des groupes autorisant la prise en charge des membres externes non-IPA depuis les domaines approuvésrechercher les groupes administrésrechercher des groupes non-POSIXrechercher des groupes privésles résultats des recherches sur les objets
à migrer ont été tronquées par le serveur ;
le processus de migration peut être incomplet
secondessegmentsegmentspermission de libre servicepermissions de libre serviceserveurrôle serveurrôles serveurserveursserviceune catégorie de services ne peut pas être définie à « all » tant qu'il reste des services autorisésrègle de délégation de servicerègles de délégation de servicecible de délégation de servicecibles de délégation de serviceservicesaucun service ne peut être ajouté quand la catégorie de services est « all »configuration du serveur de nom ayant autoriténe doit pas être un nom de domaine avec joker (RFC 4592 section 4)« sidgen_was_run »sauter la détection du DNS inversesn est requisutilisutilisateurs en attenteIl est interdit d'utiliser un « subject alt name » (nom alternatif) de type %s pour les principaux autres qu'utilisateurs.Il est interdit d'utiliser un « subject alt name » (nom alternatif) de type %s pour les principaux d'utilisateurs.« subtree » et « type » s'excluent mutuellementcommande sudogroupe de commandes sudogroupes de commandes sudocommandes sudocommandes sudo à ajoutercommandes sudo à supprimerrègle sudorègles sudosuffixesuffixesVue d'identifiants du système« target » et « targetgroup » s'excluent mutuellementle serveur IPA et le domaine distant ne peuvent partager le même nom NetBIOS : %sle certificat ayant le numéro de série cette entrée a été supprimée pendant sa modificationla valeur ne suit pas le format d'horodatage « YYYYMMDDHHMMSS »il doit y avoir au moins une définition d'entrée cible (ex. « target », « targetfilter », « attrs »)cette option a été abandonnée.cette option est obsolètetrop de caractères « @ »confianceconfiguration des relations d'approbationdomaine approuvédomaines approuvéstype de confianceobjet domaine approuvéobjet relation de confiance introuvableutilisateur de domaine approuvé introuvableconfiancestype d'objet IPA (« user », « group », « host », « hostgroup », « service », « netgroup »)« type », « filter », « subtree » et « targetgroup » s'excluent mutuellementcommande « %(name)s » inconnueErreur %(code)d inconnue renvoyée par %(server)s : %(error)sniveau de fonctionnalité non pris en chargetype de relation de confiance non pris en chargeutilisateurl'utilisateur « %s » est déjà actifune catégorie d'utilisateurs ne peut pas être définie à « all » tant qu'il reste des utilisateurs autorisésutilisateursimpossible de définir à la fois des utilisateurs et des hôtesdes utilisateurs ne peuvent pas être ajoutés quand la catégorie « RunAs User » ou « RunAs Group » est  « all »des utilisateurs ne peuvent pas être ajoutés quand la catégorie de l'utilisateur est « all »impossible de définir des utilisateurs quand le type est « hostgroup »utilisateurs à exclure de la migrationutilisateurs à supprimervaleurcoffre-fortvaultcontainervaultcontainerscoffres-forts{attr} : attribut introuvable{role} : rôle introuvable