????
Your IP : 216.73.217.139

Current Path : /proc/thread-self/root/proc/thread-self/root/proc/self/root/usr/share/locale/ru/LC_MESSAGES/
Current File : //proc/thread-self/root/proc/thread-self/root/proc/self/root/usr/share/locale/ru/LC_MESSAGES/ipa.mo
���4��L{{8&{_{X{{C�{!|/:|$j|7�|M�|�}��$��[ā4 �DU�&������G�AF���!�����ԇK��p��xl�2�W�_p�-Њ)��2(�N[�V��G�LI�:��=ьg�]w��ՍH^�D��L�s9����n��X
�0f�\��r�mg�`ՒU6�W��P��5�vڔ^Q�{���,�LǖZ��o��
�����B�;�qU��ǜg}�O�m5����vO��ƠsM�����o�{�V��h��X��F��֦�d�w�>��aΨ?0��p�3��&�Kت:$�2_�K��^ޫz=�[��|�����E�T��PL�e��o�|s�_�[P�7��N�@3�>t�O��n�vr�<��&�g��q_�9ѵK�PW�����6�5�UH�k��~
����vV�Uͻ�#�5��"����/����Pn�L��w�c����Qm�����Y�{���r�:��I�������hE�v��X%�Q~�T���%�/��J�^��m�]5�Z��7��Z&����8�9Q�n�������f�g�fo�X���/���������1��}��5�`B�a��Q��W�������,�������O��U�X
n�6
�n�xm?��&��x��^x��\�t�$�[0K1of1B�2\3�v3�&F�X}�X$_w�`�-�H9�.��E������ͥ ��,��������Hĵ�
�l���^��5�
���������k������������\�1�pA�?����
	���u��:�7��D.�$s��������d���9�K O>pk�p'�#�#�#�#$$($%C$�i$�F35B
EB�PD�E��FF�H�I�I��I[�K�N
�S��S�	R[�$e��e��i�Wm��pKvt��t*|w�wl�w'+zS{�q{�j}\_�H����k��\c����͍�ʓT���ז����7�6�[#����$������_���}*-r,#�:)�R��j��pg;q��q��r�js<t�It��t �ux�u2"v@Uv��vquwt�x�\yxDzC�zB{SD�#�����σ������W�e`�ƛ՜���������&����ˡ����3�I�i�������ҢRޢ#1�U�p�������ڣ��'�B�\�!u� ����դ��-�E�_�%���!��%�p��x�,?�2l�*��hʧ:3�Hn�8��J�>;�4z�<��>�:+�8f�L��F�J3�>~�8��F��@=�J~�@ɬ<
�:G�0��.��8�6�:R�0��8��4��0,�.]�/��4��<�T.�X��4ܰE�0W�.����0˱2��</�.l�A��ݲ
����+�F�EO�^��8�-�#6�!Z�8|�-��@�$�D�d���
��.��2ٵL�Y�	v�����
������ֶ��2�D�X�k���������η���6�	9�C�	`�	j�t���!����Ը�.�0?�'p���6��7�%�D�Q�^�Xw�"к�!	�5+��a���$�-�C��F����b��v��8�������2��G�FV�)��&����� '� H�'i�%��.��(��)�.9�h�}�/��}��B�.��P��B�PK�3����	��
������'�+�4�"@�
c�n�������^����w3���
������x��
Z�e�
k�y�������	�������������"�!+�M�d�%|�0����-��2�R�0k�������
����8���-�#B�f�{���
����:����7�1I�:{�������1���/�
8�F�0X�5��/����%�*�J�`�}������������'�<�[�r����� ��������1�F�V�"i���(����8��0�&E�9l���=��7��\)�������
���������(�%B�h�5����;��%�<�M�<\�6��
��-��=	�G�!]��)��*��(��$�)+�U�/d�0��.��/��,$�/Q�6��0��.��*�/C�/s�&��)��0��*%�(P�$y�)��(��+��$�'B�-j�.��0��"���3�O�j�������%��E��>�,K�,x���!��$��%	�./�)^�=��7��8��37�.k� ����������
�
#�/1�/a�������)��)��"�+�G�'S�){�3��2��'�-4�b�|�1��0�����:�X�:o���
��,��0��<&�.c�)��(������	��)"�(L�$u�)��*�����/�.C�*r�/��0��,��/+�6[�6��.��5��*.�/Y�0��+��,�!�%5�1[�&��)��0�0�(@�/i�$��)��*�-�%A�	g�
q��2���3�#�<�X�$w��������%*�"P�s�$����"�!��(�A�$a���.��&�0��3-�+a�&��!�����"�>� Y�%z�*��6�%�1(�Z�w�������)��+&�R�#o�!������!��6Si}	��.�*�J�@C��$�:��\6m8�0�2A2^�D�P�35B6x8�0�2JLM�L�O2����3�#<
E/P0� �+���F�*��			%	/	8	D	P	W	�h	��	�
"�
'�
6�
 (/X$sY�,�1?Q*�1�+�2
*M
1x
1�
B�
+0K)|.�@�//F2v��7�-*F
q5|	�
��Q�
0;�W|�0a/���*�*5D+z������#/;k�$���!�

-~;
��,�*	-
7ETg�
������	",?DPp�����1� 9"Z#} �"���%8*c!r����
��>�2AV*Z������,�[#y����V�%)50*fD�_�+6b�)����Y��t� '� (� &� &!�/!?�!3�!!&")H"r"~"�"�"�"�"�"�"
#1&#!X#-z#&�#"�#2�#%$?$S$n$�$�$�$�$�$�$%( %#I%#m%�%4�%&�%&I&(f&�&�&�&�&�&�&' '$@'e'	w'&�'2�'�'8�'9/(8i(�(�(=�(�(�(O)_)2r)1�)@�)*'*4*:*Q*%^*"�*H�*G�*K8+J�+L�+K,Mh,L�,%-&)-(P-)y-'�-(�-)�-).'H.)p.*�.&�.'�.,/'A/&i/'�/&�/)�/&	0(00)Y0.�0'�0&�0)1'+1'S1'{1)�1&�1(�1(2'F2&n2�2$�2�2�2�2�2"3$(3
M3[3p3}�3/434R4q4�4�4#�4�4�4 �4R5_5h5&~5H�5I�586$J6Co6�6�6'�6�67/7J7b7�7 �7�7�7"�7%8'78_8s8�8�8�8!�8�89(9>9)M9w9�9�9�9'�9i�9U:s:�:�:�:
�:�:
�:
�:�:;
;);<I;4�;3�;�;#<*<7<D<H<Y<k<;�<�<�<
�<�<===	+=75=	m=w=�=�=
�=��=O>-e>-�>4�>A�>-8?f?z?�?R�?
�?~@��@!A0A<AEAVaA&�A	�A
�A3�A}+B�B�B	�B�B
�B	�B9�B\/C�C�C�C�C,�C�CD?D-WD+�D�D�D�D!�D	E(%E%NEtE2�E�E$�E
�E	F'%FMF+bF.�F!�F�F�F1
G?GSGdG
vG�G�G�G�G�G�G�GHH9HWHjH
�H�H�H�H�H+�HI-IAI_IzI�I�I�I�I�I�IJJ!/JQJfJ�J
�J9�J�J�JKK/K;KXKmK�K�K�K�K�K�K
L[)L�L�L�L�L �L
M
M-M!9M[MvM�M�M5�M$�MN:N%WN}N �N&�N�N�NO <O]O|O'�O$�O �O&P/P$MP#rP!�P&�P!�PQ Q:QSQqQ�Q�Q�Q�QRR7RWR&sR-�R�R#�RS%S>SXSCpSf�SUTVqT@�T	UU U3U!FUhU�U*�U�U$�U#V0%VVVd]VA�VCWHW!^W �W �W(�W)�WXX(X/X6XHX[X@oX�X�X�X�X
�X,Y1YFY^Y!tY�Y:�YE�Y
1Z7?ZwZ�Z�Z6�Z%�Z[/[%N[t[+�[�[�[!�[!\93\;m\3�\5�\9];M]3�]5�]M�]PA^O�^R�^5_T_j_�_�_�_'�_�_`#`&=`d`,�`>�`-�`2a0Oa"�a+�a.�a$�a'#b'Kb!sb&�b(�b:�b< c%]c'�c&�c"�c!�c4d'Ld"td!�d,�d"�d/	e09e*je%�e)�e*�e)f':f.bf-�f*�fC�f.gW;g+�g"�g#�gh0&h2Wh'�h2�h�h2�h&/iFVi7�i.�i+jP0j)�j
�j�j�j@�jk!k.kYNkE�k�k
l 
l.l<Il�l�l�l,�l�l$m+m+4m`m�m�m�m�m�m�m�m
�m�mn
#n1nMnTnmn~n�n+�n�n�n�n o)o#?ocopoxo�o5�o$�op"p$@pep|p �p �p�p�pq
qq!/qQq!hq�q�qW�qVrgr�r�r�r�r�r,�rss*7s)bs�s�s-�sI�sf>t�t�t.�t	�tuu	(u2u
Bu
Mu&Xu
u�u;�u�u4�u
#v:1v6lv
�v�v�v,�v�v
ww)w;w![w}w
�w�w�w
�w�w�w�wx
-x ;xT\x�xR�x8y?Xy3�y1�y�yFzaz|z�z�z �zB�z4{J{a{{{�{�{#�{�{$|1|M|<^|%�|�|0�|,};}0O}�}�}�}�}F�}%~
8~
C~Q~Ie~�~�~%�~&
(4&])�"�%�$�!�">�a�!~���;��� ���!�=�I�\�q�&������
��	ǁс;�()�$R�%w�
����$��ӂFق= �J^���&��5݃�.(�3W���h���
!�/�<�XK�,��х
�����	����7�=�I�(M�v�����8��ԇ1�
&�4�8�!H�j���s��T�`�o���������Љ�
���
��.�>�
P�[�n�������
��"ϊ���!�;�	Q�7[�
��������
ҋ	�	��.�
@�K�X�q�������Ҍ
����
+�6�Q�m���
��$��%܍/�2�
>�I�_�v���6��3׎3�?�D�=Q���������ԏُA�(5�^�
o�z���$��&��
�	�
��
	�O� g�!������*ˑ���$%�J�	g�3q�����"Ғ
�������[�d�t����� ��;Ҕ>�$M�'r�����"ҕ,��"�	+�5�=�J�b�~�����ؖ����$��Aԗ��
��;��:�<�+\�������Ι���� �@�P�`�p�	��������
ƚlԚuA�
��қ���U�W�i��~�c���,����
ߞ
�*��##�#G�k��)��.��/�,�,J�-w�	��
����֠͠@�@)�0j�����ǡ3��,�B�[�
v�3��&��ߢ"��/ �P�_�n�������(ǣ1�#"�
F�Q�	e�o�*�����"Ф�
�&�<�V�s�����ǥ����0�F�#Z�"~�����̦#զ
���.�,B�Qo�P���J0�&{�&��7ɨ��#.�R�Ad�>���(�+�K�'_�$����3Ū+��%�8�H�N�/d�2��/ǫ	��	�	��%$�J�#W�{�	��������
Ӭ\ެ4;�	p�z�
��	������
��̭�
�	�D�Q�^�&w�)��)Ȯ��I)�'s�4��#Я��L�l�%������ð˰Ұ0��+�H�%Q�w�
��%����Xñ�6�8C�|�������˲����'�<�R�[�
r�}�����$����	ϳٳ+��	$�%.�'T�"|�������-Ҵ��7�U�2k�X��/��A'�,i�����������
ʶض����!�?�
G�U�%b���}����������
��	��˸5۸�� 2�)S�&}���
��ƹչ=�$�9�A�J�N�W�Nd�+��ߺ��%�5�
=�
K�
Y�
g�u�������	��D��H��H�]�(u� ��"��3�5�:L�?��#ǽ��!�?�W�q���������ʾ۾�
��
��*�	;�E�Y�w���������Կ���� �2�?�;G���!���	��(�	�V�4m���
������#�$'�L�b�|�����2����,�.�K�c�t���������(�����(�6D�({�����!��'�-�!K�m���(��%��!��'�E�)d���#��(��$��" �"C�f������������7�Q� n�����$��C��5�O�j�������2��)���=�V�v�������!�����)�;�+L�x������������(�<�O�d�x���!����������	�&�;�Y�q������������$� B�"c� ��)��'�����P/�����"��������=�>�Q�`�l�x�����
������2���	�}(�/����
������J%�p�u�����������4�8�AS�9�����Q�k�x�����
��	��������������8�N�'g�����������'��/��e.�n����*�E�e�q�������-��-��3&�Z�k�w��� ������)���	/�9�LW�D����	��
����/�H�Ca���5������#�>�Y�8v�*����-��+#�O�g�������������u<�'��������	����
��5�	=�
G�NR���3��2��4�3O�������,�����+ �PL�i��8�@�Q�g�x���J��d��bB�V����4�29�>l�;��G��=/�m�=s�	�������������+�;�J�Z�i�y�.������`���@�����
���%�2�A�M�T� s�������
������
��8��
���
/�
:�=E�����'������2��(�>�W�k�%��!����"��!� '�H�_��w�q�6��,��5�� ��?�w���c�u
�8��.��
�����2�C�S�g�w�>����5��3	�=�%X�~���7����!�����2�.G�v�5��
��C���P"�s�������8����	��<��u9�E����;�8A�z�����B��+�0�9�:J�8��$��	����*�
9�D�
L�GW�(���#���/�;C��������L��:�F�O�
\�
g�5r�#���R�+�4�dP���&����
��)�D�X�1q������ �7��	/�>9�x�
�������������"�/�?�
N�
Y�
d�o�
~��������������%�8�G�W�l�|��������������
��/�?�O�a�p���������>�*�@/�
p�0~�
��
�����*��`&��0�&�&=7u���������5P#b����3z9�(�%@SGZ��;� <M=_�:��4=={��5���!378k2�(�";#3_#�@�:� 3	T	q	�	�	�	�	)�	
9
8U
"�
#�
>�
*:?z?�9�6.eu$��,�-�+
'G
,o
2�
3�
125h/{2�9�31L-~2��2�),I3v-�+�',,+Y.�'�*�6>>3}5�.�'> [|!����*/Br/�B�<�;36o1��%�9R$e�(�%�/�* 2K~�2��,.,;h�*�4�,>6]5�*�0�5&\=o��=�/3A1u5�A�
8,F+s'�,�-�"2;1n-�2�35/H2x9�9�18Q-�2�3� ., /[ &� *� 6� )!,>!3k!3�!+�!2�!'2",Z"-�"0�"(�"
#%#*C#%n#4�#2�#*�#4'$7\$/�$*�$%�$;%8Q%5�%%�%>�%%&<&C&#R&%v&#�&�&�&%�&"'?'_'w'�'�'�'�'�',(C(~O(�(0�()67)<n)8�)'�)Q*1^*
�*�*�*�*�*�*++-+33+	g+q+�+�+�+(�+C�+8,@,G,\,1r,8�,<�,A-8\-=�-E�-<.;V.@�.D�.>/8W/>�/;�/90:E0?�0;�0=�0G:1C�1�1�1!�1J2+Y2�2�2%�2#�2*363V31\3�3/�3M�3\$4�4�4�4�4�4�4�4�4&�4
!5$/5
T5&_5�5@�5�5
�5	�5�5�56A6	Y6c6	o6y6B�62�6757=7J7
S7(a7+�7�7�7�7(�78*8'>8f85r84�83�89!9.9?9U9l9<~9/�9/�90:L:c:t:�:�:�:%�:7�:s;9�;�;
�;�;
�;�;
<<3<K<]<
n<y<�<�<�<�<	�<
�<�<)=0=C=T=k=�=�=�=�=	�=
�=�=
�=>>
>
(>
3>>>M>h>x>�>�>�>�>4�>???:?U?\?k?�?K�?N�?2=@p@�@.�@ �@!�@A$A>A#VAzA�A�A2�A�AB)B ?B`B~B�B�B�B%�B C!,CNCeC�C�C!�C�C�C,D/FDvD�D�D�D �D!�DE#4E+XE2�E.�E1�E-F2FF*yF.�F5�F1	G4;G0pG5�G-�GHH50H/fH7�H8�H6I7>I8vI2�I:�I;J9YJ:�J�J.�J-K+BK1nK2�K0�K,L11L1cL0�L.�L4�L5*M3`M/�M4�M�M.N3:N-nN1�N4�N-O11O6cO0�O4�O7P08PiP�P�P�P/�P2�P% Q$FQ0kQ3�Q7�Q3R6<R2sR7�R:�R6S9PS5�S:�S�ST1TOTmT1�T-�T0�T,U1>U4pU0�U3�U/
V4:VoV�V,�V�V�V�V�V
�V	WW-W?W`FW�W�W�W�W
�W�WX&X+XCX\X@nXW�X[Y	cYmY
tY�Y
�Y�Y>�Y�Y3�Y22ZeZqZ�Z�Z2�Z�Z3�Z [),[#V[z[#�[�[�[�[(�[\]	\4g\�\�\�\�\�\�\#]$$]I]a]z]�]�]�]!�]�]^C^S_^�^�^�^�^J_CY_D�_�_
�_.�_(`8`<`M`U`a`�x`7a7;a%sa�a�a�a
�a�a�a�a�abbb8bOb\b xb�b�b<�b#c,c*Lc4wc�c�c/�c	d
d"d
6dDd*Xdu�d�d
�dL	e4Ve�e@�e�e�e�eff<fTfgftf�f(�f
�f�f�f�fg)gGg1bg,�g�g�g�g
�ghh+h7hWh`hvh|h�h�h.�hB�h0iHibi
qi|i
�i%�i�i�i�i�ij+j7jJjVjbj%xj�j�j�j%�jkk,kLkTk\kak{k�k�k�k
�k�k�k�k		l
l
l)l
5l@l-]l	�l�l�l
�l�l�lz�l	zm�m!�m�m�m
�m�m�mn+-n,Yn'�n�n
�n
�n$�n�n	�n	o"o8>owo�o�o6�o�opp%p4p,Ep	rp!|p��p8lq
�q��q��r;/s;ks&�s)�s"�s8tbTtG�t>�t>u1Vu=�u)�u�u)v*8vcvWvP�v0(w�Yw4�w+x1Ix:{x-�xG�xM,yHzy��yj�zL�zC{<c{S�{�{1|&A|)h|5�|u�|?>}v~}Z�}!P~r~(�~�~�~�~*,1W�E�(�5�L�&[�
����0��ހ�%�8�S�e�m�i���&�3� H�&i�!����&ς��
��.�7�H�DZ���6�����(�:�P�%U�'{�������ȄԄ
�-���)�=Յ-�8A�z�������ǆ���*��
)�7�<�I�>R�I��ۇ6�H$�&m���������������*؈,�0�J�^�*}�C��'�c�"x�u���-/�&]�:��#��9�W�<u���͌'��9-�(g�&��(��*�*�,6�c�"��������Ԏ"�	��	9�C�
K�Y�t�{�	������"ُ��	�"�2�?�K�]�d�w�*��A����
���"�71�i�z�
�������� �����

�O� h�!����
��Œ���!�"(�0K�
|���	������
œӓ���-�9>�Kx�Ĕ͔�� 
�.�
H�S�+h���)��ѕ,��*(�S�\�m�v���������
��Ė%ؖ��
��*�<�
M�
X�
f�
q�|�
��������ʗݗ��'��'�&/� V�%w�&��LĘ��c3�%��f��0$�U�Y�1a�#�����Ϛ^l�2˛8��#7�#[�&�7��.ޜY
�g�t�x���	����"��ڝ&�/�(G�'p�+��Ğ8�R�o�%��=��S�HE�%����Ϡ4�="�3`�M��
�����
&�4�C�&J�+q�
��!��"͢'��4�LP���#��&ѣ$��!�P?�Q���"��!"�DD�,��2��5�H�$h�#����?ɦ	��A/�2q�5��,ڧ/�%7�8]�(��*��-�$�'=�Se�(��+�#�K2�"~�)��,˪$��'�2E�5x�,��/۫$�70�'h���h��%�'�40�+e�/����)׭#�
%�0�<�C�$O�(t�������@Ӯ0�4E�z���A��ٯ�7�'�)G�Sq�,Ű��*�*C�#n�;��"α"�,�'A�Mi���Ʋ1���$͵���1�L�
S� a�����B��
۶����	7�ZA�
����0��c�XE���.��(Ӹ��	��
"�0�F�U�u�����F����1�D�[�r�����(�� ޺"��"�3�#G�k���*����ۻ ��8�P�j� ����ż(��3�-I�.w�&��ͽ���	��0�'K�s���	����̾�����%�5�F�W�c� r�������Ϳ�$�:�S�`�t���������%���6�G�$Z�)�������� �7�'J�r� ��%������!�
&�4� T�u�Y~�	������%� -�N�1n�#��"��$��.�	;�E�%Y�W������!�%8�\^�%��C��A%�g�������A���P �,q�����T��
�
�!�#7�#[�&�������%��
��%�(�4�;�+D�p�(������'��D��	@�J�[�"p�$��
������H��43�h�D����1��&�?�RL�������:��F	�-P�"~�%��J��4�0G�x�}�������
��������O��@�Z�v�s������5�N�U�a�n�v�H~��������!-�$O�t�4}����� ��9��0�"?�b�}�
����=��9��'�C�P�c�w���
������	��
�����Q�-q�K��#��*�6:�Tq� �������3�
@�
N�Y�o�����D��<��6�1Q�����������B���"%�CH�.��,�������%�+�1�@�P�W�q����p�N��4�������A��S��?-�Lm�����=����AP����S�����0v�9�������d��=��*3�^�hr����r�J�z^���E\�9��C�� ����s:�{��f*�_�����z���r�aEi�����mi>�|���,v�mEn�g"���L����	�M
q*y�����
����zD
�Oe��e������ER�_�*���d�V"�O#D$�_%J'&ur&\�&�E'J$(�o(�F)K�)<4*Vq*��*�U+~�+�j,
-.�&/��/�V0�1��1�'2��2X�3��3R�4P�4[C5��5�+6S71W7��8�9G�9j�9W:�v<�&=i?�q?�@��@W�A�Ce�C�;DQ�F�G�
H��H(�Ip�J|*K��K�CL��Lb�M��M��N�qOPW5Q�Q��R�S��T�cUp�U�[V�W��W|W[��]��^�E_�B`��`\Tay�a�+bP�bIDc}�c�i}�j�Slm�o�p��p!ar�t��v\ow�w�x��x�����Ȍ���*��I������nG�(��zߟ�Z���?�� 2��S���E��6/�df�������3A��u��=��-�A���$��#�;0�_`2�_�=�`��
�F�Yf����af�Y���"����������<U�����M	�.	��	��	FY	^
�"	��,	v
�/	�
=	{�J	4:M	noM	h�X	�Gh	j	�+j	��j	�o	�o	�q	�q	��r	��s	��u	}x	5�x	A�x	0}	:F}	���	�3�	�ы	�V�	i�	@m�	���	�Z�	�4�	G�	,X�	>��	0��	.��	-$�	5R�	B��	,��	��	4�	$=�	�b
M�
E:
��
z	
�

��

qt
{
�
b
y
d}*
��<
w�>
wD
Q�I
Q�N
�+T
}&U
O�Z
$�Z
[
�_
3�a
�b
��d
��k
h(l
��l
�Vt
>w

E

S
Qf�
���
�S�
�
�
�
	�
�
Ҧ
�a�
�^�
!�
M9�
2��
ɹ��
����3�i)�z)\���@���0� h�"i.$�%U�%'-"(bP(N�)�*��*�.,�/$�/�1v2�}2�?y�?d@�}BS
EtoO�PM�PGo[q�ssExby�yy&{B{a{z{�{�{�{�{�{|3|Q|o|x{|O�|4D}1y}+�}'�}+�})+~'U~-}~=�~?�~[)+�+�+�)	�53�&i�"��,��$�*�60�Dg�-���ځ
������V����І�Ј:�����܋�݌��Ŏُ�ސ�ɑ��Aɓ������^ޗ5=�[s��ϛ�V��M��L������ޡ�ܢ�ɣ������^��I�����ҩH�>,��k�<�Z��n�k�����m��L��F�tC���
˵(ٵ� �9�iB����YF���+��:շ[�@l�h��+�'B�%j�@��
ѹYܹ�6����?U�	������ϻ�<�8>�?w�;��#��(7�$`�#����"ɽ�A�=M�D��@о��*$�O�_�4~���6ο$�4*�A_�V��D��7=�(u�T��Z�LN���0��3����I��<�>\����dQ��������|����������L��u���T�B�.]�
��[��������>H�A��(��$��1�0I�@z�O��M�YY�]��\�!n� ��a����_-�j���������+�H�X�1v�������
����/���01�,b���
�����7d�$��U���-�@�S�+k�����"��%�)�)1�[�!u���.��.�.�<@�}���`��U�^�8z�G��0��9,�Nf���G�)�@�Z�k���Q��C�@8�iy�<�0 �Q�$o�"��S��-�U9�J��S�@.
.o
-�
R�
H
h
�
$�
d�
.
r�
@!
vb
S�
--
K[
9�
.�
:
>K
F�
-�
-�
+-
=Y
-�
W�
3
7Q
O�
%�
4�
84
1m
1�
%�
+�
R#	
Zv	
p�	
7B

�z

�
o�
�

$�
n�
c8

��

7D
9|
+�
"�
$
:*
Je
W�
4
�=
O�
S
@d
w�
I
Bg
+�
n�
cE
�
J�
�
?�
T�
>
AX
E�
I�
6*
Aa
(�
P�
T
Xr
P�
C
P`
l�
T
Xs
E�
P
jc
4�
A
]E
E�
I�
63
Aj
X�
\
\b
`�
H 
si
m�
HK
6�
A�
E
 
>S 
>� 
2� 
<!
FA!
��!
,G"
\t"
\�"
<.#
Pk#
h�#
d%$
��$
t"%
��%
�L&
m�&
�L'
v�'
M](
<�(
0�(
%)
>?)
,~)
%�)
N�)
N *
2o*
*�*
�*
B�*
B*+
m+
F�+
�+
:�+
8-,
Wf,
Y�,
:-
YS-
(�-
5�-
a.
_n.
L�.
$/
W@/
/�/
W�/
& 0
$G0
Rl0
[�0
�1
i�1
Z2
>g2
8�2
2�2
23
)E3
Qo3
Y�3
F4
Qb4
e�4
K5
8f5
`�5
h6
Ui6
`�6
t 7
S�7
`�7
|J8
r�8
h:9
t�9
U:
`n:
t�:
qD;
r�;
F)<
Sp<
~�<
FC=
S�=
o�=
eN>
[�>
g?
Hx?
S�?
g@
r}@
r�@
#cA
�A
%�A
o�A
%8B
�^B
M�B
2=C
0pC
;�C
<�C
@D
L[D
H�D
+�D
=E
L[E
2�E
=�E
2F
YLF
D�F
t�F
F`G
X�G
cH
{dH
N�H
T/I
a�I
��I
^hJ
A�J
9	K
+CK
%oK
6�K
:�K
8L
W@L
��L
j#M
g�M
P�M
3GN
3{N
'�N
+�N
?O
+CO
SoO
M�O
VP
FhP
>�P
5�P
1$Q
2VQ
\�Q
8�Q
IR
#iR
/�R
#�R
�R
�R
V�R
FPS
r�S
r
T
}T
1�T
I�T
}U
@�U
��U
l�V
j5W
]�W
[�W
9ZX
T�X
�X
m	Y
ywY
!�Y
tZ
|�Z
z[
m�[
k�[
�Z\
�	]
��]
�g^
_
+4_
A`_
?�_
��_
'z`
1�`
+�`
!a
q"a
]�a
*�a
?b
!]b
xc
G�c
L@d

�d
�d
�d
�d
�d
�d

e
 e
.?e
.nf
�g
O�g
Oh
ePh
/�h
 �h
ai
<ii
G�i
��i
P�j
��j
qZk
F�k
\l
Jpl
`�l
Hm
^em
X�m
on
P�n
��n
b`o
��o
�Qp
m�p
gVq
i�q
L(r
ur
��r
4s
mPs
m�s
,t
KGt
�t
�t
(�t
��t
�u
9�u
�
v
��v
o�w
2x
J�x
<�x
U:y
O�y
g�y
PHz

�z
�z
�z
1�z
/{
1@{
Or{
l�{
,/|
C\|
D�|
�|
%�|
.}
>J}
-�}
#�}
�~
%�~
a
e|
 �
)�
+-�
9Y�
L��
9�
F�
Fa�
2��
9ہ
@�
MV�
9��
ނ
*�

�
%�
C5�
Ry�
*̃
3��
+�
==�
{�
S��
3�
<�
BT�
@��
L؅
T%�
Uz�
І
F�
y+�
&��
9̇
(�
/�
H�
O�
EV�
��
���
C=�
��
��
��
P��
�
"�
Y?�
��
��
-
f�
�W�
]�
 `�

��
��
��
���
2J�
}�
\��
M�
r9�
���
`��
F��
B<�
_�
�ߐ
Ñ
�ǒ
��
�͔
���
Gl�
a��
z�
���
j��
]��
ET�
J��
�
�
?�
%Z�
#��
#��
4Ț
@��
Q>�
���
q!�
���
x�
q��
��
J��
'۞
[�
'_�
W��
Uߟ
#5�
4Y�
��
1��
'ޠ
4�
=;�
8y�
>��
^�
WP�
6��
sߢ
gS�
T��
�
''�
<O�
��
*��
3դ
'	�
?1�
q�
��
I��
[�
9L�
d��
e�
eQ�

��

§
�ͧ
h�
7y�
���
&X�
[�
Y۩
�5�
#��
�
�
H�
\�
Ut�
Gʫ
��
���
�p�
�$�
��
���
�F�
�;�
bݱ
c@�
e��
f
�
dq�
eֳ
f<�
f��
d
�
fo�
gֵ
c>�
d��
i�
dq�
cַ
d:�
c��
f�
cj�
eι
f4�
k��
d�
cl�
fл
d7�
d��
d�
ff�
cͽ
e1�
e��
d��
Hb�
��
X˿
$�
0:�
k�
z�
C��
A�
�
%+�
$Q�
v�
l��
N��
OL�
%��
��
-��
\�
$h�
#��
J��
���
��
7��
p(�
���
�2�
2��
X��
�W�
C�
)R�
�|�
�
.'�
�V�
.��
J�
D]�
T��
a��
'Y�
O��
O��
I!�
-k�
.��
��
+��
F�
:[�
9��
.��
.��
,.�
N[�
��
*��
��
�
Z/�
���
6R�
��
+��
9��
1�
=�
P�
c�
x�
��
��
��
T��
�'�
\��
l�
$~�
}��
!�
0�
C�
+G�
+s�
1��
���
m�
!��
��
��
��
��
��
�
z'�
��
/��
+��
+
�
"9�
?\�
��
J��
S�
]W�
b��
K�
d�
&��
!��
��
M�
�^�
�"�
'��
�
+�
)8�
�b�
Z�
l�
y�
Q��
���
��
��
��
��
��
�
l�
���
!�
.�
N�
9f�
d��
$�
8*�
�c�
���
���
(�
3G�
{�
O��
Q��
|8�
e��
G�
cc�
/��
T��
(L�
Uu�
^��
+*�
cV�
t��
W/�
?��
W��
s�
?��
��
��

�
!(�
J�
e�
5t�
 ��
A��
;
�
+I�
/u�
/��
 ��
N��
E�
.a�
#��
#��
��
���
7q�
��
0��
?��
*:�
Be�
��
'��
+��
$�
$:�
_�
x�
E��
K��
1)�
1[�
'��
���
(B�
3k�
"��
5��
��
>�
#N�
,r�
-��
1��
?��
9?�
 y�
��
J��
��
5�
9��
I4�
V~�
:�
�
*�
G�
>c�
5��
�
*��
!"�
�D�
F�
)�
'B�
Ij�
.��
,�
7�
8H�
<��
H��
D�
)L�
'v�
9��
H�
.!�
9P�
.��
U��
@�
BP�
W��
_�
5K�
'��
!��
2�
6��
/5/e'�'�#�'	;1'm@�I�R :s<�1�-0K�|����j���+�I�XCV�S�tG�0�Y�YX	�	��	j�
h-A�@�BD\s�`
v
�

�
�
�
#�
%�
s�?� �9"�\'�H
'SR{\�N+_z�s�lD}%���Jy+�2�L#+pT�%�+8CS|l�j=]�[|bz�mZk��4�����AC�"40W%�%� �^�;TK�X�=5+ss��Q�E�HC 2� A� G!4I!@~!C�!0"=4"Kr"s�"m2#A�#:�#:$8X$.�$[�$_%I|%>�%K&8Q&T�&B�&7"'CZ'G�'B�'6)(6`(`�(K�(ED)x�)*�#*I�*<@+)}+%�+J�+a,6z,q�,##-aG-E�-��-hu.F�.d%/��/C0^0w0
�0[�0�01D$1�i1�2�2�2'�2@'3ch3�3�32�3p-4J�45�45U25L�5#�55�5T/6-�6�6�6'�6,7(37\7|7I�7�7=�718P87i8��8%%9FK9%�9P�9,	:�6:�:�:B;#Q;�u;H<)M<0w<J�<)�<(=6F=Q}==�=P
> ^>>�>?�>B�>@5? v?8�?
�?4�@bBsB)�B#�B7�B&Co-C�CU�C]DT^D.�DL�DO/E�E�IF&=G,dGe�G�GH' HHH>_H�H�H}�HII\I�kIU�I�GJ'�J��J�KLL0?LupL4�L9M+UM8�MU�MSN4dN,�N�N!�N5�N5O6SOb�O�O(PM.P�|PETQl�QQRbYRI�RhSHoS��SHhT,�T-�T@UQMU��UJCVK�V<�VHWH`WH�WU�WNHXW�X@�X$0YfUYz�YA7ZbyZY�Z96[cp[*�[0�[C0\t\��\PC]�]�]+�]��]#�^c�^Q!_Ts_a�_V*`c�`I�`V/aV�aV�aW4b_�b;�b(c�Gc�c/�c
dJdbdud�d�dH�de!e.eBe@Se��eH&f<ofN�f�f
gA
gOg�jg�h��h1Kib}iw�i<Xjn�j�k:�k��k)�l+�l)m/Bm�rmcNn4�n�n1o8oIqeqyq9�q�q�q�qm�qcrsr�r]�rO�rwEs�s�s%�s>tOJt3�t��t��u)�v/�v<wCw+Pw|w.�w.�w�w
x*x>x\xzx�x(�x.�x yE%yHky�yP�y#z^0z\�zF�z3{|G{�{�{�{|#|4|J|0^|{�|}}"1}T}-q}�}L�}J	~T~@e~?�~�~*�~("TKR��E�*K�Ov�ƀ݀$��%�%D�0j�s��x����
�#��>����03�-d���%��Z�������*҅��i�g����
�)��G�K܇V(�&�&��Q͈(�;H�c��=�&�d6�P��@�O-�}�p��u�|���)��͎Z֎X1�����
�V��]�MJ�[��k�]`�/��1� �$>�7c�A��Cݓ>!�@`���!��Q�V3�o�����(��
��H��E�KH�H��5ݙ=�*Q�I|�ƚ7��.0�_�t���$��ś֛�-
�8��U���������Hܝ%�t8�#��)ў���>��Sˠi�!��&��ң�_��CW�G��"�"�r)�z��d�g|�u�wZ�%ҧ���*�-E�ls����q�Y
�4g�A��kު8J�@��Mī%�"8�o[�RˬC�9b����*�EJ�3��'Į%�@�CS�n��F�M�%a���<��Hٰ"�63�Aj�1��<ޱ-�@I�I��IԲ.�MM�Q��>�@,�9m�=���E�3K�4�6���D��A�-Y����M�sV�rʷA=���V �lw���!i�9��1ź�������@H�p��I��<D�@��T½3�yK�vž2<�o���,��M¿Q�]b�����
�4�I�6Y�����2��"�'�3��G�Z��7�1J�|���������&����5�rE���(��Q��WE�\��8��(3��\�O�\W�*��&��$��+�H��F7�~�%������-��Y	�c�Yl���h��68�o�C�������Ez� �����/d���!��'��)��1(�Z�x���!����-���
*�
5�@�TS�C����@��_<���=��I��N8���@��P���(�9��H��U,�,��j����\��z)�N�����"�)@�j�����-��3��
"�B-�
p� {�-��I���0�6�>�M�T�h�~������6�4R�A��c��q-�1����%��'�z6�������%��,$�)Q��{�k2�����@��e�/t�7��-��
�'*�%R�:x�,��@��=!��_���4��7��Y2�_��U���B�����~��*�M��S�4p�O��G��==�%{���"��3���,0�&]�)����.����2�L�$]�+��$�������&+�*R�2}�.����<��+<�h�l{�G��E0�v�
����W��%��&�i��#2�!V�@x�2��.��K�Mg�2��;��$�>�Z�mx�N��H5�^~�M��,+�CX�C��0����W/� ��,��#����B��<�0�.9�9h�J��F�<4�)q�;��J�0"�;S�0��K��:�>G�W��B�D!�af�7�)�#*�4N�8��1��1�% �)F�=p�)��T�<-��j�3��/+�4[�7��"�-��R�C�=><|1�A�C-:qA�0�%%Ek��1 :2[A�,�D�B)a-�&�&� "GCM�3�*
$8@]%�.�#�/3GL{7�;	X<	;�	=�	C
aS
0�
B�
8)-bv��)�#�s�s
7�
=�
�-�4���-(Vi|�V���!Z-[7�������"�Q�!O>Q���*pa�{�y;~��.�,"Ad����3�B:7}5�K�*7.b)��(�;�N-�|�3J�1G4yU�$3)/]7�A�npvu� ]~=�G�d 1} � l� P,!
}!S�!��!�f"#'##!K#;m#&�#(�#(�#`"$;�$��$1M%,%�%I�%:&6F&�}&l'<n']�'m	(@w(<�(@�(<6)@s)<�)S�)@E*<�*5�*M�+G,J,N,k,#z,�,/�,�,�,-�-%�-|�-�U.o�.R/,�/9�/#90[]0;�0=�0q31�1��2]a3'�3<�3$4!B4!d4��4�5�
6��6�7m�7mS8w�8v99��9x1:�:}�:
7;B;9Y;0�;7�;$�;'!<'I<&q<'�<&�<'�<(=]8=/�=*�=�=i?Bk@L�@�@A)A=A]A+}A�AG�AEB
JBUBYB`BzB�B�BY�B�BC:,CgC>zC��CUDuDZ�D�D�DhEn�E2�E0(F*YFB�F;�FMG2QG3�G;�G$�G%H?H,[Jb�J_�JZKK)�K��K
�M��NFP�JQ}�QKRU`R,�R�RS'SGS%cS~�ST�Tl�T4JUEUE�UVgV=�VT�VW*W'3W)[Wb�W�WfXgX�zX%
Y�3Y)�Y)�Y
Z#!ZyEZ$�Z�Zt[�u[�T\.]n3]n�]"^,4^0a^��^TH_�_#�_h�_f=`@�`�`'�`"a%Baha�a�a)�a��aZYb#�bQ�b'*caRcx�c-dMd\d0{d��d;ee�e�e�e�e�ewf@�f�f��f�g>�g��g�hJ�h2i59ioi�i,�i �i)�iQj"cj3�j�jR�j�k�k��kClZlrl=�l�l8�l2m%Bm#hm�m�m%�m�m�mn,9n+fn,�n.�n/�n-o.Lo/{o/�o�o/�o0p,Lp-yp2�p-�p,q-5q,cq/�q,�q.�q/r-Lr,zr/�r-�r-s-3s/as,�s.�s.�s.t-Kt4ytr�tg!ur�u#�u^ v#v�vC�vww90w�jw-x.AxapxJ�xZy�xyz0zHzbz!vz�z�z�z�z4�z'{h8{"�{@�{*|'0|aX|_�}�~N�~*�~7*V�m���Q3�:��0���"
�Q0�+��U�� �J%�Sp�@Ă,�+2�T^�*��ރ#��$"�dG���r,�v��S��j�	�T��nއcM�9��4�: �H[�U��4��Q/����M�6P�S��EۋA!�uc�Iٌ�#�)��nٍcH���$ȎY�NG�=��Rԏ:'�?b�C��G�8.�?g�N��R��VI�N��&�C�PZ�l��T�Xm�EƔP�]�hu�4ޕA�]U�E��I��6C�Az�V��Z�Zn�^ɘW(�k��u�mb�fКH7�6��A��E��>?�>~�2��<�F-�Zt�*ϝ\���W���l����v��Q�On�<��.��#*�>N�:��YȢP"��s�i�Nj�#��2ݤN�*_�B��ͥB�D(�>m�<��P�:�8V�(��Y��Y�:l�Y��_�Ja�U��-�"0�WS�&��"Ҫk��Ra�[����2��0ʬO��WK�H��O�c<�I��^�fI�W��^�rg�6ڰS�`e�|ƱtC�h��t!�U��`�tM�)´o�p\�F͵S�~h�F�S.�o��g�[Z�g��H�Sg�g��p#�p��!�J'�}r�Z�XK�y��L�Rk�_���\��?��r;�P��N��BN����0�P�,k�9��G�V�Eq�9��J��b<�S��4��<(�<e�1��c��@8�-y�Z���7�=G�T��-��n�dw�x��SU����[X���9��C�TD�!����!��N��C�kT�����+��'�@G�r���������#��!��z�s��w��|o�s��x`����wZ�v��{I���yE�s��y3�v��t$�u��z�v��x��z�~��!|�6��?����_��4=�1r�=��S��N6�N��!�����D��~��~n����%��������&��%�7�F�8X���:����?��
6�sA���������B�I��R���!���+��I���������!W�#y�;��m��ZG�(��4��>�w?�+��L���0�7��E��D4�|y��� �/2�>b�>��/����n���
�]��S�e�}�9��0��2�Y5�f�������� d�������;����6�0E�#v�!����#��0��+"�N�m���'��.��N��(B�k�=��0��T��,K�$x���#���������6�
C�N�_�4}������!�A�\T������q�
Y�d�/��<��N�P@�X�����{�5��=��5�� 2� S�+t�����(�V� Z�{���0��=�("�K�i�'��A��:�(.�)W�-��F��7��E.�Rt�/�s��xk��'��'&@2g=�=�<LSm�`so`�mDX�FrRe�x+e�r
V}�+�fS~x�zK~�xE	`�	Q
}q
�
�o}�!qd�J�TC
m�
osv`�mKi�P#Ytr�tAx�e/r�[j{W�p>��g2U�d�UUh��f�  $ Efw}}�:s@�X�]H���E��������U�����1 G� 1!1O!1�!-�!}�!t_"��"pX#}�#�G$y�$�D%u�%�C&&�&�&8'D'2`'2�'�'�'%�'(-(K(�X(30);d)!�)�)�)N�)?*"P*5s*5�*'�*L+�T+�,�,�,�,@�,6-!R-�t-
.\.[t.�.!�./ /Y8/ �/H�/�/M0=`0!�0b�0#1%21*X1b�1�1��1Q�2!�2343T3t3�3K�3V�34S44�4.�4.�45:51N5(�5;�5{�5�a6F7,Y7R�7�7��7��8�W9�9�9^:(y:�:*�:�:�:;;S;�X<x�<[c=.�=�=
>D>@Q>D�>�>"�>?%&?UL?4�?4�?9@aF@7�@A�@�"A=�A9�AS7Bw�B=C5ACGwC�C2�C,D.DGNDr�D�	EF*F�<F��F)gG��G.#H<RH�H�HB�HKI,TI�I�I2�Ik�IVJ1lJ�J+�J!�J/K;<KRxK\�K3(L3\L/�L9�L9�LS4M9�Mc�M&N.=NlN#N�N�Nj�Nl=OU�O:P
;PFPePtP;�P�P2�P*Q>Q<]Q@�Q$�QIRGJR!�Rt�R()S=RS%�SF�S�SMT^^T�T
�T�T5�T*U;UOUnU�U5�U*�UVV,V@VTVlV<yVF�V�V/W0FW1wW,�W2�W�	X�X�XC
Y6QY$�Y�Y�Y(�Y*�Y`)Z^�ZT�Z>[#P[t[V�[�[�[�[r\��\]9].Q]l�]=�]Q+^}^�^�^V�^_B7_�z_G;a�aF�a��bn�cUOdB�dc�d=Lef�e��e�zfk�f&kgm�gkh7lhB�hO�h\7i-�i��i�uj�)k��ka�lS�lQPm��mW/n��n�/o��o7Yp��qvKr^�r[!s�}s&.tnUtb�tZ'ud�u��uz�v5Cw�yxuy3�yK�yCz-Wz+�z<�zT�zpC{,�{��{iz|��|1�}P�}*~F7~�~~ ;4cp'��/��H�f�m�D}�4@��`8�O��?�O)�)y�����ۃ!�#��4�%��dބ!C�#e�8��)�^�aP�!��4Ԇ8	�4B�4w�(��oՇE�$e����]*�c��2�!�2A�t�_���!�L.�:{�����2یe��t�A��U���]����6�8�G�%L�Qr�gĐb,�B��3ґ>�VE�s��G��X�@J����1p�P��I�n=�P��u���s�{'�E��L�R6�0��i��;$�9`�;��=֚=�SR�a��q�z���@��+�S�=d�G��/��#/�3S���D��4�%�*D�.o�8��Fן�-8�f���1��Ƞ!٠0��T,�j���'�'-�U�&q�}��:�:Q�;��+ȣ-�'"�GJ�@��-Ӥ-��/�[ԥf0�-��'Ŧf�6T�6��w§q:����;B�.~���2ͩ:�%;�Ia�0��Vܪd3��������Mά�j5�h��@	�J�5f�\��7��^1�1��X¯3�ZO���'Ȱ �.�(@�i�#|�%��Ʊ+�U�#b�����,��,��6�V�+p���)��ٳ�9�F�)S�.}���+��O�9�TV�H��q�\f��öN� U��v�WE�����C�չܹ��Dw�-��
����]��~��Cz�?��j��}i�z��b���% � F�g�w�>��J�\�`u�N�P%�fv�4��V�zi�7��^�z{�t���k�/
�9=�8w�a���r����)��+��9
�9G�F��F��1�rA�@����@�KU�F��2��2��N�%��6�V7�X��O���7���?��H�[Z�����M�Z��]+����g#�f��(����P�� ��#���}H�t��r;�o����m��z�x��o�mx����~��|	�I�����Ir�y��w6�o��m�����v��t�z����}�����>�X�fg�C��P�+c�E��I���:�U�d�:u�X��
	� �55�fk�P��f#�����I��
��y$�8��`���8�R��;�Z�El�y��T,����E��a�����t���.�����h��0�JA�$����+��L��7�<D�T��:�������G�E+�,q������o���R�������6�^?�G��8�6�/V�8��0���K�.T� ��5��y�1T�B��#�.�2�0O�,��0��X�;7�}s�,�.LM2��o�;[,�<���� �
&`D�l�^UzE�J2a��6�I�dG=�4�<3"p-���,�0&0W'���C�(.	3W	)�	2�	�	A
�I
!7&Y<�'�=�1#.UL�7�*	
-4
Kb
F�
4�
4*)_*�7�N�&;ab8�A�I?U�0�K"\8H���K�IBW�E�O*~z;�K5A�\� &4N[}�#(0La}?�N�nOC���8�*�DBP��&-�TP�:N�l
)(2R\�R�n5���u�g <| � � � ~� 0g!H�!K�!I-"iw"��"n#/�#:�#W�#QF$�$D�$B�$�5%j�%,E&^r&(�&E�&-@'%n'��'.n(�(+�(��(gy)L�)O.*=~*��*n�+X�+L,U,8^,6�,+�,7�,72-"j-�-��-,-. Z."{.��.`/t/�/5�/5�/0
0%0=0L0�Y04�04+1.`1.�1^�1\2z2b�2;�2:&3Ca3��3&4`54D�4 �49�4965�p5�P6B7H7\7{7N�7L�768CJ8A�8�8�8�8909�I9H:jT:7�:X�:hP;��;I^<"�<,�<!�<:=U=q=(�=0�=B�=N,>!{>��>We?0�?V�?LE@I�@
�@�@3A�4A�AcB�jB�;C]�CHD`cDF�DEE#/E%SEyE(�E$�E
�/���
�	d�v��86��2)B��4yU9�a���D0��
3Z�rs
��	A�a��h�D���t�
��
�q���,�
,���>L
X��C������VP	��
@�r�=;��
/
�
�v��	�Kmh�b
�S�t�(
{

�	�H
��
��
��{
�2Z�w
L��,
�	�T&
93���	�7`�+	D�E_�+x-�
�	]	&~
��3
�7
;b)	��
���EHD	��
�
���
7����!	�	�o)2
4�/,	��	?cB
�MV��,�\
ew�r��0��v
�	
5�V�8�T���/.TUZl
�
.@�7	��>v�f

�
#x�a@d	Y�K�a�
@6QU�%>	%�{	dt	���
��p��
Y��	��"��J����SY�	�W-e�Xk
�|N	vN�	����|h���
 5H	�'r�`-������1�Fi���;1</MP,�A�8	
3�
��U��
��	�
��Y��7Q	�j}��w��
�
\d
|��~�� �-��	��,���E���.�	�
���
�
76�	�[�8!
�g�]
�&$���mM4�
�w���	�Ygy����e��i
4��v�	�L��u�eF�o�	�lf���
�����{�
MEq�R
at2�0��
�
�����3���{���	`"���
��
����?�
���9
 	�"��`V%�C]��`
~8�^'
�
d��L �	
"����	=
�	=�'��O�S�.Ka
h"��	���
si�	��
�
V
ffi���jYo���+�9n
�iA�]O�)�z�z#n!
�lt�*|K�����
[	����J
�
C�
��1K�

Y(��V�c�Aw
	K����
v3V�"�	b�
�
P����I :����	"��
�@s��1��
ZPT�j�	�B��r
9����X^<
�
��
=
�
�q�:Y	|�ok��.O����|8
�g
����W
�	�o��gW���0����j��=������3��	*��.
!�
E�	8	R��l�

�kW�J1+��
W
[���t
�Az[��&�N��!�	D
�
|����!
G���	�Y������	f���
{���'*�	Q���_
4�@���
�
6��x
��l��q����C
T
?�
ze
�	�T�m�	�
����_�t�	������4
��
l

�\.��
��Qa�
~	c>�K:F���d�%�Z
]�	�
Z�
{^�����P_u[	oW1*�]��^K	p�����	gl=�
��QU%�
���
��(�
���P�
V�
�G�4�h��V�
c����$}�
�	����[|��	m�N1m�Q
��	�G/�	`�	~r	���jt>/	�
�
�
r3���B���
{<��6�]�
X�!����
U��HF����	��
7=���	;���*C���{�"uX����	U;z��Q�
wj��8��,�
�{@
�
Xw���oTiU
d5^���(	-�9�
�	F� �	7�����
�@P�5��
��s��	�	kQ
u:	�'m	��
<�?�`~b��	=~���
[>��:
��S��]_	�
�
y]G����
%����1C��vj
yS�2z��	�
�	SU��$g
����L�O
�t*+
��d�
��
���C��
�A
��	!�	6^
b!���
�U�5	����I�	�WG��y
���+�b
�X6	%s��6�Ua(J���1�
�
g@�����Q����Z�&]
a:��v
1	�
h��Ge����B�
O��n�
����� (�����@
�	�o�G�	�0Y
�
G�
�[r
:
 
w}$iM�H�;��/g�
}o�E
	��
D_*	=��p���W������;
[f�h>�	�d�
��Dl�;?���-/�6�
w	�
��fV
;-�@�V6b�5�a�	��O	.	
r
	3	Mbb$d���
�7�$	H
��S������$
V�x'��S��0%
-��	�#�[�
��$�
�vg,��RWmvH�
���5�t
��!J8Mc
%�1\�
5�y����	��~*��`	��������+��
�P�	xyn���`3aL[�
�
u�*
��
�J�	�r�	���	�:�Hf��{�-/	��
�_I���
�	�!y
�h
�
b��o
g �W�s	��I\�0
���u�k��?�x�?'	?
�����2`/��H��	[�
�)N>
�Rm[
��$�inQ#y�
�8X�pd
.�xg��	�	z���N��p�O3y��s
Z�,c<��
j�
������f
ku����u�
��j
�	&�
�	L����T9sI�	~$$��	a6
�	�M�x	0#
�	��W�p	F�	�
�?IX
�F	R�
Sj �6��qA��	5%���9	�W	��n}��I�
Zz_
}	#
�5����<�	�����c���
�j
�G
�������L�
c�m�+
sM	�\w��6?4��;%	����}`3�v&�o	<�V�
������u
�
P�3�%�0	s�\�S
X��o
�|tfA��
?R	��	��.	��^�
��
S�	c������C%&
���
F�2�
OIy	�#�������
�F
���"
�(E�

	
q�
)u
nXx��ql���	J�1���M
@�T<
�
q�wD!��
�:
��������3O?*��
{&^o4� e�^�
�I\�
�E}YT������F>��K�8
!�
&|��
k��L���w�M<��	

nBf
|x
�+�	�	G��a9��	%��
���b
Z
+���H���j�	`��3X
��,�f.�C� 
".��
���K��U����	y�K|

OHE��
l5
M��9��k�
*i�YN
��s�O������	�����8��T���
�=����S	���
��
��
�
��	�I
C��/n�2�	�bu��	c�.
 ���
��YI�p�IW
j
�	J|	���
��
z�
q�`"
:���r�
w��x	(I	C��
��H�����_U�
@:�
"�
#N
���Q��
���;%�^k	��t�<p1
6
 ���E�Q)B�
�	o�l�	�V	G0NZ�:r�2
&
D�	,�
�,
�
'�J
�
^	"	$
IL��Q�����(�c7P���q
9-�z���4~U_�*��4��A��
�
�0C	���$l�r\
�~W������	.�S��d
��p���g��#�R#C*
����0
�
���H
�
�
�p��7�G
������	��_wQ)��9
��	-
8�)6B	L
)�[�
�
m�	�V��l�
1&R�&��B��+�
�
>�&�	u�RT(�]�,m�>j	��!S=���!��G�C
�	��zR|���E
���i
�	��1f�f�$�h����L,Es	���q�	`Z	�
���m
����R�}�
��
e��>.�4W�p
z
��xz�k
+���k��
��	��
E��
�&r�c	TX�

9h
�	���	@���P�A�J�	h\0�8}n 1
�&����
/3��G�
R�
K
]7IO��
��0
�i_|�=H
�>
gF!u	���P	��]<y�

�
>�� ��:�I
0Xk��Y�
�\��	�
�+�
�	�
����i
�Fg}N��
|S���2�2
�(�i��P
������N{��}�	���
�J�`q����
Q��7
c��&	+Z�-a	J�
{F�����
^�=�
�
�	����?�	6�
R
�D�	���\	L{`���������:��`
tJ	v���"q4
��i	#�)
�
��?	�ZG	7-'��s�
���
Ay4c���KwD
���	$
b�(���	F
���)Lr���		����T���b	
��c
����vr�j
����
'��$�
������%�*
�8x���R^
��2'
b��
+u7
95#Cm�:Vs��<�0'
�������
&#�A	h
���]ze�	|
fo��d=Vn�l�
�Z{o���
��
'-�]�m:=u�
�EH
"�;�c�WN
�	
��'F�*�
P
���L����
�����
��_����>*3}���
�"��	�
�����K
m�F
�U
��
O�	bA)�M
�
S~
��-	z
��n�	���	�J���K�^;
�h	�����
��6y�
�Y���	E��y�a	�2m
�	�
7%
Dk
��o���O���
�
2E	�
�e���5�-y
���<��
�e	���*��	�>_�bT	f	��
�����x��D��m(��	_a
�p[9��
D�
��
�
4�J����	�t�
Ml	)�2�)�p��
}�	}
���
�
@	^��
�n	
�IH��	R��	�����	�����

ST�L���
�H�
s�l\^�N��OE�Pm<	<�-�./M��
���
�
)*��G��
1<�B
��q
������Y#v	���	����
�`�T��Kw�RYc�	�\
������.;	(�������:���
�Aw�p
��@��0�
�cuC/
�B?
h�	i(�dh���7�����e��	�^}
�RkNs��n
�Y
�
�u�,BwjJ�0	���	[
$��	�
�7r]�t2:�_N�
H'�
����(
A����
��ytd�	g	�nla�O���
'�xt
��a��
��B�
}�|�
J��]		�v
?�C�=�)r��
���O
[�3
��5
U�iS
��
d��_X��

��e����oD�%_,��x�B"�p��;�
�=e
Q��
�
�~/g��u����}k<������VW�
D
��
��5�	��<�98��
��
�
�
��
��x�
�k����M����
�#	v�i��4	+��
B��6��;�
	��!F4����
e5����X\kiG�	A��	�	k�z@=	'��h��~�	'�N�(����Wpzsg$PB? @�
!n�	�
(�Z�B���� ~>/�8GM
�#��E9�v5���/-
��qA�	��Z��dD��{��
4�9X	�����
����
j��

��hIJ�	�

M�
���	�Q��
�
D;�LbF+L	e���#�]P��jf�	�����
���	
	��>�q��X�2	8U�qN�	\�
�?"B�^�	��
��;���	���z	�K�
A
O�
	���	��\��1#t���Q���	N�
\��{
���K��xg�)
.������	���,��
���[+��f�������	��p
�n�Z��s�nd����2�e��~��lh����
���
�PC��5�T
��RU	e~�q	p~��

EXAMPLES:


Examples:
  Find all IPA servers:
    ipa server-find


GLOBAL DNS CONFIGURATION

        Override this so we can add completed and failed to the return result.
        
        Override this so we can set completed and failed.
        
    Add an automember rule.
    
    Add conditions to an automember rule.
    
    Delete an automember rule.
    
    Display information about an automember rule.
    
    Display information about the default (fallback) automember groups.
    
    Lockout status of a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.

    This connects to each IPA master and displays the lockout status on
    each one.

    To determine whether an account is locked on a given server you need
    to compare the number of failed logins and the time of the last failure.
    For an account to be locked it must exceed the maxfail failures within
    the failinterval duration as specified in the password policy associated
    with the user.

    The failed login counter is modified only when a user attempts a log in
    so it is possible that an account may appear locked but the last failed
    login attempt is older than the lockouttime of the password policy. This
    means that the user may attempt a login again. 
    Modify a trust (for future use).

    Currently only the default option to modify the LDAP attributes is
    available. More specific options will be added in coming releases.
    
    Modify an automember rule.
    
    Modify realm domains

    DNS check: When manually adding a domain to the list, a DNS check is
    performed by default. It ensures that the domain is associated with
    the IPA realm, by checking whether the domain has a _kerberos TXT record
    containing the IPA realm name. This check can be skipped by specifying
    --force option.

    Removal: when a realm domain which has a matching DNS zone managed by
    IPA is being removed, a corresponding _kerberos TXT record in the zone is
    removed automatically as well. Other records in the zone or the zone
    itself are not affected.
    
    Remove conditions from an automember rule.
    
    Remove default (fallback) group for all unmatched entries.
    
    Search for automember rules.
    
    Search for orphan automember rules. The command might need to be run as
    a privileged user user to get all orphan rules.
    
    Search for users matching the provided certificate.

    This command relies on SSSD to retrieve the list of matching users and
    may return cached data. For more information on purging SSSD cache,
    please refer to sss_cache documentation.
    
    Set default (fallback) group for all unmatched entries.
    
    Unlock a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.
    Vault Container object.
    
    Vault object.
    
   This is the equivalent of:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Add location:
    ipa location-add location --description 'My location'

  Add topology segment to 'ca' suffix:
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  Add topology segment to 'domain' suffix:
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Delete location:
    ipa location-del location

  Delete topology segment in 'ca' suffix:
    ipa topologysegment-del ca segment_name

  Delete topology segment in 'domain' suffix:
    ipa topologysegment-del domain segment_name

  Find all locations:
    ipa location-find

  Find all servers:
    ipa server-find

  Find all suffixes:
    ipa topologysuffix-find

  List all topology segments in 'ca' suffix:
    ipa topologysegment-find ca

  List all topology segments in 'domain' suffix:
    ipa topologysegment-find domain

  Show configuration of a specific DNS server:
    ipa dnsserver-show

  Show implicit IPA master role:
    ipa server-role-find --include-master

  Show specific location:
    ipa location-show location

  Show specific server:
    ipa server-show ipa.example.com

  Show status of 'DNS server' role on a server:
    ipa server-role-show ipa.example.com "DNS server"

  Show status of all configured roles on a server:
    ipa server-role-find ipa.example.com

  Show status of all roles containing 'AD' on a server:
    ipa server-role-find --server ipa.example.com --role="AD trust controller"

  Update configuration of a specific DNS server:
    ipa dnsserver-mod

  Verify topology of 'ca' suffix:
    ipa topologysuffix-verify ca

  Verify topology of 'domain' suffix:
    ipa topologysuffix-verify domain

 Add LOC record for example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Add a condition to the rule:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Add a host that can manage this host's keytab and certificate:
   ipa host-add-managedby --hosts=test2 test

 Add a host to the rule:
   ipa sudorule-add-host readfiles --hosts server.example.com

 Add a host:
    ipa host-add web1.example.com

 Add a mail server for example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Add a new host with a one-time password:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Add a new host with a random one-time password:
   ipa host-add --os='Fedora 12' --random test.example.com

 Add a new host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Add a new server:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Add a new token:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Add a new token:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add a special Sudo rule for default Sudo server configuration:
   ipa sudorule-add defaults

 Add a standard vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type standard

 Add a symmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type symmetric --password-file password.txt

 Add a user to the rule:
   ipa sudorule-add-user readfiles --users jsmith

 Add a user:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Add an asymmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type asymmetric --public-key-file public.pem

 Add an exclusive condition to the rule to prevent auto assignment:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Add another record using MX record specific options:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
 or dnsrecord-del are executed with no options):
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Add new A record for www.example.com. Create a reverse record in appropriate
 reverse zone as well. In this case a PTR record "2" pointing to www.example.com
 will be created in zone 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Add new PTR record for www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Add new SRV records for LDAP servers. Three quarters of the requests
 should go to fast.example.com, one quarter to slow.example.com. If neither
 is available, switch to backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Add new reverse zone specified by network IP address:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Add new zone:
   ipa dnszone-add example.com --admin-email=admin@example.com

 Add second nameserver for example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Add sudo command object and add it as allowed command in the rule:
   ipa sudocmd-add /usr/bin/less
   ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less

 Add system permission that can be used for per-zone privilege delegation:
   ipa dnszone-add-permission example.com

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Add the initial rule:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Add vault members:
   ipa vault-add-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Add vault owners:
   ipa vault-add-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>]  [--groups <groups>] [--services <services>]

 After this modification, three fifths of the requests should go to
 fast.example.com and two fifths to slow.example.com.

 Allow user to create a keytab:
   ipa host-allow-create-keytab test2 --users=tuser1

 Allow user to create a keytab:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 An example of the interactive mode for dnsrecord-del command:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Archive data into asymmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Archive data into standard vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Archive data into symmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>
       --password-file password.txt

 Change forward-policy for external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Change the secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Change the vendor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Check the status of a signing request:
   ipa cert-status 10

 Create a new Certificate Identity Mapping Rule:
   ipa certmaprule-add rule1 --desc="Link certificate with subject and issuer"

 Create a new rule:
   ipa sudorule-add readfiles

 Delegate zone sub.example to another nameserver:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Delete a Certificate Identity Mapping Rule:
   ipa certmaprule-del rule1

 Delete a configuration:
   ipa radiusproxy-del MyRADIUS

 Delete a host:
   ipa host-del test.example.com

 Delete a token:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Delete a vault:
   ipa vault-del <name>
       [--user <user>|--service <service>|--shared]

 Delete an automember rule:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

 Delete forward zone external.example.com:
   ipa dnsforwardzone-del external.example.com

 Delete previously added nameserver from example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Delete vault members:
   ipa vault-remove-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Delete vault owners:
   ipa vault-remove-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Delete zone example.com with all resource records:
   ipa dnszone-del example.com

 Disable a Certificate Identity Mapping Rule:
   ipa certmaprule-disable rule1

 Disable global forwarding for given sub-tree:
   ipa dnszone-mod example.com --forward-policy=none

 Disable the host Kerberos key, SSL certificate and all of its services:
   ipa host-disable test.example.com

 Display a automember rule:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Display information about a Certificate Identity Mapping Rule:
   ipa certmaprule-show rule1

 Display the Certificate Identity Mapping global configuration:
   ipa certmapconfig-show

 Display vault configuration:
   ipa vaultconfig-show

 Enable a Certificate Identity Mapping Rule:
   ipa certmaprule-enable rule1

 Examine a certificate:
   ipa cert-find --file=cert.pem --all

 Examine the configuration:
   ipa radiusproxy-show MyRADIUS

 Examine the token:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Find A records with value 192.0.2.2 in zone example.com
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Find all Certificate Identity Mapping Rules with the specified domain:
   ipa certmaprule-find --domain example.com

 Find all of the automember rules:
    ipa automember-find

 Find all of the orphan automember rules:
    ipa automember-find-orphans --type=hostgroup
 Find all of the orphan automember rules and remove them:
    ipa automember-find-orphans --type=hostgroup --remove

 Find all servers whose entries include the string "example.com":
   ipa radiusproxy-find example.com

 Find records for resources with "www" in their name in zone example.com:
   ipa dnsrecord-find example.com www

 Find user-find parameters:
   ipa param-find user-find

 Find zone with "example" in its domain name:
   ipa dnszone-find example

 Forward all requests for the zone external.example.com to another forwarder
 using a "first" policy (it will send the queries to the selected forwarder
 and if not answered it will use global root servers):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab


 If a global forwarder is configured, all queries for which this server is not
 authoritative (e.g. sub.example.com) will be routed to the global forwarder.
 Global forwarding configuration can be overridden per-zone.

 List all forward zones:
   ipa dnsforwardzone-find

 List vaults:
   ipa vault-find
       [--user <user>|--service <service>|--shared]

 Modify Certificate Identity Mapping global configuration:
   ipa certmapconfig-mod --promptusername=TRUE

 Modify a Certificate Identity Mapping Rule:
   ipa certmaprule-mod rule1 --maprule="<ALT-SEC-ID-I-S:altSecurityIdentities>"

 Modify asymmetric vault keys:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --private-key-file <old private key file>
       --public-key-file <new public key file>

 Modify global DNS configuration and set a list of global forwarders:
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Modify information about a host:
   ipa host-mod --os='Fedora 12' test.example.com

 Modify symmetric vault password:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --change-password
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password <old password>
       --new-password <new password>
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password-file <old password file>
       --new-password-file <new password file>

 Modify the automember rule:
    ipa automember-mod

 Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Modify the zone to allow zone transfers for local network only:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Modify vault description:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --desc <description>

 Modify vault type:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --type <type>
       [old password/private key]
       [new password/public key]

 Rebuild membership for all hosts:
    ipa automember-rebuild --type=hostgroup

 Rebuild membership for all users:
    ipa automember-rebuild --type=group

 Rebuild membership for specified hosts:
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

 Rebuild membership for specified users:
    ipa automember-rebuild --users=tuser1 --users=tuser2

 Remove SSH public keys of a host and update DNS to reflect this change:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Remove a certificate from revocation hold status:
   ipa cert-remove-hold 1032

 Remove a condition from the rule:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Remove the default (fallback) target group:
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Request a new certificate and add the principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Resolve a host name to see if it exists (will add default IPA domain
 if one is not included):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

 Retrieve an existing certificate:
   ipa cert-show 1032

 Retrieve data from asymmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file> --private-key-file private.pem

 Retrieve data from standard vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>

 Retrieve data from symmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>
       --password-file password.txt

 Revoke a certificate (see RFC 5280 for reason details):
   ipa cert-revoke --revocation-reason=6 1032

 Search for certificates based on issuance date
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

 Search for certificates by hostname:
   ipa cert-find --subject=ipaserver.example.com

 Search for certificates owned by a specific user:
   ipa cert-find --user=user

 Search for revoked certificates by reason:
   ipa cert-find --revocation-reason=5

 Semantics of forwarding in IPA matches BIND semantics and depends on the type
 of zone:
   * Master zone: local BIND replies authoritatively to queries for data in
   the given zone (including authoritative NXDOMAIN answers) and forwarding
   affects only queries for names below zone cuts (NS records) of locally
   served zones.

   * Forward zone: forward zone contains no authoritative data. BIND forwards
   queries, which cannot be answered from its local cache, to configured
   forwarders.

 Semantics of the --forward-policy option:
   * none - disable forwarding for the given zone.
   * first - forward all queries to configured forwarders. If they fail,
   do resolution using DNS root servers.
   * only - forward all queries to configured forwarders and if they fail,
   return failure.

 Set SELinux type and role transitions on a rule:
   ipa sudorule-add-option sysadmin_sudo --sudooption type=unconfined_t
   ipa sudorule-add-option sysadmin_sudo --sudooption role=unconfined_r

 Set a default Sudo option:
   ipa sudorule-add-option defaults --sudooption '!authenticate'

 Set the default (fallback) target group:
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Show a vault:
   ipa vault-show <name>
       [--user <user>|--service <service>|--shared]

 Show forward zone external.example.com:
   ipa dnsforwardzone-show external.example.com

 Show global DNS configuration:
   ipa dnsconfig-show

 Show records for resource www in zone example.com
   ipa dnsrecord-show example.com www

 Show the default (fallback) target group:
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Show user-find details:
   ipa command-show user-find

 Show zone example.com:
   ipa dnszone-show example.com

 The interactive mode can be used for easy modification:
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 This configuration forwards all queries for names outside the example.com
 sub-tree to global forwarders. Normal recursive resolution process is used
 for names inside the example.com sub-tree (i.e. NS records are followed etc.).

 Verify automembership:
    ipa hostgroup-show webservers
      Host-group: webservers
      Description: Web Servers
      Member hosts: web1.example.com

    ipa group-show devel
      Group name: devel
      Description: Developers
      GID: 1004200000
      Member users: tuser

 Verify that a certificate is owned by a specific user:
   ipa cert-find --file=cert.pem --user=user

* A permission grants access to read, write, add, delete, read, search,
  or compare.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

A certificate is stored with a service principal and a service principal
needs a host.

A condition is a regular expression used by 389-ds to match a new incoming
entry with an automember rule. If it matches an inclusive rule then the
entry is added to the appropriate group or hostgroup.

A default group or hostgroup could be specified for entries that do not
match any rule. In case of user entries this group will be a fallback group
because all users are by default members of group specified in IPA config.

A permission enables fine-grained delegation of rights. A permission is
a human-readable wrapper around a 389-ds Access Control Rule,
or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

A permission may not contain other permissions.

A rule is directly associated with a group by name, so you cannot create
a rule without an accompanying group or hostgroup.

API Schema

Add new ID range.

    To add a new ID range you always have to specify

        --base-id
        --range-size

    Additionally

        --rid-base
        --secondary-rid-base

    may be given for a new ID range for the local domain while

        --rid-bas
        --dom-sid

    must be given to add a new range for a trusted AD domain.

    WARNING:

    DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
    local domain. Currently the DNA plugin *cannot* be reconfigured itself based
    on the local ranges set via this family of commands.

    Manual configuration change has to be done in the DNA plugin configuration for
    the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
    IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
    modified to match the new range.
    
Add new ID range.

    To add a new ID range you always have to specify

        --base-id
        --range-size

    Additionally

        --rid-base
        --secondary-rid-base

    may be given for a new ID range for the local domain while

        --rid-base
        --dom-sid

    must be given to add a new range for a trusted AD domain.

    WARNING:

    DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
    local domain. Currently the DNA plugin *cannot* be reconfigured itself based
    on the local ranges set via this family of commands.

    Manual configuration change has to be done in the DNA plugin configuration for
    the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
    IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
    modified to match the new range.
    
Add new ID range.

    To add a new ID range you always have to specify

        --base-id
        --range-size

    Additionally

        --rid-base
        --secondary-rid-base

    may be given for a new ID range for the local domain while

        --rid-base
        --dom-sid

    must be given to add a new range for a trusted AD domain.

=======
WARNING:

DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
local domain. Currently the DNA plugin *cannot* be reconfigured itself based
on the local ranges set via this family of commands.

Manual configuration change has to be done in the DNA plugin configuration for
the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
modified to match the new range.
=======
    
Add new trust to use.

This command establishes trust relationship to another domain
which becomes 'trusted'. As result, users of the trusted domain
may access resources of this domain.

Only trusts to Active Directory domains are supported right now.

The command can be safely run multiple times against the same domain,
this will cause change to trust relationship credentials on both
sides.

Note that if the command was previously run with a specific range type,
or with automatic detection of the range type, and you want to configure a
different range type, you may need to delete first the ID range using
ipa idrange-del before retrying the command with the desired range type.
    
Add new trust to use.

This command establishes trust relationship to another domain
which becomes 'trusted'. As result, users of the trusted domain
may access resources of this domain.

Only trusts to Active Directory domains are supported right now.

The command can be safely run multiple times against the same domain,
this will cause change to trust relationship credentials on both
sides.
    
Additionally, there are the following convenience options.
Setting one of these options will set the corresponding attribute(s).
1. type: a type of object (user, group, etc); sets subtree and target filter.
2. memberof: apply to members of a group; sets target filter
3. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership); sets target.

Agreements are represented by topology segments. By default topology segment
represents 2 replication agreements - one for each direction, e.g., A to B and
B to A. Creation of unidirectional segments is not allowed.

All CAs except the 'IPA' CA can be disabled or re-enabled.  Disabling a CA
prevents it from issuing certificates but does not affect the validity of its
certificate.

An order can be added to a sudorule to control the order in which they
are evaluated (if the client supports it). This order is an integer and
must be unique.

Asymmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a public key before transport.
The secret can only be retrieved using the private key.

Auto Membership Rule.

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

A rule is directly associated with a group by name, so you cannot create
a rule without an accompanying group or hostgroup.

A condition is a regular expression used by 389-ds to match a new incoming
entry with an automember rule. If it matches an inclusive rule then the
entry is added to the appropriate group or hostgroup.

A default group or hostgroup could be specified for entries that do not
match any rule. In case of user entries this group will be a fallback group
because all users are by default members of group specified in IPA config.


EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Add the initial rule:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Add a condition to the rule:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Add an exclusive condition to the rule to prevent auto assignment:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Add a host:
    ipa host-add web1.example.com

 Add a user:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Verify automembership:
    ipa hostgroup-show webservers
      Host-group: webservers
      Description: Web Servers
      Member hosts: web1.example.com

    ipa group-show devel
      Group name: devel
      Description: Developers
      GID: 1004200000
      Member users: tuser

 Remove a condition from the rule:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Modify the automember rule:
    ipa automember-mod

 Set the default (fallback) target group:
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Remove the default (fallback) target group:
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Show the default (fallback) target group:
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Find all of the automember rules:
    ipa automember-find

 Display a automember rule:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Delete an automember rule:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

Auto Membership Rule.

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

A rule is directly associated with a group by name, so you cannot create
a rule without an accompanying group or hostgroup.

A condition is a regular expression used by 389-ds to match a new incoming
entry with an automember rule. If it matches an inclusive rule then the
entry is added to the appropriate group or hostgroup.

A default group or hostgroup could be specified for entries that do not
match any rule. In case of user entries this group will be a fallback group
because all users are by default members of group specified in IPA config.

The automember-rebuild command can be used to retroactively run automember rules
against existing entries, thus rebuilding their membership.

EXAMPLES:

 Add the initial group or hostgroup:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Add the initial rule:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Add a condition to the rule:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Add an exclusive condition to the rule to prevent auto assignment:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Add a host:
    ipa host-add web1.example.com

 Add a user:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Verify automembership:
    ipa hostgroup-show webservers
      Host-group: webservers
      Description: Web Servers
      Member hosts: web1.example.com

    ipa group-show devel
      Group name: devel
      Description: Developers
      GID: 1004200000
      Member users: tuser

 Remove a condition from the rule:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Modify the automember rule:
    ipa automember-mod

 Set the default (fallback) target group:
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Remove the default (fallback) target group:
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Show the default (fallback) target group:
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Find all of the automember rules:
    ipa automember-find

 Display a automember rule:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Delete an automember rule:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

 Rebuild membership for all users:
    ipa automember-rebuild --type=group

 Rebuild membership for all hosts:
    ipa automember-rebuild --type=hostgroup

 Rebuild membership for specified users:
    ipa automember-rebuild --users=tuser1 --users=tuser2

 Rebuild membership for specified hosts:
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

Automount

Stores automount(8) configuration for autofs(8) in IPA.

The base of an automount configuration is the configuration file auto.master.
This is also the base location in IPA. Multiple auto.master configurations
can be stored in separate locations. A location is implementation-specific
with the default being a location named 'default'. For example, you can have
locations by geographic region, by floor, by type, etc.

Automount has three basic object types: locations, maps and keys.

A location defines a set of maps anchored in auto.master. This allows you
to store multiple automount configurations. A location in itself isn't
very interesting, it is just a point to start a new automount map.

A map is roughly equivalent to a discrete automount file and provides
storage for keys.

A key is a mount point associated with a map.

When a new location is created, two maps are automatically created for
it: auto.master and auto.direct. auto.master is the root map for all
automount maps for the location. auto.direct is the default map for
direct mounts and is mounted on /-.

An automount map may contain a submount key. This key defines a mount
location within the map that references another map. This can be done
either using automountmap-add-indirect --parentmap or manually
with automountkey-add and setting info to "-type=autofs :<mapname>".

EXAMPLES:

Locations:

  Create a named location, "Baltimore":
    ipa automountlocation-add baltimore

  Display the new location:
    ipa automountlocation-show baltimore

  Find available locations:
    ipa automountlocation-find

  Remove a named automount location:
    ipa automountlocation-del baltimore

  Show what the automount maps would look like if they were in the filesystem:
    ipa automountlocation-tofiles baltimore

  Import an existing configuration into a location:
    ipa automountlocation-import baltimore /etc/auto.master

    The import will fail if any duplicate entries are found. For
    continuous operation where errors are ignored, use the --continue
    option.

Maps:

  Create a new map, "auto.share":
    ipa automountmap-add baltimore auto.share

  Display the new map:
    ipa automountmap-show baltimore auto.share

  Find maps in the location baltimore:
    ipa automountmap-find baltimore

  Create an indirect map with auto.share as a submount:
    ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man

    This is equivalent to:

    ipa automountmap-add-indirect baltimore --mount=/man auto.man
    ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Remove the auto.share map:
    ipa automountmap-del baltimore auto.share

Keys:

  Create a new key for the auto.share map in location baltimore. This ties
  the map we previously created to auto.master:
    ipa automountkey-add baltimore auto.master --key=/share --info=auto.share

  Create a new key for our auto.share map, an NFS mount for man pages:
    ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Find all keys for the auto.share map:
    ipa automountkey-find baltimore auto.share

  Find all direct automount keys:
    ipa automountkey-find baltimore --key=/-

  Remove the man key from the auto.share map:
    ipa automountkey-del baltimore auto.share --key=man

Based on the ownership there are three vault categories:
* user/private vault
* service vault
* shared vault

Based on the security mechanism there are three types of
vaults:
* standard vault
* symmetric vault
* asymmetric vault

Baseuser

This contains common definitions for user/stageuser

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

CAs (all except the 'IPA' CA) can be deleted.  Deleting a CA causes its signing
certificate to be revoked and its private key deleted.

CAs are enabled on creation, but their use is subject to CA ACLs unless the
operator has permission to bypass CA ACLs.

Certificate Identity Mapping

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

Certificates may be searched on by certificate subject, serial number,
revocation reason, validity dates and the issued date.

Classes to manage trust joins using DCE-RPC calls

The code in this module relies heavily on samba4-python package
and Samba4 python bindings.

Cross-realm trusts

Manage trust relationship between IPA and Active Directory domains.

In order to allow users from a remote domain to access resources in IPA
domain, trust relationship needs to be established. Currently IPA supports
only trusts between IPA and Active Directory domains under control of Windows
Server 2008 or later, with functional level 2008 or later.

Please note that DNS on both IPA and Active Directory domain sides should be
configured properly to discover each other. Trust relationship relies on
ability to discover special resources in the other domain via DNS records.

Examples:

1. Establish cross-realm trust with Active Directory using AD administrator
   credentials:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator> --password

2. List all existing trust relationships:

   ipa trust-find

3. Show details of the specific trust relationship:

   ipa trust-show <ad.domain>

4. Delete existing trust relationship:

   ipa trust-del <ad.domain>

Once trust relationship is established, remote users will need to be mapped
to local POSIX groups in order to actually use IPA resources. The mapping should
be done via use of external membership of non-POSIX group and then this group
should be included into one of local POSIX groups.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
   group:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

   ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

   ipa group-show ad_admins_external


GLOBAL TRUST CONFIGURATION

When IPA AD trust subpackage is installed and ipa-adtrust-install is run,
a local domain configuration (SID, GUID, NetBIOS name) is generated. These
identifiers are then used when communicating with a trusted domain of the
particular type.

1. Show global trust configuration for Active Directory type of trusts:

   ipa trustconfig-show --type ad

2. Modify global configuration for all trusts of Active Directory type and set
   a different fallback primary group (fallback primary group GID is used as
   a primary user GID if user authenticating to IPA domain does not have any other
   primary GID already set):

   ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group"

3. Change primary fallback group back to default hidden group (any group with
   posixGroup object class is allowed):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

Cross-realm trusts

Manage trust relationship between IPA and Active Directory domains.

In order to allow users from a remote domain to access resources in IPA domain,
trust relationship needs to be established. Currently IPA supports only trusts
between IPA and Active Directory domains under control of Windows Server 2008
or later, with functional level 2008 or later.

Please note that DNS on both IPA and Active Directory domain sides should be
configured properly to discover each other. Trust relationship relies on
ability to discover special resources in the other domain via DNS records.

Examples:

1. Establish cross-realm trust with Active Directory using AD administrator
   credentials:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator>            --password

2. List all existing trust relationships:

   ipa trust-find

3. Show details of the specific trust relationship:

   ipa trust-show <ad.domain>

4. Delete existing trust relationship:

   ipa trust-del <ad.domain>

Once trust relationship is established, remote users will need to be mapped
to local POSIX groups in order to actually use IPA resources. The mapping
should be done via use of external membership of non-POSIX group and then
this group should be included into one of local POSIX groups.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX
group:

   ipa group-add --desc='<ad.domain> admins external map'            ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the
   ad_admins_external group:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with
   ad_admins POSIX group:

   ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see
   their SIDs:

   ipa group-show ad_admins_external


GLOBAL TRUST CONFIGURATION

When IPA AD trust subpackage is installed and ipa-adtrust-install is run, a
local domain configuration (SID, GUID, NetBIOS name) is generated. These
identifiers are then used when communicating with a trusted domain of the
particular type.

1. Show global trust configuration for Active Directory type of trusts:

   ipa trustconfig-show --type ad

2. Modify global configuration for all trusts of Active Directory type and set
   a different fallback primary group (fallback primary group GID is used as a
   primary user GID if user authenticating to IPA domain does not have any
   other primary GID already set):

   ipa trustconfig-mod --type ad --fallback-primary-group "another AD group"

3. Change primary fallback group back to default hidden group (any group with
   posixGroup object class is allowed):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

DNS server configuration

Data stored on IPA servers is replicated to other IPA servers. The way it is
replicated is defined by replication agreements. Replication agreements needs
to be set for both suffixes separately. On domain level 0 they are managed
using ipa-replica-manage and ipa-csreplica-manage tools. With domain level 1
they are managed centrally using `ipa topology*` commands.

Dates are treated as GMT to match the dates in the certificates.

Deleting or renaming a managed permission, as well as changing its target,
is not allowed.

Directory Server Access Control Instructions (ACIs)

ACIs are used to allow or deny access to information. This module is
currently designed to allow, not deny, access.

The aci commands are designed to grant permissions that allow updating
existing entries or adding or deleting new ones. The goal of the ACIs
that ship with IPA is to provide a set of low-level permissions that
grant access to special groups called taskgroups. These low-level
permissions can be combined into roles that grant broader access. These
roles are another type of group, roles.

For example, if you have taskgroups that allow adding and modifying users you
could create a role, useradmin. You would assign users to the useradmin
role to allow them to do the operations defined by the taskgroups.

You can create ACIs that delegate permission so users in group A can write
attributes on group B.

The type option is a map that applies to all entries in the users, groups or
host location. It is primarily designed to be used when granting add
permissions (to write new entries).

An ACI consists of three parts:
1. target
2. permissions
3. bind rules

The target is a set of rules that define which LDAP objects are being
targeted. This can include a list of attributes, an area of that LDAP
tree or an LDAP filter.

The targets include:
- attrs: list of attributes affected
- type: an object type (user, group, host, service, etc)
- memberof: members of a group
- targetgroup: grant access to modify a specific group. This is primarily
  designed to enable users to add or remove members of a specific group.
- filter: A legal LDAP filter used to narrow the scope of the target.
- subtree: Used to apply a rule across an entire set of objects. For example,
  to allow adding users you need to grant "add" permission to the subtree
  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. The subtree option
  is a fail-safe for objects that may not be covered by the type option.

The permissions define what the ACI is allowed to do, and are one or
more of:
1. write - write one or more attributes
2. read - read one or more attributes
3. add - add a new entry to the tree
4. delete - delete an existing entry
5. all - all permissions are granted

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

The bind rule defines who this ACI grants permissions to. The LDAP server
allows this to be any valid LDAP entry but we encourage the use of
taskgroups so that the rights can be easily shared through roles.

For a more thorough description of access controls see
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

EXAMPLES:

NOTE: ACIs are now added via the permission plugin. These examples are to
demonstrate how the various options work but this is done via the permission
command-line now (see last example).

 Add an ACI so that the group "secretaries" can update the address on any user:
   ipa group-add --desc="Office secretaries" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Secretaries write addresses"

 Show the new ACI:
   ipa aci-show --prefix=none "Secretaries write addresses"

 Add an ACI that allows members of the "addusers" permission to add new users:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Add new users"

 Add an ACI that allows members of the editors manage members of the admins group:
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Editors manage admins"

 Add an ACI that allows members of the admins group to manage the street and zip code of those in the editors group:
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street --attrs=postalcode --prefix=none "admins edit the address of editors"

 Add an ACI that allows the admins group manage the street and zipcode of those who work for the boss:
   ipa aci-add --permissions=write --group=admins --attrs=street --attrs=postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Edit the address of those who work for the boss"

 Add an entirely new kind of record to IPA that isn't covered by any of the --type options, creating a permission:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Add Orange Entries" add_orange


The show command shows the raw 389-ds ACI.

IMPORTANT: When modifying the target attributes of an existing ACI you
must include all existing attributes as well. When doing an aci-mod the
targetattr REPLACES the current attributes, it does not add to them.

Directory Server Access Control Instructions (ACIs)

ACIs are used to allow or deny access to information. This module is
currently designed to allow, not deny, access.

The aci commands are designed to grant permissions that allow updating
existing entries or adding or deleting new ones. The goal of the ACIs
that ship with IPA is to provide a set of low-level permissions that
grant access to special groups called taskgroups. These low-level
permissions can be combined into roles that grant broader access. These
roles are another type of group, roles.

For example, if you have taskgroups that allow adding and modifying users you
could create a role, useradmin. You would assign users to the useradmin
role to allow them to do the operations defined by the taskgroups.

You can create ACIs that delegate permission so users in group A can write
attributes on group B.

The type option is a map that applies to all entries in the users, groups or
host location. It is primarily designed to be used when granting add
permissions (to write new entries).

An ACI consists of three parts:
1. target
2. permissions
3. bind rules

The target is a set of rules that define which LDAP objects are being
targeted. This can include a list of attributes, an area of that LDAP
tree or an LDAP filter.

The targets include:
- attrs: list of attributes affected
- type: an object type (user, group, host, service, etc)
- memberof: members of a group
- targetgroup: grant access to modify a specific group. This is primarily
  designed to enable users to add or remove members of a specific group.
- filter: A legal LDAP filter used to narrow the scope of the target.
- subtree: Used to apply a rule across an entire set of objects. For example,
  to allow adding users you need to grant "add" permission to the subtree
  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. The subtree option
  is a fail-safe for objects that may not be covered by the type option.

The permissions define what the ACI is allowed to do, and are one or
more of:
1. write - write one or more attributes
2. read - read one or more attributes
3. add - add a new entry to the tree
4. delete - delete an existing entry
5. all - all permissions are granted

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

The bind rule defines who this ACI grants permissions to. The LDAP server
allows this to be any valid LDAP entry but we encourage the use of
taskgroups so that the rights can be easily shared through roles.

For a more thorough description of access controls see
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

EXAMPLES:

NOTE: ACIs are now added via the permission plugin. These examples are to
demonstrate how the various options work but this is done via the permission
command-line now (see last example).

 Add an ACI so that the group "secretaries" can update the address on any user:
   ipa group-add --desc="Office secretaries" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Secretaries write addresses"

 Show the new ACI:
   ipa aci-show --prefix=none "Secretaries write addresses"

 Add an ACI that allows members of the "addusers" permission to add new users:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Add new users"

 Add an ACI that allows members of the editors manage members of the admins group:
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Editors manage admins"

 Add an ACI that allows members of the admins group to manage the street and zip code of those in the editors group:
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street,postalcode --prefix=none "admins edit the address of editors"

 Add an ACI that allows the admins group manage the street and zipcode of those who work for the boss:
   ipa aci-add --permissions=write --group=admins --attrs=street,postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Edit the address of those who work for the boss"

 Add an entirely new kind of record to IPA that isn't covered by any of the --type options, creating a permission:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Add Orange Entries" add_orange


The show command shows the raw 389-ds ACI.

IMPORTANT: When modifying the target attributes of an existing ACI you
must include all existing attributes as well. When doing an aci-mod the
targetattr REPLACES the current attributes, it does not add to them.

Domain Name System (DNS)

Domain Name System (DNS)

Manage DNS zone and resource records.


USING STRUCTURED PER-TYPE OPTIONS

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1


EXAMPLES:

 Add new zone:
   ipa dnszone-add example.com --name-server=ns                                --admin-email=admin@example.com                                --ip-address=10.0.0.1

 Add system permission that can be used for per-zone privilege delegation:
   ipa dnszone-add-permission example.com

 Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

   This is the equivalent of:
     ipa dnszone-mod example.com --dynamic-update=TRUE       --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

 Modify the zone to allow zone transfers for local network only:
   ipa dnszone-mod example.com --allow-transfer=10.0.0.0/8

 Add new reverse zone specified by network IP address:
   ipa dnszone-add --name-from-ip=80.142.15.0/24                    --name-server=ns.example.com.

 Add second nameserver for example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Add a mail server for example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Add another record using MX record specific options:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
 or dnsrecord-del are executed with no options):
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Delete previously added nameserver from example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Add LOC record for example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Add new A record for www.example.com. Create a reverse record in appropriate
 reverse zone as well. In this case a PTR record "2" pointing to www.example.com
 will be created in zone 15.142.80.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=80.142.15.2 --a-create-reverse

 Add new PTR record for www.example.com
   ipa dnsrecord-add 15.142.80.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Add new SRV records for LDAP servers. Three quarters of the requests
 should go to fast.example.com, one quarter to slow.example.com. If neither
 is available, switch to backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 The interactive mode can be used for easy modification:
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 After this modification, three fifths of the requests should go to
 fast.example.com and two fifths to slow.example.com.

 An example of the interactive mode for dnsrecord-del command:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 1.2.3.4, 11.22.33.44

   Delete A record '1.2.3.4'? Yes/No (default No):
   Delete A record '11.22.33.44'? Yes/No (default No): y
     Record name: www
     A record: 1.2.3.4                  (A record 11.22.33.44 has been deleted)

 Show zone example.com:
   ipa dnszone-show example.com

 Find zone with "example" in its domain name:
   ipa dnszone-find example

 Find records for resources with "www" in their name in zone example.com:
   ipa dnsrecord-find example.com www

 Find A records with value 10.10.0.1 in zone example.com
   ipa dnsrecord-find example.com --a-rec=10.10.0.1

 Show records for resource www in zone example.com
   ipa dnsrecord-show example.com www

 Delegate zone sub.example to another nameserver:
   ipa dnsrecord-add example.com ns.sub --a-rec=10.0.100.5
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 If global forwarder is configured, all requests to sub.example.com will be
 routed through the global forwarder. To change the behavior for example.com
 zone only and forward the request directly to ns.sub.example.com., global
 forwarding may be disabled per-zone:
   ipa dnszone-mod example.com --forward-policy=none

 Forward all requests for the zone external.com to another nameserver using
 a "first" policy (it will send the queries to the selected forwarder and if
 not answered it will use global resolvers):
   ipa dnszone-add external.com
   ipa dnszone-mod external.com --forwarder=10.20.0.1                                 --forward-policy=first

 Delete zone example.com with all resource records:
   ipa dnszone-del example.com

 Resolve a host name to see if it exists (will add default IPA domain
 if one is not included):
   ipa dns-resolve www.example.com
   ipa dns-resolve www


GLOBAL DNS CONFIGURATION

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

 Show global DNS configuration:
   ipa dnsconfig-show

 Modify global DNS configuration and set a list of global forwarders:
   ipa dnsconfig-mod --forwarder=10.0.0.1

Domain Name System (DNS)

Manage DNS zone and resource records.

SUPPORTED ZONE TYPES

 * Master zone (dnszone-*), contains authoritative data.
 * Forward zone (dnsforwardzone-*), forwards queries to configured forwarders
 (a set of DNS servers).

USING STRUCTURED PER-TYPE OPTIONS

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1


EXAMPLES:

 Add new zone:
   ipa dnszone-add example.com --admin-email=admin@example.com

 Add system permission that can be used for per-zone privilege delegation:
   ipa dnszone-add-permission example.com

 Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

   This is the equivalent of:
     ipa dnszone-mod example.com --dynamic-update=TRUE       --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

 Modify the zone to allow zone transfers for local network only:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Add new reverse zone specified by network IP address:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Add second nameserver for example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Add a mail server for example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Add another record using MX record specific options:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
 or dnsrecord-del are executed with no options):
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Delete previously added nameserver from example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Add LOC record for example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Add new A record for www.example.com. Create a reverse record in appropriate
 reverse zone as well. In this case a PTR record "2" pointing to www.example.com
 will be created in zone 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Add new PTR record for www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Add new SRV records for LDAP servers. Three quarters of the requests
 should go to fast.example.com, one quarter to slow.example.com. If neither
 is available, switch to backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 The interactive mode can be used for easy modification:
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 After this modification, three fifths of the requests should go to
 fast.example.com and two fifths to slow.example.com.

 An example of the interactive mode for dnsrecord-del command:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Show zone example.com:
   ipa dnszone-show example.com

 Find zone with "example" in its domain name:
   ipa dnszone-find example

 Find records for resources with "www" in their name in zone example.com:
   ipa dnsrecord-find example.com www

 Find A records with value 192.0.2.2 in zone example.com
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Show records for resource www in zone example.com
   ipa dnsrecord-show example.com www

 Delegate zone sub.example to another nameserver:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Delete zone example.com with all resource records:
   ipa dnszone-del example.com

 If a global forwarder is configured, all queries for which this server is not
 authoritative (e.g. sub.example.com) will be routed to the global forwarder.
 Global forwarding configuration can be overridden per-zone.

 Semantics of forwarding in IPA matches BIND semantics and depends on the type
 of zone:
   * Master zone: local BIND replies authoritatively to queries for data in
   the given zone (including authoritative NXDOMAIN answers) and forwarding
   affects only queries for names below zone cuts (NS records) of locally
   served zones.

   * Forward zone: forward zone contains no authoritative data. BIND forwards
   queries, which cannot be answered from its local cache, to configured
   forwarders.

 Semantics of the --forward-policy option:
   * none - disable forwarding for the given zone.
   * first - forward all queries to configured forwarders. If they fail,
   do resolution using DNS root servers.
   * only - forward all queries to configured forwarders and if they fail,
   return failure.

 Disable global forwarding for given sub-tree:
   ipa dnszone-mod example.com --forward-policy=none

 This configuration forwards all queries for names outside the example.com
 sub-tree to global forwarders. Normal recursive resolution process is used
 for names inside the example.com sub-tree (i.e. NS records are followed etc.).

 Forward all requests for the zone external.example.com to another forwarder
 using a "first" policy (it will send the queries to the selected forwarder
 and if not answered it will use global root servers):
   ipa dnsforwardzone-add external.example.com --forward-policy=first                                --forwarder=203.0.113.1

 Change forward-policy for external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Show forward zone external.example.com:
   ipa dnsforwardzone-show external.example.com

 List all forward zones:
   ipa dnsforwardzone-find

 Delete forward zone external.example.com:
   ipa dnsforwardzone-del external.example.com

 Resolve a host name to see if it exists (will add default IPA domain
 if one is not included):
   ipa dns-resolve www.example.com
   ipa dns-resolve www


GLOBAL DNS CONFIGURATION

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

 Show global DNS configuration:
   ipa dnsconfig-show

 Modify global DNS configuration and set a list of global forwarders:
   ipa dnsconfig-mod --forwarder=203.0.113.113

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
   or not. A full administrator is a member of the hostadmin role
   or the admins group.
2. You are enrolling as a limited administrator. The host must already
   exist. A limited administrator is a member a role with the
   Host Enrollment privilege.
3. The host has been created with a one-time password.

EXAMPLES:

Entitlements

Manage entitlements for client machines

Entitlements can be managed either by registering with an entitlement
server with a username and password or by manually importing entitlement
certificates. An entitlement certificate contains embedded information
such as the product being entitled, the quantity and the validity dates.

An entitlement server manages the number of client entitlements available.
To mark these entitlements as used by the IPA server you provide a quantity
and they are marked as consumed on the entitlement server.

 Register with an entitlement server:
   ipa entitle-register consumer

 Import an entitlement certificate:
   ipa entitle-import /home/user/ipaclient.pem

 Display current entitlements:
   ipa entitle-status

 Retrieve details on entitlement certificates:
   ipa entitle-get

 Consume some entitlements from the entitlement server:
   ipa entitle-consume 50

The registration ID is a Unique Identifier (UUID). This ID will be
IMPORTED if you have used entitle-import.

Changes to /etc/rhsm/rhsm.conf require a restart of the httpd service.

Get information about installed IPA servers.

Get status of roles (DNS server, CA, etc.) provided by IPA masters.

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

 Add a delegation rule to allow managers to edit employee's addresses:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add postalCode to the list:
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Display our updated rule:
   ipa delegation-show "managers edit employees' street"

 Delete a rule:
   ipa delegation-del "managers edit employees' street"

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

 Add a delegation rule to allow managers to edit employee's addresses:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add postalCode to the list:
   ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Display our updated rule:
   ipa delegation-show "managers edit employees' street"

 Delete a rule:
   ipa delegation-del "managers edit employees' street"

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa group-show localadmins

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa sudocmdgroup-show admincmds

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa group-show localadmins

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

 Add a new host group:
   ipa hostgroup-add --desc="Baltimore hosts" baltimore

 Add another new host group:
   ipa hostgroup-add --desc="Maryland hosts" maryland

 Add members to the hostgroup (using Bash brace expansion):
   ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

 Add a hostgroup as a member of another hostgroup:
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Remove a host from the hostgroup:
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Display a host group:
   ipa hostgroup-show baltimore

 Delete a hostgroup:
   ipa hostgroup-del baltimore

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

 Add a new host group:
   ipa hostgroup-add --desc="Baltimore hosts" baltimore

 Add another new host group:
   ipa hostgroup-add --desc="Maryland hosts" maryland

 Add members to the hostgroup:
   ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore

 Add a hostgroup as a member of another hostgroup:
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Remove a host from the hostgroup:
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Display a host group:
   ipa hostgroup-show baltimore

 Delete a hostgroup:
   ipa hostgroup-del baltimore

Groups of users

Manage groups of users. By default, new groups are POSIX groups. You
can add the --nonposix option to the group-add command to mark a new group
as non-POSIX. You can use the --posix argument with the group-mod command
to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.

Every group must have a description.

POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.

EXAMPLES:

 Add a new group:
   ipa group-add --desc='local administrators' localadmins

 Add a new non-POSIX group:
   ipa group-add --nonposix --desc='remote administrators' remoteadmins

 Convert a non-POSIX group to posix:
   ipa group-mod --posix remoteadmins

 Add a new POSIX group with a specific Group ID number:
   ipa group-add --gid=500 --desc='unix admins' unixadmins

 Add a new POSIX group and let IPA assign a Group ID number:
   ipa group-add --desc='printer admins' printeradmins

 Remove a group:
   ipa group-del unixadmins

 To add the "remoteadmins" group to the "localadmins" group:
   ipa group-add-member --groups=remoteadmins localadmins

 Add multiple users to the "localadmins" group:
   ipa group-add-member --users=test1 --users=test2 localadmins

 Remove a user from the "localadmins" group:
   ipa group-remove-member --users=test2 localadmins

 Display information about a named group.
   ipa group-show localadmins

External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.

An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
   group:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

   ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

   ipa group-show ad_admins_external

HBAC Service Groups

HBAC service groups can contain any number of individual services,
or "members". Every group must have a description.

EXAMPLES:

 Add a new HBAC service group:
   ipa hbacsvcgroup-add --desc="login services" login

 Add members to an HBAC service group:
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

 Display information about a named group:
   ipa hbacsvcgroup-show login

 Delete an HBAC service group:
   ipa hbacsvcgroup-del login

HBAC Service Groups

HBAC service groups can contain any number of individual services,
or "members". Every group must have a description.

EXAMPLES:

 Add a new HBAC service group:
   ipa hbacsvcgroup-add --desc="login services" login

 Add members to an HBAC service group:
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login

 Display information about a named group:
   ipa hbacsvcgroup-show login

 Add a new group to the "login" group:
   ipa hbacsvcgroup-add --desc="switch users" login
   ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login

 Delete an HBAC service group:
   ipa hbacsvcgroup-del login

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

 Add a new HBAC service:
   ipa hbacsvc-add tftp

 Modify an existing HBAC service:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Search for HBAC services. This example will return two results, the FTP
 service and the newly-added tftp service:
   ipa hbacsvc-find ftp

 Delete an HBAC service:
   ipa hbacsvc-del tftp

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

 Add a new HBAC service:
   ipa hbacsvc-add tftp

 Modify an existing HBAC service:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Search for HBAC services. This example will return two results, the FTP
 service and the newly-added tftp service:
   ipa hbacsvc-find ftp

 Delete an HBAC service:
   ipa hbacsvc-del tftp


Host-based access control

Control who can access what services on what hosts and from where. You
can use HBAC to control which users or groups on a source host can
access a service, or group of services, on a target host.

You can also specify a category of users, target hosts, and source
hosts. This is currently limited to "all", but might be expanded in the
future.

Target hosts and source hosts in HBAC rules must be hosts managed by IPA.

The available services and groups of services are controlled by the
hbacsvc and hbacsvcgroup plug-ins respectively.

EXAMPLES:

 Create a rule, "test1", that grants all users access to the host "server" from
 anywhere:
   ipa hbacrule-add --usercat=all --srchostcat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Display the properties of a named HBAC rule:
   ipa hbacrule-show test1

 Create a rule for a specific service. This lets the user john access
 the sshd service on any machine from any machine:
   ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Create a rule for a new service group. This lets the user john access
 the FTP service on any machine from any machine:
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers
   ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Disable a named HBAC rule:
   ipa hbacrule-disable test1

 Remove a named HBAC rule:
   ipa hbacrule-del allow_server

Host-based access control

Control who can access what services on what hosts. You
can use HBAC to control which users or groups can
access a service, or group of services, on a target host.

You can also specify a category of users and target hosts.
This is currently limited to "all", but might be expanded in the
future.

Target hosts in HBAC rules must be hosts managed by IPA.

The available services and groups of services are controlled by the
hbacsvc and hbacsvcgroup plug-ins respectively.

EXAMPLES:

 Create a rule, "test1", that grants all users access to the host "server" from
 anywhere:
   ipa hbacrule-add --usercat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Display the properties of a named HBAC rule:
   ipa hbacrule-show test1

 Create a rule for a specific service. This lets the user john access
 the sshd service on any machine from any machine:
   ipa hbacrule-add --hostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Create a rule for a new service group. This lets the user john access
 the FTP service on any machine from any machine:
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
   ipa hbacrule-add --hostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Disable a named HBAC rule:
   ipa hbacrule-disable test1

 Remove a named HBAC rule:
   ipa hbacrule-del allow_server

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
   or not. A full administrator is a member of the hostadmin role
   or the admins group.
2. You are enrolling as a limited administrator. The host must already
   exist. A limited administrator is a member a role with the
   Host Enrollment privilege.
3. The host has been created with a one-time password.

A host can only be enrolled once. If a client has enrolled and needs to
be re-enrolled, the host entry must be removed and re-created. Note that
re-creating the host entry will result in all services for the host being
removed, and all SSL certificates associated with those services being
revoked.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

EXAMPLES:

 Add a new host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Delete a host:
   ipa host-del test.example.com

 Add a new host with a one-time password:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Add a new host with a random one-time password:
   ipa host-add --os='Fedora 12' --random test.example.com

 Modify information about a host:
   ipa host-mod --os='Fedora 12' test.example.com

 Remove SSH public keys of a host and update DNS to reflect this change:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Disable the host Kerberos key, SSL certificate and all of its services:
   ipa host-disable test.example.com

 Add a host that can manage this host's keytab and certificate:
   ipa host-add-managedby --hosts=test2 test

Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
   or not. A full administrator is a member of the hostadmin role
   or the admins group.
2. You are enrolling as a limited administrator. The host must already
   exist. A limited administrator is a member a role with the
   Host Enrollment privilege.
3. The host has been created with a one-time password.

RE-ENROLLMENT:

Host that has been enrolled at some point, and lost its configuration (e.g. VM
destroyed) can be re-enrolled.

For more information, consult the manual pages for ipa-client-install.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

EXAMPLES:

 Add a new host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Delete a host:
   ipa host-del test.example.com

 Add a new host with a one-time password:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Add a new host with a random one-time password:
   ipa host-add --os='Fedora 12' --random test.example.com

 Modify information about a host:
   ipa host-mod --os='Fedora 12' test.example.com

 Remove SSH public keys of a host and update DNS to reflect this change:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Disable the host Kerberos key, SSL certificate and all of its services:
   ipa host-disable test.example.com

 Add a host that can manage this host's keytab and certificate:
   ipa host-add-managedby --hosts=test2 test

 Allow user to create a keytab:
   ipa host-allow-create-keytab test2 --users=tuser1

ID Views

Manage ID Views

IPA allows to override certain properties of users and groups per each host.
This functionality is primarily used to allow migration from older systems or
other Identity Management solutions.

IPA certificate operations

IPA certificate operations

Implements a set of commands for managing server SSL certificates.

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

If using the selfsign back end then the subject in the CSR needs to match
the subject configured in the server. The dogtag CA uses just the CN
value of the CSR and forces the rest of the subject.

A certificate is stored with a service principal and a service principal
needs a host.

In order to request a certificate:

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

EXAMPLES:

 Request a new certificate and add the principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Retrieve an existing certificate:
   ipa cert-show 1032

 Revoke a certificate (see RFC 5280 for reason details):
   ipa cert-revoke --revocation-reason=6 1032

 Remove a certificate from revocation hold status:
   ipa cert-remove-hold 1032

 Check the status of a signing request:
   ipa cert-status 10

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

The following revocation reasons are supported:

    * 0 - unspecified
    * 1 - keyCompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
    * 10 - aACompromise

Note that reason code 7 is not used.  See RFC 5280 for more details:

http://www.ietf.org/rfc/rfc5280.txt

IPA certificate operations

Implements a set of commands for managing server SSL certificates.

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

The dogtag CA uses just the CN value of the CSR and forces the rest of the
subject to values configured in the server.

A certificate is stored with a service principal and a service principal
needs a host.

In order to request a certificate:

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

SEARCHING:

Certificates may be searched on by certificate subject, serial number,
revocation reason, validity dates and the issued date.

When searching on dates the _from date does a >= search and the _to date
does a <= search. When combined these are done as an AND.

Dates are treated as GMT to match the dates in the certificates.

The date format is YYYY-mm-dd.

EXAMPLES:

 Request a new certificate and add the principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Retrieve an existing certificate:
   ipa cert-show 1032

 Revoke a certificate (see RFC 5280 for reason details):
   ipa cert-revoke --revocation-reason=6 1032

 Remove a certificate from revocation hold status:
   ipa cert-remove-hold 1032

 Check the status of a signing request:
   ipa cert-status 10

 Search for certificates by hostname:
   ipa cert-find --subject=ipaserver.example.com

 Search for revoked certificates by reason:
   ipa cert-find --revocation-reason=5

 Search for certificates based on issuance date
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

The following revocation reasons are supported:

    * 0 - unspecified
    * 1 - keyCompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
    * 10 - aACompromise

Note that reason code 7 is not used.  See RFC 5280 for more details:

http://www.ietf.org/rfc/rfc5280.txt

IPA currently immediately issues (or declines) all certificate requests so
the status of a request is not normally useful. This is for future use
or the case where a CA does not immediately issue a certificate.

IPA locations

IPA provides a designated binddn to use with Sudo located at:
uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

IPA provides a means to configure the various aspects of Sudo:
   Users: The user(s)/group(s) allowed to invoke Sudo.
   Hosts: The host(s)/hostgroup(s) which the user is allowed to to invoke Sudo.
   Allow Command: The specific command(s) permitted to be run via Sudo.
   Deny Command: The specific command(s) prohibited to be run via Sudo.
   RunAsUser: The user(s) or group(s) of users whose rights Sudo will be invoked with.
   RunAsGroup: The group(s) whose gid rights Sudo will be invoked with.
   Options: The various Sudoers Options that can modify Sudo's behavior.

IPA server roles

IPA server's data is stored in LDAP server in two suffixes:
* domain suffix, e.g., 'dc=example,dc=com', contains all domain related data
* ca suffix, 'o=ipaca', is present only on server with CA installed. It
  contains data for Certificate Server component

IPA servers

IPA servers

Get information about installed IPA servers.

EXAMPLES:

  Find all servers:
    ipa server-find

  Show specific server:
    ipa server-show ipa.example.com

IPA supports the use of OTP tokens for multi-factor authentication. This
code enables the management of OTP tokens.

IPA supports the use of an external RADIUS proxy server for krb5 OTP
authentications. This permits a great deal of flexibility when
integrating with third-party authentication services.

IPA supports the use of certificates for authentication. Certificates can
either be stored in the user entry (full certificate in the usercertificate
attribute), or simply linked to the user entry through a mapping.
This code enables the management of the rules allowing to link a
certificate to a user entry.

Implements a set of commands for managing server SSL certificates.

In order to request a certificate:

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

Joining an IPA domain

Kerberos PKINIT feature status reporting tools.

Report IPA masters on which Kerberos PKINIT is enabled or disabled

EXAMPLES:
 List PKINIT status on all masters:
   ipa pkinit-status

 Check PKINIT status on `ipa.example.com`:
   ipa pkinit-status --server ipa.example.com

 List all IPA masters with disabled PKINIT:
   ipa pkinit-status --status='disabled'

For more info about PKINIT support see:

https://www.freeipa.org/page/V4/Kerberos_PKINIT

Kerberos pkinit options

Enable or disable anonymous pkinit using the principal
WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with
pkinit support.

EXAMPLES:

 Enable anonymous pkinit:
  ipa pkinit-anonymous enable

 Disable anonymous pkinit:
  ipa pkinit-anonymous disable

For more information on anonymous pkinit see:

http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit

Kerberos ticket policy

There is a single Kerberos ticket policy. This policy defines the
maximum ticket lifetime and the maximum renewal age, the period during
which the ticket is renewable.

You can also create a per-user ticket policy by specifying the user login.

For changes to the global policy to take effect, restarting the KDC service
is required, which can be achieved using:

service krb5kdc restart

Changes to per-user policies take effect immediately for newly requested
tickets (e.g. when the user next runs kinit).

EXAMPLES:

 Display the current Kerberos ticket policy:
  ipa krbtpolicy-show

 Reset the policy to the default:
  ipa krbtpolicy-reset

 Modify the policy to 8 hours max life, 1-day max renewal:
  ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400

 Display effective Kerberos ticket policy for user 'admin':
  ipa krbtpolicy-show admin

 Reset per-user policy for user 'admin':
  ipa krbtpolicy-reset admin

 Modify per-user policy for user 'admin':
  ipa krbtpolicy-mod admin --maxlife=3600

Lockout status of a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.

    This connects to each IPA master and displays the lockout status on
    each one.

    To determine whether an account is locked on a given server you need
    to compare the number of failed logins and the time of the last failure.
    For an account to be locked it must exceed the maxfail failures within
    the failinterval duration as specified in the password policy associated
    with the user.

    The failed login counter is modified only when a user attempts a log in
    so it is possible that an account may appear locked but the last failed
    login attempt is older than the lockouttime of the password policy. This
    means that the user may attempt a login again.
    
Manage CA ACL rules.

This plugin is used to define rules governing which CAs and profiles
may be used to issue certificates to particular principals or groups
of principals.

SUBJECT PRINCIPAL SCOPE:

For a certificate request to be allowed, the principal(s) that are
the subject of a certificate request (not necessarily the principal
actually requesting the certificate) must be included in the scope
of a CA ACL that also includes the target CA and profile.

Users can be included by name, group or the "all users" category.
Hosts can be included by name, hostgroup or the "all hosts"
category.  Services can be included by service name or the "all
services" category.  CA ACLs may be associated with a single type of
principal, or multiple types.

CERTIFICATE AUTHORITY SCOPE:

A CA ACL can be associated with one or more CAs by name, or by the
"all CAs" category.  For compatibility reasons, a CA ACL with no CA
association implies an association with the 'ipa' CA (and only this
CA).

PROFILE SCOPE:

A CA ACL can be associated with one or more profiles by Profile ID.
The Profile ID is a string without spaces or punctuation starting
with a letter and followed by a sequence of letters, digits or
underscore ("_").

EXAMPLES:

  Create a CA ACL "test" that grants all users access to the
  "UserCert" profile on all CAs:
    ipa caacl-add test --usercat=all --cacat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Display the properties of a named CA ACL:
    ipa caacl-show test

  Create a CA ACL to let user "alice" use the "DNP3" profile on "DNP3-CA":
    ipa caacl-add alice_dnp3
    ipa caacl-add-ca alice_dnp3 --cas DNP3-CA
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Disable a CA ACL:
    ipa caacl-disable test

  Remove a CA ACL:
    ipa caacl-del test

Manage CA ACL rules.

This plugin is used to define rules governing which principals are
permitted to have certificates issued using a given certificate
profile.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Create a CA ACL "test" that grants all users access to the
  "UserCert" profile:
    ipa caacl-add test --usercat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Display the properties of a named CA ACL:
    ipa caacl-show test

  Create a CA ACL to let user "alice" use the "DNP3" profile:
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Disable a CA ACL:
    ipa caacl-disable test

  Remove a CA ACL:
    ipa caacl-del test

Manage Certificate Authorities

Manage Certificate Identity Mapping configuration and rules.

Manage Certificate Profiles

Certificate Profiles are used by Certificate Authority (CA) in the signing of
certificates to determine if a Certificate Signing Request (CSR) is acceptable,
and if so what features and extensions will be present on the certificate.

The Certificate Profile format is the property-list format understood by the
Dogtag or Red Hat Certificate System CA.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert       --file UserCert.profile --desc "User Certificates"       --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert

  Show information about a profile:
    ipa certprofile-show ShortLivedUserCert

  Save profile configuration to a file:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Search for profiles that do not store certificates:
    ipa certprofile-find --store=false

PROFILE CONFIGURATION FORMAT:

The profile configuration format is the raw property-list format
used by Dogtag Certificate System.  The XML format is not supported.

The following restrictions apply to profiles managed by IPA:

- When importing a profile the "profileId" field, if present, must
  match the ID given on the command line.

- The "classId" field must be set to "caEnrollImpl"

- The "auth.instance_id" field must be set to "raCertAuth"

- The "certReqInputImpl" input class and "certOutputImpl" output
  class must be used.

Manage Certificate Profiles

Certificate Profiles are used by Certificate Authority (CA) in the signing of
certificates to determine if a Certificate Signing Request (CSR) is acceptable,
and if so what features and extensions will be present on the certificate.

The Certificate Profile format is the property-list format understood by the
Dogtag or Red Hat Certificate System CA.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert

  Show information about a profile:
    ipa certprofile-show ShortLivedUserCert

  Save profile configuration to a file:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Search for profiles that do not store certificates:
    ipa certprofile-find --store=false

PROFILE CONFIGURATION FORMAT:

The profile configuration format is the raw property-list format
used by Dogtag Certificate System.  The XML format is not supported.

The following restrictions apply to profiles managed by IPA:

- When importing a profile the "profileId" field, if present, must
  match the ID given on the command line.

- The "classId" field must be set to "caEnrollImpl"

- The "auth.instance_id" field must be set to "raCertAuth"

- The "certReqInputImpl" input class and "certOutputImpl" output
  class must be used.


Manage DNS zone and resource records.

Manage OTP tokens.

Manage RADIUS Proxy Servers.

Manage YubiKey tokens.

Manage vaults.

Managed permissions

Manipulate DNS locations

Manipulate DNS server configuration

Migration to IPA

Migrate users and groups from an LDAP server to IPA.

This performs an LDAP query against the remote server searching for
users and groups in a container. In order to migrate passwords you need
to bind as a user that can read the userPassword attribute on the remote
server. This is generally restricted to high-level admins such as
cn=Directory Manager in 389-ds (this is the default bind user).

The default user container is ou=People.

The default group container is ou=Groups.

Users and groups that already exist on the IPA server are skipped.

Two LDAP schemas define how group members are stored: RFC2307 and
RFC2307bis. RFC2307bis uses member and uniquemember to specify group
members, RFC2307 uses memberUid. The default schema is RFC2307bis.

The schema compat feature allows IPA to reformat data for systems that
do not support RFC2307bis. It is recommended that this feature is disabled
during migration to reduce system overhead. It can be re-enabled after
migration. To migrate with it enabled use the "--with-compat" option.

Migrated users do not have Kerberos credentials, they have only their
LDAP password. To complete the migration process, users need to go
to http://ipa.example.com/ipa/migration and authenticate using their
LDAP password in order to generate their Kerberos credentials.

Migration is disabled by default. Use the command ipa config-mod to
enable it:

 ipa config-mod --enable-migration=TRUE

If a base DN is not provided with --basedn then IPA will use either
the value of defaultNamingContext if it is set or the first value
in namingContexts set in the root of the remote LDAP server.

Users are added as members to the default user group. This can be a
time-intensive task so during migration this is done in a batch
mode for every 100 users. As a result there will be a window in which
users will be added to IPA but will not be members of the default
user group.

EXAMPLES:

 The simplest migration, accepting all defaults:
   ipa migrate-ds ldap://ds.example.com:389

 Specify the user and group container. This can be used to migrate user
 and group data from an IPA v1 server:
   ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        ldap://ds.example.com:389

 Since IPA v2 server already contain predefined groups that may collide with
 groups in migrated (IPA v1) server (for example admins, ipausers), users
 having colliding group as their primary group may happen to belong to
 an unknown group on new IPA v2 server.
 Use --group-overwrite-gid option to overwrite GID of already existing groups
 to prevent this issue:
    ipa migrate-ds --group-overwrite-gid         --user-container='cn=users,cn=accounts'         --group-container='cn=groups,cn=accounts'         ldap://ds.example.com:389

 Migrated users or groups may have object class and accompanied attributes
 unknown to the IPA v2 server. These object classes and attributes may be
 left out of the migration process:
    ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        --user-ignore-objectclass=radiusprofile        --user-ignore-attribute=radiusgroupname        ldap://ds.example.com:389

LOGGING

Migration will log warnings and errors to the Apache error log. This
file should be evaluated post-migration to correct or investigate any
issues that were discovered.

For every 100 users migrated an info-level message will be displayed to
give the current progress and duration to make it possible to track
the progress of migration.

If the log level is debug, either by setting debug = True in
/etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed
for each user added plus a summary when the default user group is
updated.

Migration to IPA

Migrate users and groups from an LDAP server to IPA.

This performs an LDAP query against the remote server searching for
users and groups in a container. In order to migrate passwords you need
to bind as a user that can read the userPassword attribute on the remote
server. This is generally restricted to high-level admins such as
cn=Directory Manager in 389-ds (this is the default bind user).

The default user container is ou=People.

The default group container is ou=Groups.

Users and groups that already exist on the IPA server are skipped.

Two LDAP schemas define how group members are stored: RFC2307 and
RFC2307bis. RFC2307bis uses member and uniquemember to specify group
members, RFC2307 uses memberUid. The default schema is RFC2307bis.

The schema compat feature allows IPA to reformat data for systems that
do not support RFC2307bis. It is recommended that this feature is disabled
during migration to reduce system overhead. It can be re-enabled after
migration. To migrate with it enabled use the "--with-compat" option.

Migrated users do not have Kerberos credentials, they have only their
LDAP password. To complete the migration process, users need to go
to http://ipa.example.com/ipa/migration and authenticate using their
LDAP password in order to generate their Kerberos credentials.

Migration is disabled by default. Use the command ipa config-mod to
enable it:

 ipa config-mod --enable-migration=TRUE

If a base DN is not provided with --basedn then IPA will use either
the value of defaultNamingContext if it is set or the first value
in namingContexts set in the root of the remote LDAP server.

Users are added as members to the default user group. This can be a
time-intensive task so during migration this is done in a batch
mode for every 100 users. As a result there will be a window in which
users will be added to IPA but will not be members of the default
user group.

EXAMPLES:

 The simplest migration, accepting all defaults:
   ipa migrate-ds ldap://ds.example.com:389

 Specify the user and group container. This can be used to migrate user
 and group data from an IPA v1 server:
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       ldap://ds.example.com:389

 Since IPA v2 server already contain predefined groups that may collide with
 groups in migrated (IPA v1) server (for example admins, ipausers), users
 having colliding group as their primary group may happen to belong to
 an unknown group on new IPA v2 server.
 Use --group-overwrite-gid option to overwrite GID of already existing groups
 to prevent this issue:
    ipa migrate-ds --group-overwrite-gid \
        --user-container='cn=users,cn=accounts' \
        --group-container='cn=groups,cn=accounts' \
        ldap://ds.example.com:389

 Migrated users or groups may have object class and accompanied attributes
 unknown to the IPA v2 server. These object classes and attributes may be
 left out of the migration process:
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       --user-ignore-objectclass=radiusprofile \
       --user-ignore-attribute=radiusgroupname \
       ldap://ds.example.com:389

LOGGING

Migration will log warnings and errors to the Apache error log. This
file should be evaluated post-migration to correct or investigate any
issues that were discovered.

For every 100 users migrated an info-level message will be displayed to
give the current progress and duration to make it possible to track
the progress of migration.

If the log level is debug, either by setting debug = True in
/etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed
for each user added plus a summary when the default user group is
updated.

Misc plug-ins

Modify ID range.

=======
WARNING:

DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
local domain. Currently the DNA plugin *cannot* be reconfigured itself based
on the local ranges set via this family of commands.

Manual configuration change has to be done in the DNA plugin configuration for
the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
modified to match the new range.
=======
    
Modify a trust (for future use).

    Currently only the default option to modify the LDAP attributes is
    available. More specific options will be added in coming releases.
    
Netgroups

A netgroup is a group used for permission checking. It can contain both
user and host values.

EXAMPLES:

 Add a new netgroup:
   ipa netgroup-add --desc="NFS admins" admins

 Add members to the netgroup:
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

 Remove a member from the netgroup:
   ipa netgroup-remove-member --users=tuser2 admins

 Display information about a netgroup:
   ipa netgroup-show admins

 Delete a netgroup:
   ipa netgroup-del admins

Netgroups

A netgroup is a group used for permission checking. It can contain both
user and host values.

EXAMPLES:

 Add a new netgroup:
   ipa netgroup-add --desc="NFS admins" admins

 Add members to the netgroup:
   ipa netgroup-add-member --users=tuser1,tuser2 admins

 Remove a member from the netgroup:
   ipa netgroup-remove-member --users=tuser2 admins

 Display information about a netgroup:
   ipa netgroup-show admins

 Delete a netgroup:
   ipa netgroup-del admins

Note that reason code 7 is not used.  See RFC 5280 for more details:

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

OTP Tokens

OTP Tokens

Manage OTP tokens.

IPA supports the use of OTP tokens for multi-factor authentication. This
code enables the management of OTP tokens.

EXAMPLES:

 Add a new token:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Examine the token:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Change the vendor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Delete a token:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

OTP configuration

Manage the default values that IPA uses for OTP tokens.

EXAMPLES:

 Show basic OTP configuration:
   ipa otpconfig-show

 Show all OTP configuration options:
   ipa otpconfig-show --all

 Change maximum TOTP authentication window to 10 minutes:
   ipa otpconfig-mod --totp-auth-window=600

 Change maximum TOTP synchronization window to 12 hours:
   ipa otpconfig-mod --totp-sync-window=43200

 Change maximum HOTP authentication window to 5:
   ipa hotpconfig-mod --hotp-auth-window=5

 Change maximum HOTP synchronization window to 50:
   ipa hotpconfig-mod --hotp-sync-window=50

Password policy

A password policy sets limitations on IPA passwords, including maximum
lifetime, minimum lifetime, the number of passwords to save in
history, the number of character classes required (for stronger passwords)
and the minimum password length.

By default there is a single, global policy for all users. You can also
create a password policy to apply to a group. Each user is only subject
to one password policy, either the group policy or the global policy. A
group policy stands alone; it is not a super-set of the global policy plus
custom settings.

Each group password policy requires a unique priority setting. If a user
is in multiple groups that have password policies, this priority determines
which password policy is applied. A lower value indicates a higher priority
policy.

Group password policies are automatically removed when the groups they
are associated with are removed.

EXAMPLES:

 Modify the global policy:
   ipa pwpolicy-mod --minlength=10

 Add a new group password policy:
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Display the global password policy:
   ipa pwpolicy-show

 Display a group password policy:
   ipa pwpolicy-show localadmins

 Display the policy that would be applied to a given user:
   ipa pwpolicy-show --user=tuser1

 Modify a group password policy:
   ipa pwpolicy-mod --minclasses=2 localadmins

Permissions

Permissions

A permission enables fine-grained delegation of rights. A permission is
a human-readable form of a 389-ds Access Control Rule, or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission may not contain other permissions.

* A permission grants access to read, write, add or delete.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. add - add a new entry to the tree
4. delete - delete an existing entry
5. all - all permissions are granted

Read permission is granted for most attributes by default so the read
permission is not expected to be used very often.

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

There are a number of allowed targets:
1. type: a type of object (user, group, etc).
2. memberof: a member of a group or hostgroup
3. filter: an LDAP filter
4. subtree: an LDAP filter specifying part of the LDAP DIT. This is a
   super-set of the "type" target.
5. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership)

EXAMPLES:

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Permissions

A permission enables fine-grained delegation of rights. A permission is
a human-readable wrapper around a 389-ds Access Control Rule,
or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission may not contain other permissions.

* A permission grants access to read, write, add, delete, read, search,
  or compare.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. search - search on one or more attributes
4. compare - compare one or more attributes
5. add - add a new entry to the tree
6. delete - delete an existing entry
7. all - all permissions are granted

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

There are a number of allowed targets:
1. subtree: a DN; the permission applies to the subtree under this DN
2. target filter: an LDAP filter
3. target: DN with possible wildcards, specifies entries permission applies to

Additionally, there are the following convenience options.
Setting one of these options will set the corresponding attribute(s).
1. type: a type of object (user, group, etc); sets subtree and target filter.
2. memberof: apply to members of a group; sets target filter
3. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership); sets target.

Managed permissions

Permissions that come with IPA by default can be so-called "managed"
permissions. These have a default set of attributes they apply to,
but the administrator can add/remove individual attributes to/from the set.

Deleting or renaming a managed permission, as well as changing its target,
is not allowed.

EXAMPLES:

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Permissions that come with IPA by default can be so-called "managed"
permissions. These have a default set of attributes they apply to,
but the administrator can add/remove individual attributes to/from the set.

Ping the remote IPA server to ensure it is running.

The ping command sends an echo request to an IPA server. The server
returns its version information. This is used by an IPA client
to confirm that the server is available and accepting requests.

The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first.
If it does not respond then the client will contact any servers defined
by ldap SRV records in DNS.

EXAMPLES:

 Ping an IPA server:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping an IPA server verbosely:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Ping the remote IPA server to ensure it is running.

The ping command sends an echo request to an IPA server. The server
returns its version information. This is used by an IPA client
to confirm that the server is available and accepting requests.

The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first.
If it does not respond then the client will contact any servers defined
by ldap SRV records in DNS.

EXAMPLES:

 Ping an IPA server:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping an IPA server verbosely:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Plugin to make multiple ipa calls via one remote procedure call

To run this code in the lite-server

curl   -H "Content-Type:application/json"          -H "Accept:application/json" -H "Accept-Language:en"        --negotiate -u :          --cacert /etc/ipa/ca.crt           -d  @batch_request.json -X POST       http://localhost:8888/ipa/json

where the contents of the file batch_request.json follow the below example

{"method":"batch","params":[[
        {"method":"group_find","params":[[],{}]},
        {"method":"user_find","params":[[],{"whoami":"true","all":"true"}]},
        {"method":"user_show","params":[["admin"],{"all":true}]}
        ],{}],"id":1}

The format of the response is nested the same way.  At the top you will see
  "error": null,
    "id": 1,
    "result": {
        "count": 3,
            "results": [


And then a nested response for each IPA command method sent in the request

Plugin to make multiple ipa calls via one remote procedure call

To run this code in the lite-server

curl   -H "Content-Type:application/json"          -H "Accept:application/json" -H "Accept-Language:en"        --negotiate -u :          --cacert /etc/ipa/ca.crt           -d  @batch_request.json -X POST       http://localhost:8888/ipa/json

where the contents of the file batch_request.json follow the below example

{"method":"batch","params":[[
        {"method":"group_find","params":[[],{}]},
        {"method":"user_find","params":[[],{"whoami":"true","all":"true"}]},
        {"method":"user_show","params":[["admin"],{"all":true}]}
        ],{}],"id":1}

The format of the response is nested the same way.  At the top you will see
  "error": null,
    "id": 1,
    "result": {
        "count": 3,
            "results": [


And then a nested response for each IPA command method sent in the request


Plugins not accessible directly through the CLI, commands used internally

Privileges

A privilege combines permissions into a logical task. A permission provides
the rights to do a single task. There are some IPA operations that require
multiple permissions to succeed. A privilege is where permissions are
combined in order to perform a specific task.

For example, adding a user requires the following permissions:
 * Creating a new user entry
 * Resetting a user password
 * Adding the new user to the default IPA users group

Combining these three low-level tasks into a higher level task in the
form of a privilege named "Add User" makes it easier to manage Roles.

A privilege may not contain other privileges.

See role and permission for additional information.

Provides API introspection capabilities.

RADIUS Proxy Servers

RADIUS Proxy Servers

Manage RADIUS Proxy Servers.

IPA supports the use of an external RADIUS proxy server for krb5 OTP
authentications. This permits a great deal of flexibility when
integrating with third-party authentication services.

EXAMPLES:

 Add a new server:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Find all servers whose entries include the string "example.com":
   ipa radiusproxy-find example.com

 Examine the configuration:
   ipa radiusproxy-show MyRADIUS

 Change the secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Delete a configuration:
   ipa radiusproxy-del MyRADIUS

RE-ENROLLMENT:

Host that has been enrolled at some point, and lost its configuration (e.g. VM
destroyed) can be re-enrolled.

For more information, consult the manual pages for ipa-client-install.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

Raise the IPA Domain Level.

Realm domains

Manage the list of domains associated with IPA realm.

EXAMPLES:

 Display the current list of realm domains:
   ipa realmdomains-show

 Replace the list of realm domains:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Add a domain to the list of realm domains:
   ipa realmdomains-mod --add-domain=newdomain.com

 Delete a domain from the list of realm domains:
   ipa realmdomains-mod --del-domain=olddomain.com

Realm domains

Manage the list of domains associated with IPA realm.

This list is useful for Domain Controllers from other realms which have
established trust with this IPA realm. They need the information to know
which request should be forwarded to KDC of this IPA realm.

Automatic management: a domain is automatically added to the realm domains
list when a new DNS Zone managed by IPA is created. Same applies for deletion.

Externally managed DNS: domains which are not managed in IPA server DNS
need to be manually added to the list using ipa realmdomains-mod command.

EXAMPLES:

 Display the current list of realm domains:
   ipa realmdomains-show

 Replace the list of realm domains:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Add a domain to the list of realm domains:
   ipa realmdomains-mod --add-domain=newdomain.com

 Delete a domain from the list of realm domains:
   ipa realmdomains-mod --del-domain=olddomain.com

Removal of '%(hostname)s' leads to disconnected topology in suffix '%(suffix)s':
%(errors)s
Replication topology in suffix '%(suffix)s' is disconnected:
%(errors)s
Return information about currently authenticated identity

Who am I command returns information on how to get
more details about the identity authenticated for this
request. The information includes:

 * type of object
 * command to retrieve details of the object
 * arguments and options to pass to the command

The information is returned as a dictionary. Examples below use
'key: value' output for illustrative purposes.

EXAMPLES:

 Look up as IPA user:
   kinit admin
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: user
   command: user_show/1
   arguments: admin
   ------------------------------------------

 Look up as a user from a trusted domain:
   kinit user@AD.DOMAIN
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: idoverrideuser
   command: idoverrideuser_show/1
   arguments: ('default trust view', 'user@ad.domain')
   ------------------------------------------

 Look up as a host:
   kinit -k
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: host
   command: host_show/1
   arguments: ipa.example.com
   ------------------------------------------

 Look up as a Kerberos service:
   kinit -k -t /path/to/keytab HTTP/ipa.example.com
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: service
   command: service_show/1
   arguments: HTTP/ipa.example.com
   ------------------------------------------

Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. search - search on one or more attributes
4. compare - compare one or more attributes
5. add - add a new entry to the tree
6. delete - delete an existing entry
7. all - all permissions are granted

Roles

A role is used for fine-grained delegation. A permission grants the ability
to perform given low-level tasks (add a user, modify a group, etc.). A
privilege combines one or more permissions into a higher-level abstraction
such as useradmin. A useradmin would be able to add, delete and modify users.

Privileges are assigned to Roles.

Users, groups, hosts and hostgroups may be members of a Role.

Roles can not contain other roles.

EXAMPLES:

 Add a new role:
   ipa role-add --desc="Junior-level admin" junioradmin

 Add some privileges to this role:
   ipa role-add-privilege --privileges=addusers junioradmin
   ipa role-add-privilege --privileges=change_password junioradmin
   ipa role-add-privilege --privileges=add_user_to_default_group junioradmin

 Add a group of users to this role:
   ipa group-add --desc="User admins" useradmins
   ipa role-add-member --groups=useradmins junioradmin

 Display information about a role:
   ipa role-show junioradmin

 The result of this is that any users in the group 'junioradmin' can
 add users, reset passwords or add a user to the default IPA user group.

SEARCHING:

SELinux User Mapping

Map IPA users to SELinux users by host.

Hosts, hostgroups, users and groups can be either defined within
the rule or it may point to an existing HBAC rule. When using
--hbacrule option to selinuxusermap-find an exact match is made on the
HBAC rule name, so only one or zero entries will be returned.

EXAMPLES:

 Create a rule, "test1", that sets all users to xguest_u:s0 on the host "server":
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

 Create a rule, "test2", that sets all users to guest_u:s0 and uses an existing HBAC rule for users and hosts:
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2

 Display the properties of a rule:
   ipa selinuxusermap-show test2

 Create a rule for a specific user. This sets the SELinux context for
 user john to unconfined_u:s0-s0:c0.c1023 on any machine:
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Disable a rule:
   ipa selinuxusermap-disable test1

 Enable a rule:
   ipa selinuxusermap-enable test1

 Find a rule referencing a specific HBAC rule:
   ipa selinuxusermap-find --hbacrule=allow_some

 Remove a rule:
   ipa selinuxusermap-del john_unconfined

SEEALSO:

 The list controlling the order in which the SELinux user map is applied
 and the default SELinux user are available in the config-show command.

SUPPORTED ZONE TYPES

 * Master zone (dnszone-*), contains authoritative data.
 * Forward zone (dnsforwardzone-*), forwards queries to configured forwarders
 (a set of DNS servers).

Search for ACIs.

    Returns a list of ACIs

    EXAMPLES:

     To find all ACIs that apply directly to members of the group ipausers:
       ipa aci-find --memberof=ipausers

     To find all ACIs that grant add access:
       ipa aci-find --permissions=add

    Note that the find command only looks for the given text in the set of
    ACIs, it does not evaluate the ACIs to see if something would apply.
    For example, searching on memberof=ipausers will find all ACIs that
    have ipausers as a memberof. There may be other ACIs that apply to
    members of that group indirectly.
    
Self-service Permissions

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

A Self-service permission defines what an object can change in its own entry.


EXAMPLES:

 Add a self-service rule to allow users to manage their address (using Bash
 brace expansion):
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones.
 Add telephoneNumber to the list (using Bash brace expansion):
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address"

 Display our updated rule:
   ipa selfservice-show "Users manage their own address"

 Delete a rule:
   ipa selfservice-del "Users manage their own address"

Self-service Permissions

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

A Self-service permission defines what an object can change in its own entry.


EXAMPLES:

 Add a self-service rule to allow users to manage their address:
   ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add telephoneNumber to the list:
   ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address"

 Display our updated rule:
   ipa selfservice-show "Users manage their own address"

 Delete a rule:
   ipa selfservice-del "Users manage their own address"

Server configuration

Manage the default values that IPA uses and some of its tuning parameters.

NOTES:

The password notification value (--pwdexpnotify) is stored here so it will
be replicated. It is not currently used to notify users in advance of an
expiring password.

Some attributes are read-only, provided only for information purposes. These
include:

Certificate Subject base: the configured certificate subject base,
  e.g. O=EXAMPLE.COM.  This is configurable only at install time.
Password plug-in features: currently defines additional hashes that the
  password will generate (there may be other conditions).

When setting the order list for mapping SELinux users you may need to
quote the value so it isn't interpreted by the shell.

EXAMPLES:

 Show basic server configuration:
   ipa config-show

 Show all configuration options:
   ipa config-show --all

 Change maximum username length to 99 characters:
   ipa config-mod --maxusername=99

 Increase default time and size limits for maximum IPA server search:
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Set default user e-mail domain:
   ipa config-mod --emaildomain=example.com

 Enable migration mode to make "ipa migrate-ds" command operational:
   ipa config-mod --enable-migration=TRUE

 Define SELinux user map order:
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Server configuration

Manage the default values that IPA uses and some of its tuning parameters.

NOTES:

The password notification value (--pwdexpnotify) is stored here so it will
be replicated. It is not currently used to notify users in advance of an
expiring password.

Some attributes are read-only, provided only for information purposes. These
include:

Certificate Subject base: the configured certificate subject base,
  e.g. O=EXAMPLE.COM.  This is configurable only at install time.
Password plug-in features: currently defines additional hashes that the
  password will generate (there may be other conditions).

When setting the order list for mapping SELinux users you may need to
quote the value so it isn't interpreted by the shell.

The maximum length of a hostname in Linux is controlled by
MAXHOSTNAMELEN in the kernel and defaults to 64. Some other operating
systems, Solaris for example, allows hostnames up to 255 characters.
This option will allow flexibility in length but by default limiting
to the Linux maximum length.

EXAMPLES:

 Show basic server configuration:
   ipa config-show

 Show all configuration options:
   ipa config-show --all

 Change maximum username length to 99 characters:
   ipa config-mod --maxusername=99

 Change maximum host name length to 255 characters:
   ipa config-mod --maxhostname=255

 Increase default time and size limits for maximum IPA server search:
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Set default user e-mail domain:
   ipa config-mod --emaildomain=example.com

 Enable migration mode to make "ipa migrate-ds" command operational:
   ipa config-mod --enable-migration=TRUE

 Define SELinux user map order:
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Service Constrained Delegation

Manage rules to allow constrained delegation of credentials so
that a service can impersonate a user when communicating with another
service without requiring the user to actually forward their TGT.
This makes for a much better method of delegating credentials as it
prevents exposure of the short term secret of the user.

The naming convention is to append the word "target" or "targets" to
a matching rule name. This is not mandatory but helps conceptually
to associate rules and targets.

A rule consists of two things:
  - A list of targets the rule applies to
  - A list of memberPrincipals that are allowed to delegate for
    those targets

A target consists of a list of principals that can be delegated.

In English, a rule says that this principal can delegate as this
list of principals, as defined by these targets.

EXAMPLES:

 Add a new constrained delegation rule:
   ipa servicedelegationrule-add ftp-delegation

 Add a new constrained delegation target:
   ipa servicedelegationtarget-add ftp-delegation-target

 Add a principal to the rule:
   ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com       ftp-delegation

 Add our target to the rule:
   ipa servicedelegationrule-add-target       --servicedelegationtargets=ftp-delegation-target ftp-delegation

 Add a principal to the target:
   ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com       ftp-delegation-target

 Display information about a named delegation rule and target:
   ipa servicedelegationrule_show ftp-delegation
   ipa servicedelegationtarget_show ftp-delegation-target

 Remove a constrained delegation:
   ipa servicedelegationrule-del ftp-delegation-target
   ipa servicedelegationtarget-del ftp-delegation

In this example the ftp service can get a TGT for the ldap service on
the bound user's behalf.

It is strongly discouraged to modify the delegations that ship with
IPA, ipa-http-delegation and its targets ipa-cifs-delegation-targets and
ipa-ldap-delegation-targets. Incorrect changes can remove the ability
to delegate, causing the framework to stop functioning.

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

   A typical use case where overriding the PAC type is needed is NFS.
   Currently the related code in the Linux kernel can only handle Kerberos
   tickets up to a maximal size. Since the PAC data can become quite large it
   is recommended to set --pac-type=NONE for NFS services.

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

   A typical use case where overriding the PAC type is needed is NFS.
   Currently the related code in the Linux kernel can only handle Kerberos
   tickets up to a maximal size. Since the PAC data can become quite large it
   is recommended to set --pac-type=NONE for NFS services.

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Allow user to create a keytab:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Session Support for IPA

Session Support for IPA
John Dennis <jdennis@redhat.com>

Goals
=====

Provide per-user session data caching which persists between
requests. Desired features are:

* Integrates cleanly with minimum impact on existing infrastructure.

* Provides maximum security balanced against real-world performance
  demands.

* Sessions must be able to be revoked (flushed).

* Should be flexible and easy to use for developers.

* Should leverage existing technology and code to the maximum extent
  possible to avoid re-invention, excessive implementation time and to
  benefit from robustness in field proven components commonly shared
  in the open source community.

* Must support multiple independent processes which share session
  data.

* System must function correctly if session data is available or not.

* Must be high performance.

* Should not be tied to specific web servers or browsers. Should
  integrate with our chosen WSGI model.

Issues
======

Cookies
-------

Most session implementations are based on the use of cookies. Cookies
have some inherent problems.

* User has the option to disable cookies.

* User stored cookie data is not secure. Can be mitigated by setting
  flags indicating the cookie is only to be used with SSL secured HTTP
  connections to specific web resources and setting the cookie to
  expire at session termination. Most modern browsers enforce these.

Where to store session data?
----------------------------

Session data may be stored on either on the client or on the
server. Storing session data on the client addresses the problem of
session data availability when requests are serviced by independent web
servers because the session data travels with the request. However
there are data size limitations. Storing session data on the client
also exposes sensitive data but this can be mitigated by encrypting
the session data such that only the server can decrypt it.

The more conventional approach is to bind session data to a unique
name, the session ID. The session ID is transmitted to the client and
the session data is paired with the session ID on the server in a
associative data store. The session data is retrieved by the server
using the session ID when the receiving the request. This eliminates
exposing sensitive session data on the client along with limitations
on data size. It however introduces the issue of session data
availability when requests are serviced by more than one server
process.

Multi-process session data availability
---------------------------------------

Apache (and other web servers) fork child processes to handle requests
in parallel. Also web servers may be deployed in a farm where requests
are load balanced in round robin fashion across different nodes. In
both cases session data cannot be stored in the memory of a server
process because it is not available to other processes, either sibling
children of a master server process or server processes on distinct
nodes.

Typically this is addressed by storing session data in a SQL
database. When a request is received by a server process containing a
session ID in it's cookie data the session ID is used to perform a SQL
query and the resulting data is then attached to the request as it
proceeds through the request processing pipeline. This of course
introduces coherency issues.

For IPA the introduction of a SQL database dependency is undesired and
should be avoided.

Session data may also be shared by independent processes by storing
the session data in files.

An alternative solution which has gained considerable popularity
recently is the use of a fast memory based caching server. Data is
stored in a single process memory and may be queried and set via a
light weight protocol using standard socket mechanisms, memcached is
one example. A typical use is to optimize SQL queries by storing a SQL
result in shared memory cache avoiding the more expensive SQL
operation. But the memory cache has distinct advantages in non-SQL
situations as well.

Possible implementations for use by IPA
=======================================

Apache Sessions
---------------

Apache has 2.3 has implemented session support via these modules:

  mod_session
    Overarching session support based on cookies.

    See: http://httpd.apache.org/docs/2.3/mod/mod_session.html

  mod_session_cookie
    Stores session data in the client.

    See: http://httpd.apache.org/docs/2.3/mod/mod_session_cookie.html

  mod_session_crypto
    Encrypts session data for security. Encryption key is shared
    configuration parameter visible to all Apache processes and is
    stored in a configuration file.

    See: http://httpd.apache.org/docs/2.3/mod/mod_session_crypto.html

  mod_session_dbd
    Stores session data in a SQL database permitting multiple
    processes to access and share the same session data.

    See: http://httpd.apache.org/docs/2.3/mod/mod_session_dbd.html

Issues with Apache sessions
~~~~~~~~~~~~~~~~~~~~~~~~~~~

Although Apache has implemented generic session support and Apache is
our web server of preference it nonetheless introduces issues for IPA.

  * Session support is only available in httpd >= 2.3 which at the
    time of this writing is currently only available as a Beta release
    from upstream. We currently only ship httpd 2.2, the same is true
    for other distributions.

  * We could package and ship the sessions modules as a temporary
    package in httpd 2.2 environments. But this has the following
    consequences:

      - The code has to be backported. the module API has changed
        slightly between httpd 2.2 and 2.3. The backporting is not
        terribly difficult and a proof of concept has been
        implemented.

      - We would then be on the hook to package and maintain a special
        case Apache package. This is maintenance burden as well as a
        distribution packaging burden. Both of which would be best
        avoided if possible.

  * The design of the Apache session modules is such that they can
    only be manipulated by other Apache modules. The ability of
    consumers of the session data to control the session data is
    simplistic, constrained and static during the period the request
    is processed. Request handlers which are not native Apache modules
    (e.g. IPA via WSGI) can only examine the session data
    via request headers and reset it in response headers.

  * Shared session data is available exclusively via SQL.

However using the 2.3 Apache session modules would give us robust
session support implemented in C based on standardized Apache
interfaces which are widely used.

Python Web Frameworks
---------------------

Virtually every Python web framework supports cookie based sessions,
e.g. Django, Twisted, Zope, Turbogears etc. Early on in IPA we decided
to avoid the use of these frameworks. Trying to pull in just one part
of these frameworks just to get session support would be problematic
because the code does not function outside it's framework.

IPA implemented sessions
------------------------

Originally it was believed the path of least effort was to utilize
existing session support, most likely what would be provided by
Apache. However there are enough basic modular components available in
native Python and other standard packages it should be possible to
provide session support meeting the aforementioned goals with a modest
implementation effort. Because we're leveraging existing components
the implementation difficulties are subsumed by other components which
have already been field proven and have community support. This is a
smart strategy.

Proposed Solution
=================

Our interface to the web server is via WSGI which invokes a callback
per request passing us an environmental context for the request. For
this discussion we'll name the WSGI callback "application()", a
conventional name in WSGI parlance.

Shared session data will be handled by memcached. We will create one
instance of memcached on each server node dedicated to IPA
exclusively. Communication with memcached will be via a UNIX socket
located in the file system under /var/run/ipa_memcached. It will be
protected by file permissions and optionally SELinux policy.

In application() we examine the request cookies and if there is an IPA
session cookie with a session ID we retrieve the session data from our
memcached instance.

The session data will be a Python dict. IPA components will read or
write their session information by using a pre-agreed upon name
(e.g. key) in the dict. This is a very flexible system and consistent
with how we pass data in most parts of IPA.

If the session data is not available an empty session data dict will
be created.

How does this session data travel with the request in the IPA
pipeline? In IPA we use the HTTP request/response to implement RPC. In
application() we convert the request into a procedure call passing it
arguments derived from the HTTP request. The passed parameters are
specific to the RPC method being invoked. The context the RPC call is
executing in is not passed as an RPC parameter.

How would the contextual information such as session data be bound to
the request and hence the RPC call?

In IPA when a RPC invocation is being prepared from a request we
recognize this will only ever be processed serially by one Python
thread. A thread local dict called "context" is allocated for each
thread. The context dict is cleared in between requests (e.g. RPC method
invocations). The per-thread context dict is populated during the
lifetime of the request and is used as a global data structure unique to
the request that various IPA component can read from and write to with
the assurance the data is unique to the current request and/or method
call.

The session data dict will be written into the context dict under the
session key before the RPC method begins execution. Thus session data
can be read and written by any IPA component by accessing
``context.session``.

When the RPC method finishes execution the session data bound to the
request/method is retrieved from the context and written back to the
memcached instance. The session ID is set in the response sent back to
the client in the ``Set-Cookie`` header along with the flags
controlling it's usage.

Issues and details
------------------

IPA code cannot depend on session data being present, however it
should always update session data with the hope it will be available
in the future. Session data may not be available because:

  * This is the first request from the user and no session data has
    been created yet.

  * The user may have cookies disabled.

  * The session data may have been flushed. memcached operates with
    a fixed memory allocation and will flush entries on a LRU basis,
    like with any cache there is no guarantee of persistence.

    Also we may have have deliberately expired or deleted session
    data, see below.

Cookie manipulation is done via the standard Python Cookie module.

Session cookies will be set to only persist as long as the browser has
the session open. They will be tagged so the browser only returns
the session ID on SSL secured HTTP requests. They will not be visible
to Javascript in the browser.

Session ID's will be created by using 48 bits of random data and
converted to 12 hexadecimal digits. Newly generated session ID's will
be checked for prior existence to handle the unlikely case the random
number repeats.

memcached will have significantly higher performance than a SQL or file
based storage solution. Communication is effectively though a pipe
(UNIX socket) using a very simple protocol and the data is held
entirely in process memory. memcached also scales easily, it is easy
to add more memcached processes and distribute the load across them.
At this point in time we don't anticipate the need for this.

A very nice feature of the Python memcached module is that when a data
item is written to the cache it is done with standard Python pickling
(pickling is a standard Python mechanism to marshal and unmarshal
Python objects). We adopt the convention the object written to cache
will be a dict to meet our internal data handling conventions. The
pickling code will recursively handle nested objects in the dict. Thus
we gain a lot of flexibility using standard Python data structures to
store and retrieve our session data without having to author and debug
code to marshal and unmarshal the data if some other storage mechanism
had been used. This is a significant implementation win. Of course
some common sense limitations need to observed when deciding on what
is written to the session cache keeping in mind the data is shared
between processes and it should not be excessively large (a
configurable option)

We can set an expiration on memcached entries. We may elect to do that
to force session data to be refreshed periodically. For example we may
wish the client to present fresh credentials on a periodic basis even
if the cached credentials are otherwise within their validity period.

We can explicitly delete session data if for some reason we believe it
is stale, invalid or compromised.

memcached also gives us certain facilities to prevent race conditions
between different processes utilizing the cache. For example you can
check of the entry has been modified since you last read it or use CAS
(Check And Set) semantics. What has to be protected in terms of cache
coherency will likely have to be determined as the session support is
utilized and different data items are added to the cache. This is very
much data and context specific. Fortunately memcached operations are
atomic.

Controlling the memcached process
---------------------------------

We need a mechanism to start the memcached process and secure it so
that only IPA components can access it.

Although memcached ships with both an initscript and systemd unit
files those are for generic instances. We want a memcached instance
dedicated exclusively to IPA usage. To accomplish this we would install
a systemd unit file or an SysV initscript to control the IPA specific
memcached service. ipactl would be extended to know about this
additional service. systemd's cgroup facility would give us additional
mechanisms to integrate the IPA memcached service within a larger IPA
process group.

Protecting the memcached data would be done via file permissions (and
optionally SELinux policy) on the UNIX domain socket. Although recent
implementations of memcached support authentication via SASL this
introduces a performance and complexity burden not warranted when
cached is dedicated to our exclusive use and access controlled by OS
mechanisms.

Conventionally daemons are protected by assigning a system uid and/or
gid to the daemon. A daemon launched by root will drop it's privileges
by assuming the effective uid:gid assigned to it. File system access
is controlled by the OS via the effective identity and SELinux policy
can be crafted based on the identity. Thus the memcached UNIX socket
would be protected by having it owned by a specific system user and/or
membership in a restricted system group (discounting for the moment
SELinux).

Unfortunately we currently do not have an IPA system uid whose
identity our processes operate under nor do we have an IPA system
group. IPA does manage a collection of related processes (daemons) and
historically each has been assigned their own uid. When these
unrelated processes communicate they mutually authenticate via other
mechanisms. We do not have much of a history of using shared file
system objects across identities. When file objects are created they
are typically assigned the identity of daemon needing to access the
object and are not accessed by other daemons, or they carry root
identity.

When our WSGI application runs in Apache it is run as a WSGI
daemon. This means when Apache starts up it forks off WSGI processes
for us and we are independent of other Apache processes. When WSGI is
run in this mode there is the ability to set the uid:gid of the WSGI
process hosting us, however we currently do not take advantage of this
option. WSGI can be run in other modes as well, only in daemon mode
can the uid:gid be independently set from the rest of Apache. All
processes started by Apache can be set to a common uid:gid specified
in the global Apache configuration, by default it's
apache:apache. Thus when our IPA code executes it is running as
apache:apache.

To protect our memcached UNIX socket we can do one of two things:

1. Assign it's uid:gid as apache:apache. This would limit access to
   our cache only to processes running under httpd. It's somewhat
   restricted but far from ideal. Any code running in the web server
   could potentially access our cache. It's difficult to control what the
   web server runs and admins may not understand the consequences of
   configuring httpd to serve other things besides IPA.

2. Create an IPA specific uid:gid, for example ipa:ipa. We then configure
   our WSGI application to run as the ipa:ipa user and group. We also
   configure our memcached instance to run as the ipa:ipa user and
   group. In this configuration we are now fully protected, only our WSGI
   code can read & write to our memcached UNIX socket.

However there may be unforeseen issues by converting our code to run as
something other than apache:apache. This would require some
investigation and testing.

IPA is dependent on other system daemons, specifically Directory
Server (ds) and Certificate Server (cs). Currently we configure ds to
run under the dirsrv:dirsrv user and group, an identity of our
creation. We allow cs to default to it's pkiuser:pkiuser user and
group. Should these other cooperating daemons also run under the
common ipa:ipa user and group identities? At first blush there would
seem to be an advantage to coalescing all process identities under a
common IPA user and group identity. However these other processes do
not depend on user and group permissions when working with external
agents, processes, etc. Rather they are designed to be stand-alone
network services which authenticate their clients via other
mechanisms. They do depend on user and group permission to manage
their own file system objects. If somehow the ipa user and/or group
were compromised or malicious code somehow executed under the ipa
identity there would be an advantage in having the cooperating
processes cordoned off under their own identities providing one extra
layer of protection. (Note, these cooperating daemons may not even be
co-located on the same node in which case the issue is moot)

The UNIX socket behavior (ldapi) with Directory Server is as follows:

  * The socket ownership is: root:root

  * The socket permissions are: 0666

  * When connecting via ldapi you must authenticate as you would
    normally with a TCP socket, except ...

  * If autobind is enabled and the uid:gid is available via
    SO_PEERCRED and the uid:gid can be found in the set of users known
    to the Directory Server then that connection will be bound as that
    user.

  * Otherwise an anonymous bind will occur.

memcached UNIX socket behavior is as follows:

  * memcached can be invoked with a user argument, no group may be
    specified. The effective uid is the uid of the user argument and
    the effective gid is the primary group of the user, let's call
    this euid:egid

  * The socket ownership is: euid:egid

  * The socket permissions are 0700 by default, but this can be
    modified by the -a mask command line arg which sets the umask
    (defaults to 0700).

Overview of authentication in IPA
=================================

This describes how we currently authenticate and how we plan to
improve authentication performance. First some definitions.

There are 4 major players:

  1. client
  2. mod_auth_kerb (in Apache process)
  3. wsgi handler (in IPA wsgi python process)
  4. ds (directory server)

There are several resources:

  1. /ipa/ui (unprotected, web UI static resources)
  2. /ipa/xml (protected, xmlrpc RPC used by command line clients)
  3. /ipa/json (protected, json RPC used by javascript in web UI)
  4. ds (protected, wsgi acts as proxy, our LDAP server)

Current Model
-------------

This describes how things work in our current system for the web UI.

  1. Client requests /ipa/ui, this is unprotected, is static and
     contains no sensitive information. Apache replies with html and
     javascript. The javascript requests /ipa/json.

  2. Client sends post to /ipa/json.

  3. mod_auth_kerb is configured to protect /ipa/json, replies 401
     authenticate negotiate.

  4. Client resends with credentials

  5. mod_auth_kerb validates credentials

     a. if invalid replies 403 access denied (stops here)

     b. if valid creates temporary ccache, adds KRB5CCNAME to request
        headers

  6. Request passed to wsgi handler

     a. validates request, KRB5CCNAME must be present, referrer, etc.

     b. ccache saved and used to bind to ds

     c. routes to specified RPC handler.

  7. wsgi handler replies to client

Proposed new session based optimization
---------------------------------------

The round trip negotiate and credential validation in steps 3,4,5 is
expensive. This can be avoided if we can cache the client
credentials. With client sessions we can store the client credentials
in the session bound to the client.

A few notes about the session implementation.

  * based on session cookies, cookies must be enabled

  * session cookie is secure, only passed on secure connections, only
    passed to our URL resource, never visible to client javascript
    etc.

  * session cookie has a session id which is used by wsgi handler to
    retrieve client session data from shared multi-process cache.

Changes to Apache's resource protection
---------------------------------------

  * /ipa/json is no longer protected by mod_auth_kerb. This is
    necessary to avoid the negotiate expense in steps 3,4,5
    above. Instead the /ipa/json resource will be protected in our wsgi
    handler via the session cookie.

  * A new protected URI is introduced, /ipa/login. This resource
    does no serve any data, it is used exclusively for authentication.

The new sequence is:

  1. Client requests /ipa/ui, this is unprotected. Apache replies with
     html and javascript. The javascript requests /ipa/json.

  2. Client sends post to /ipa/json, which is unprotected.

  3. wsgi handler obtains session data from session cookie.

     a. if ccache is present in session data and is valid

        - request is further validated

        - ccache is established for bind to ds

        - request is routed to RPC handler

        - wsgi handler eventually replies to client

     b. if ccache is not present or not valid processing continues ...

  4. wsgi handler replies with 401 Unauthorized

  5. client sends request to /ipa/login to obtain session credentials

  6. mod_auth_kerb replies 401 negotiate on /ipa/login

  7. client sends credentials to /ipa/login

  8. mod_auth_kerb validates credentials

     a. if valid

        - mod_auth_kerb permits access to /ipa/login. wsgi handler is
          invoked and does the following:

          * establishes session for client

          * retrieves the ccache from KRB5CCNAME and stores it

     a. if invalid

        - mod_auth_kerb sends 403 access denied (processing stops)

  9. client now posts the same data again to /ipa/json including
     session cookie. Processing repeats starting at step 2 and since
     the session data now contains a valid ccache step 3a executes, a
     successful reply is sent to client.

Command line client using xmlrpc
--------------------------------

The above describes the web UI utilizing the json RPC mechanism. The
IPA command line tools utilize a xmlrpc RPC mechanism on the same
HTTP server. Access to the xmlrpc is via the /ipa/xml URI. The json
and xmlrpc API's are the same, they differ only on how their procedure
calls are marshalled and unmarshalled.

Under the new scheme /ipa/xml will continue to be Kerberos protected
at all times. Apache's mod_auth_kerb will continue to require the
client provides valid Kerberos credentials.

When the WSGI handler routes to /ipa/xml the Kerberos credentials will
be extracted from the KRB5CCNAME environment variable as provided by
mod_auth_kerb. Everything else remains the same.

Set a user's password

If someone other than a user changes that user's password (e.g., Helpdesk
resets it) then the password will need to be changed the first time it
is used. This is so the end-user is the only one who knows the password.

The IPA password policy controls how often a password may be changed,
what strength requirements exist, and the length of the password history.

EXAMPLES:

 To reset your own password:
   ipa passwd

 To change another user's password:
   ipa passwd tuser1

Simulate use of Host-based access controls

HBAC rules control who can access what services on what hosts and from where.
You can use HBAC to control which users or groups can access a service,
or group of services, on a target host.

Since applying HBAC rules implies use of a production environment,
this plugin aims to provide simulation of HBAC rules evaluation without
having access to the production environment.

 Test user coming to a service on a named host against
 existing enabled rules.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--srchost= ] [--sizelimit= ]

 --user, --host, and --service are mandatory, others are optional.

 If --rules is specified simulate enabling of the specified rules and test
 the login of the user using only these rules.

 If --enabled is specified, all enabled HBAC rules will be added to simulation

 If --disabled is specified, all disabled HBAC rules will be added to simulation

 If --nodetail is specified, do not return information about rules matched/not matched.

 If both --rules and --enabled are specified, apply simulation to --rules _and_
 all IPA enabled rules.

 If no --rules specified, simulation is run against all IPA enabled rules.
 By default there is a IPA-wide limit to number of entries fetched, you can change it
 with --sizelimit option.

 If --srchost is specified, it will be ignored. It is left because of compatibility reasons only.

EXAMPLES:

    1. Use all enabled HBAC rules in IPA database to simulate:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      matched: allow_all

    2. Disable detailed summary of how rules were applied:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Access granted: True
    --------------------

    3. Test explicitly specified HBAC rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule
    ---------------------
    Access granted: False
    ---------------------
      notmatched: my-second-rule
      notmatched: myrule

    4. Use all enabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule --enabled
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      matched: allow_all

    5. Test all disabled HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Access granted: False
    ---------------------
      notmatched: new-rule

    6. Test all disabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule --disabled
    ---------------------
    Access granted: False
    ---------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule

    7. Test all (enabled and disabled) HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --enabled --disabled
    --------------------
    Access granted: True
    --------------------
      notmatched: my-second-rule
      notmatched: my-third-rule
      notmatched: myrule
      notmatched: new-rule
      matched: allow_all

Simulate use of Host-based access controls

HBAC rules control who can access what services on what hosts.
You can use HBAC to control which users or groups can access a service,
or group of services, on a target host.

Since applying HBAC rules implies use of a production environment,
this plugin aims to provide simulation of HBAC rules evaluation without
having access to the production environment.

 Test user coming to a service on a named host against
 existing enabled rules.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--sizelimit= ]

 --user, --host, and --service are mandatory, others are optional.

 If --rules is specified simulate enabling of the specified rules and test
 the login of the user using only these rules.

 If --enabled is specified, all enabled HBAC rules will be added to simulation

 If --disabled is specified, all disabled HBAC rules will be added to simulation

 If --nodetail is specified, do not return information about rules matched/not matched.

 If both --rules and --enabled are specified, apply simulation to --rules _and_
 all IPA enabled rules.

 If no --rules specified, simulation is run against all IPA enabled rules.
 By default there is a IPA-wide limit to number of entries fetched, you can change it
 with --sizelimit option.

EXAMPLES:

    1. Use all enabled HBAC rules in IPA database to simulate:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    2. Disable detailed summary of how rules were applied:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Access granted: True
    --------------------

    3. Test explicitly specified HBAC rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: myrule

    4. Use all enabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule --enabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    5. Test all disabled HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: new-rule

    6. Test all disabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --rules=myrule --rules=my-second-rule --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule

    7. Test all (enabled and disabled) HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \
          --enabled --disabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Not matched rules: new-rule
      Matched rules: allow_all


HBACTEST AND TRUSTED DOMAINS

When an external trusted domain is configured in IPA, HBAC rules are also applied
on users accessing IPA resources from the trusted domain. Trusted domain users and
groups (and their SIDs) can be then assigned to external groups which can be
members of POSIX groups in IPA which can be used in HBAC rules and thus allowing
access to resources protected by the HBAC system.

hbactest plugin is capable of testing access for both local IPA users and users
from the trusted domains, either by a fully qualified user name or by user SID.
Such user names need to have a trusted domain specified as a short name
(DOMAIN\Administrator) or with a user principal name (UPN), Administrator@ad.test.

Please note that hbactest executed with a trusted domain user as --user parameter
can be only run by members of "trust admins" group.

EXAMPLES:

    1. Test if a user from a trusted domain specified by its shortname matches any
       rule:

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    2. Test if a user from a trusted domain specified by its domain name matches
       any rule:

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    3. Test if a user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    4. Test if other user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

   5. Test if other user from a trusted domain specified by its shortname matches
       any rule:

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

Simulate use of Host-based access controls

HBAC rules control who can access what services on what hosts.
You can use HBAC to control which users or groups can access a service,
or group of services, on a target host.

Since applying HBAC rules implies use of a production environment,
this plugin aims to provide simulation of HBAC rules evaluation without
having access to the production environment.

 Test user coming to a service on a named host against
 existing enabled rules.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--sizelimit= ]

 --user, --host, and --service are mandatory, others are optional.

 If --rules is specified simulate enabling of the specified rules and test
 the login of the user using only these rules.

 If --enabled is specified, all enabled HBAC rules will be added to simulation

 If --disabled is specified, all disabled HBAC rules will be added to simulation

 If --nodetail is specified, do not return information about rules matched/not matched.

 If both --rules and --enabled are specified, apply simulation to --rules _and_
 all IPA enabled rules.

 If no --rules specified, simulation is run against all IPA enabled rules.
 By default there is a IPA-wide limit to number of entries fetched, you can change it
 with --sizelimit option.

EXAMPLES:

    1. Use all enabled HBAC rules in IPA database to simulate:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    2. Disable detailed summary of how rules were applied:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Access granted: True
    --------------------

    3. Test explicitly specified HBAC rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
          --rules=myrule --rules=my-second-rule
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: myrule

    4. Use all enabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
          --rules=myrule --rules=my-second-rule --enabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Matched rules: allow_all

    5. Test all disabled HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: new-rule

    6. Test all disabled HBAC rules in IPA database + explicitly specified rules:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
          --rules=myrule --rules=my-second-rule --disabled
    ---------------------
    Access granted: False
    ---------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule

    7. Test all (enabled and disabled) HBAC rules in IPA database:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
          --enabled --disabled
    --------------------
    Access granted: True
    --------------------
      Not matched rules: my-second-rule
      Not matched rules: my-third-rule
      Not matched rules: myrule
      Not matched rules: new-rule
      Matched rules: allow_all


HBACTEST AND TRUSTED DOMAINS

When an external trusted domain is configured in IPA, HBAC rules are also applied
on users accessing IPA resources from the trusted domain. Trusted domain users and
groups (and their SIDs) can be then assigned to external groups which can be
members of POSIX groups in IPA which can be used in HBAC rules and thus allowing
access to resources protected by the HBAC system.

hbactest plugin is capable of testing access for both local IPA users and users
from the trusted domains, either by a fully qualified user name or by user SID.
Such user names need to have a trusted domain specified as a short name
(DOMAIN\Administrator) or with a user principal name (UPN), Administrator@ad.test.

Please note that hbactest executed with a trusted domain user as --user parameter
can be only run by members of "trust admins" group.

EXAMPLES:

    1. Test if a user from a trusted domain specified by its shortname matches any
       rule:

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    2. Test if a user from a trusted domain specified by its domain name matches
       any rule:

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    3. Test if a user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \\
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Matched rules: can_login

    4. Test if other user from a trusted domain specified by its SID matches any rule:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \\
            --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

   5. Test if other user from a trusted domain specified by its shortname matches
       any rule:

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Access granted: True
    --------------------
      Matched rules: allow_all
      Not matched rules: can_login

Stageusers

Manage stage user entries.

Stage user entries are directly under the container: "cn=stage users,
cn=accounts, cn=provisioning, SUFFIX".
User can not authenticate with those entries (even if the entries
contain credentials) and are candidate to become Active entries.

Active user entries are Posix users directly under the container: "cn=accounts, SUFFIX".
User can authenticate with Active entries, at the condition they have
credentials

Delete user entries are Posix users directly under the container: "cn=deleted users,
cn=accounts, cn=provisioning, SUFFIX".
User can not authenticate with those entries (even if the entries contain credentials)

The stage user container contains entries
    - created by 'stageuser-add' commands that are Posix users
    - created by external provisioning system

A valid stage user entry MUST:
    - entry RDN is 'uid'
    - ipaUniqueID is 'autogenerate'

IPA supports a wide range of username formats, but you need to be aware of any
restrictions that may apply to your particular environment. For example,
usernames that start with a digit or usernames that exceed a certain length
may cause problems for some UNIX systems.
Use 'ipa config-mod' to change the username format allowed by IPA tools.


EXAMPLES:

 Add a new stageuser:
   ipa stageuser-add --first=Tim --last=User --password tuser1

 Add a stageuser from the Delete container
   ipa stageuser-add  --first=Tim --last=User --from-delete tuser1

Standard vault uses a secure mechanism to transport and
store the secret. The secret can only be retrieved by users
that have access to the vault.

Subordinate Certificate Authorities (Sub-CAs) can be added for scoped issuance
of X.509 certificates.

Sudo (su "do") allows a system administrator to delegate authority to
give certain users (or groups of users) the ability to run some (or all)
commands as root or another user while providing an audit trail of the
commands and their arguments.

Sudo Commands

Commands used as building blocks for sudo

EXAMPLES:

 Create a new command
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Remove a command
   ipa sudocmd-del /usr/bin/less

Sudo Commands

Commands used as building blocks for sudo

EXAMPLES:

 Create a new command
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Remove a command
   ipa sudocmd-del /usr/bin/less


Sudo Rules

Symmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a password before transport.
The secret can only be retrieved using the same password.

The automember-rebuild command can be used to retroactively run automember rules
against existing entries, thus rebuilding their membership.

The date format is YYYY-mm-dd.

The dogtag CA uses just the CN value of the CSR and forces the rest of the
subject to values configured in the server.

The following revocation reasons are supported:


The status of a role is either enabled, configured, or absent.

There are a number of allowed targets:
1. subtree: a DN; the permission applies to the subtree under this DN
2. target filter: an LDAP filter
3. target: DN with possible wildcards, specifies entries permission applies to

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

This code is an extension to the otptoken plugin and provides support for
reading/writing YubiKey tokens directly.

To enable the binddn run the following command to set the password:
LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -H ldap://ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

To verify that no server is disconnected in the topology of the given suffix,
use:
  ipa topologysuffix-verify $suffix

Topology

Management of a replication topology at domain level 1.

Topology

Management of a replication topology at domain level 1.

IPA server's data is stored in LDAP server in two suffixes:
* domain suffix, e.g., 'dc=example,dc=com', contains all domain related data
* ca suffix, 'o=ipaca', is present only on server with CA installed. It
  contains data for Certificate Server component

Data stored on IPA servers is replicated to other IPA servers. The way it is
replicated is defined by replication agreements. Replication agreements needs
to be set for both suffixes separately. On domain level 0 they are managed
using ipa-replica-manage and ipa-csreplica-manage tools. With domain level 1
they are managed centrally using `ipa topology*` commands.

Agreements are represented by topology segments. By default topology segment
represents 2 replication agreements - one for each direction, e.g., A to B and
B to A. Creation of unidirectional segments is not allowed.

To verify that no server is disconnected in the topology of the given suffix,
use:
  ipa topologysuffix-verify $suffix


Examples:
  Find all IPA servers:
    ipa server-find

  Find all suffixes:
    ipa topologysuffix-find

  Add topology segment to 'domain' suffix:
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Add topology segment to 'ca' suffix:
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  List all topology segments in 'domain' suffix:
    ipa topologysegment-find domain

  List all topology segments in 'ca' suffix:
    ipa topologysegment-find ca

  Delete topology segment in 'domain' suffix:
    ipa topologysegment-del domain segment_name

  Delete topology segment in 'ca' suffix:
    ipa topologysegment-del ca segment_name

  Verify topology of 'domain' suffix:
    ipa topologysuffix-verify domain

  Verify topology of 'ca' suffix:
    ipa topologysuffix-verify ca

Topology

Management of a replication topology.

Requires minimum domain level 1.

USING STRUCTURED PER-TYPE OPTIONS

Unlock a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.
    
User vaults are vaults owned used by a particular user. Private
vaults are vaults owned the current user. Service vaults are
vaults owned by a service. Shared vaults are owned by the admin
but they can be used by other users or services.

Users

Manage user entries. All users are POSIX users.

IPA supports a wide range of username formats, but you need to be aware of any
restrictions that may apply to your particular environment. For example,
usernames that start with a digit or usernames that exceed a certain length
may cause problems for some UNIX systems.
Use 'ipa config-mod' to change the username format allowed by IPA tools.

Disabling a user account prevents that user from obtaining new Kerberos
credentials. It does not invalidate any credentials that have already
been issued.

Password management is not a part of this module. For more information
about this topic please see: ipa help passwd

Account lockout on password failure happens per IPA master. The user-status
command can be used to identify which master the user is locked out on.
It is on that master the administrator must unlock the user.

EXAMPLES:

 Add a new user:
   ipa user-add --first=Tim --last=User --password tuser1

 Find all users whose entries include the string "Tim":
   ipa user-find Tim

 Find all users with "Tim" as the first name:
   ipa user-find --first=Tim

 Disable a user account:
   ipa user-disable tuser1

 Enable a user account:
   ipa user-enable tuser1

 Delete a user:
   ipa user-del tuser1

Vault is a secure place to store a secret. One vault can only
store one secret. When archiving a secret in a vault, the
existing secret (if any) is overwritten.

Vaults

Vaults

Manage vaults.

Vault is a secure place to store a secret.

Based on the ownership there are three vault categories:
* user/private vault
* service vault
* shared vault

User vaults are vaults owned used by a particular user. Private
vaults are vaults owned the current user. Service vaults are
vaults owned by a service. Shared vaults are owned by the admin
but they can be used by other users or services.

Based on the security mechanism there are three types of
vaults:
* standard vault
* symmetric vault
* asymmetric vault

Standard vault uses a secure mechanism to transport and
store the secret. The secret can only be retrieved by users
that have access to the vault.

Symmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a password before transport.
The secret can only be retrieved using the same password.

Asymmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a public key before transport.
The secret can only be retrieved using the private key.

EXAMPLES:

 List vaults:
   ipa vault-find
       [--user <user>|--service <service>|--shared]

 Add a standard vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type standard

 Add a symmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type symmetric --password-file password.txt

 Add an asymmetric vault:
   ipa vault-add <name>
       [--user <user>|--service <service>|--shared]
       --type asymmetric --public-key-file public.pem

 Show a vault:
   ipa vault-show <name>
       [--user <user>|--service <service>|--shared]

 Modify vault description:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --desc <description>

 Modify vault type:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --type <type>
       [old password/private key]
       [new password/public key]

 Modify symmetric vault password:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --change-password
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password <old password>
       --new-password <new password>
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --old-password-file <old password file>
       --new-password-file <new password file>

 Modify asymmetric vault keys:
   ipa vault-mod <name>
       [--user <user>|--service <service>|--shared]
       --private-key-file <old private key file>
       --public-key-file <new public key file>

 Delete a vault:
   ipa vault-del <name>
       [--user <user>|--service <service>|--shared]

 Display vault configuration:
   ipa vaultconfig-show

 Archive data into standard vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Archive data into symmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>
       --password-file password.txt

 Archive data into asymmetric vault:
   ipa vault-archive <name>
       [--user <user>|--service <service>|--shared]
       --in <input file>

 Retrieve data from standard vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>

 Retrieve data from symmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file>
       --password-file password.txt

 Retrieve data from asymmetric vault:
   ipa vault-retrieve <name>
       [--user <user>|--service <service>|--shared]
       --out <output file> --private-key-file private.pem

 Add vault owners:
   ipa vault-add-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>]  [--groups <groups>] [--services <services>]

 Delete vault owners:
   ipa vault-remove-owner <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Add vault members:
   ipa vault-add-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

 Delete vault members:
   ipa vault-remove-member <name>
       [--user <user>|--service <service>|--shared]
       [--users <users>] [--groups <groups>] [--services <services>]

Verify replication topology for suffix.

Checks done:
  1. check if a topology is not disconnected. In other words if there are
     replication paths between all servers.
  2. check if servers don't have more than the recommended number of
     replication agreements

Verify replication topology for suffix.

Checks done:
  1. check if a topology is not disconnected. In other words if there are
     replication paths between all servers.
  2. check if servers don't have more than the recommended number of
     replication agreements
    
When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

When searching on dates the _from date does a >= search and the _to date
does a <= search. When combined these are done as an AND.

YubiKey Tokens

YubiKey Tokens

Manage YubiKey tokens.

This code is an extension to the otptoken plugin and provides support for
reading/writing YubiKey tokens directly.

EXAMPLES:

 Add a new token:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

http://www.ietf.org/rfc/rfc5280.txt

    * 0 - unspecified
    * 1 - keyCompromise
    * 10 - aACompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
  ipa <command> --help -8 '${cn}' Alternatively, following servers are capable of running this command: %(masters)s"%s" is not a valid permission type"%s" is not an object type${count} certificate(s) present${count} item(s) added${count} item(s) deleted${count} item(s) disabled${count} item(s) enabled${count} item(s) removed${count} option(s) removed${count} user(s) activated${count} user(s) restored${count} users(s) staged${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} applies to:${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:${primary_key} overrides:${product}, version: ${version}%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(command_name)s: %(oname)s not found%(container)s LDAP search did not return any result (search base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d CA ACL matched%(count)d CA ACLs matched%(count)d CA matched%(count)d CAs matched%(count)d Certificate Identity Mapping Rule matched%(count)d Certificate Identity Mapping Rules matched%(count)d DNS server matched%(count)d DNS servers matched%(count)d Group ID override matched%(count)d Group ID overrides matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d ID View matched%(count)d ID Views matched%(count)d ID override matched%(count)d ID overrides matched%(count)d IPA location matched%(count)d IPA locations matched%(count)d IPA server matched%(count)d IPA servers matched%(count)d OTP token matched%(count)d OTP tokens matched%(count)d RADIUS proxy server matched%(count)d RADIUS proxy servers matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d User ID override matched%(count)d User ID overrides matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d certificate matched%(count)d certificates matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d profile matched%(count)d profiles matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d segment matched%(count)d segments matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service delegation rule matched%(count)d service delegation rules matched%(count)d service delegation target matched%(count)d service delegation targets matched%(count)d service matched%(count)d services matched%(count)d topology suffix matched%(count)d topology suffixes matched%(count)d trust matched%(count)d trusts matched%(count)d user matched%(count)d users matched%(count)d variables%(count)d vault matched%(count)d vaults matched%(count)s server matched%(count)s servers matched%(count)s server role matched%(count)s server roles matched%(count)s user matched%(count)s users matched%(cver)s client incompatible with %(sver)s server at '%(server)s'%(desc)s: %(info)s%(exception)s%(filename)s: file not found%(host)s failed%(host)s failed: %(error)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(label)s %(key)s cannot be deleted/modified: %(reason)s%(line)s%(metaobject)s: %(oname)s not found%(name)s certificate is not valid%(obj)s default attribute %(attr)s would not be allowed!%(oname)s with name "%(pkey)s" already exists%(operation)s is not supported for %(principal_type)s principals%(otype)s "%(oname)s" not found%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(subject)s: Malformed certificate. %(reason)s%(task)s LDAP task timeout, Task DN: '%(task_dn)s'%(type)s category cannot be set to 'all' while there are allowed %(objects)s%(user)s is not a POSIX user%(value)s%i CA added.%i CA removed.%i CAs added.%i CAs removed.%i host or hostgroup added.%i host or hostgroup removed.%i hosts or hostgroups added.%i hosts or hostgroups removed.%i profile added.%i profile removed.%i profiles added.%i profiles removed.%i service added.%i service removed.%i services added.%i services removed.%i user or group added.%i user or group removed.%i users or groups added.%i users or groups removed.%s%s Record%s is not a valid attribute.%s record%s to add%s to exclude from migration%s to remove%s: RADIUS proxy server not found%s: group not found%s: user is already preserved'${port}' is not a valid port'%(attr)s' already contains one or more values'%(command)s' is deprecated. %(additional_info)s'%(entry)s' doesn't have a certificate.'%(name)s' is required'%(option)s' option is deprecated. %(additional_info)s'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record'add' option(deprecated)(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reason<all IPA DNS servers><h1>Browser Kerberos Setup</h1>

<h1>Password Migration</h1><p>If you have been sent here by your administrator, your personal information is being migrated to a new identity management solution (IPA).</p><p>Please, enter your credentials in the form to complete the process. Upon successful login your kerberos account will be activated.</p><h1>Unable to verify your Kerberos credentials</h1>
<p>
            Please make sure that you have valid Kerberos tickets (obtainable via <strong>kinit</strong>), and that you have configured your browser correctly.
</p>

<h2>Browser configuration</h2>

<div id="first-time">
<p>
                If this is your first time, please <a href="ssbrowser.html">configure your browser</a>.
</p>
</div>
<h2>Chrome</h2>

<p>
            You can configure Chrome to use Kerberos for Single Sign-on. The following instructions will guide you in configuring your web browser to send your Kerberos credentials to the appropriate Key Distribution Center which enables Single Sign-on.
</p>

<h2>Firefox</h2>

<p>
            You can configure Firefox to use Kerberos for Single Sign-on. The following instructions will guide you in configuring your web browser to send your Kerberos credentials to the appropriate Key Distribution Center which enables Single Sign-on.
</p>

<h2>Internet Explorer</h2>
<p><strong>WARNING:</strong> Internet Explorer is no longer a supported browser.</p>
<p>
            Once you are able to log into the workstation with your kerberos key you are now able to use that ticket in Internet Explorer.
</p>
<p>
<h3>Import CA Certificate</h3>
<ol>
<li>
                Download the <a href="ca.crt">CA certificate</a>. Alternatively, if the host is also an IdM client, you can find the certificate in /etc/ipa/ca.crt.
</li>
<li>
                Click the menu button with the <em>Customize and control Google Chrome</em> tooltip, which is by default in the top right-hand corner of Chrome, and click <em>Settings</em>.
</li>
<li>
                Click <em>Show advanced settings</em> to display more options, and then click the <em>Manage certificates</em> button located under the HTTPS/SSL heading.
</li>
<li>
                In the <em>Authorities</em> tab, click the <em>Import</em> button at the bottom.
</li>
<li>Select the CA certificate file that you downloaded in the first step.</li>
</ol>

<i class="fa fa-info-circle"></i> To log in with <strong>Kerberos</strong>, please make sure you have valid tickets (obtainable via kinit) and <a href='${protocol}//${host}/ipa/config/ssbrowser.html'>configured</a> the browser correctly, then click 'Log in'.<i class="fa fa-info-circle"></i> To log in with <strong>certificate</strong>, please make sure you have valid personal certificate. <i class="fa fa-info-circle"></i> To log in with <strong>username and password</strong>, enter them in the corresponding fields, then click 'Log in'.<ol> <li>Create a certificate database or use an existing one. To create a new database:<br/> <code># certutil -N -d &lt;database path&gt;</code> </li> <li>Create a CSR with subject <em>CN=&lt;${cn_name}&gt;,O=&lt;realm&gt;</em>, for example:<br/> <code># certutil -R -d &lt;database path&gt; -a -g &lt;key size&gt; -s 'CN=${cn},O=${realm}'${san}</code> </li> <li> Copy and paste the CSR (from <em>-----BEGIN NEW CERTIFICATE REQUEST-----</em> to <em>-----END NEW CERTIFICATE REQUEST-----</em>) into the text area below: </li> </ol><p>Implicit method (password) will be used if no method is chosen.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p><p>Per-user setting, overwrites the global setting if any option is checked.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p><strong>Log into the Windows machine using an account of your Kerberos realm (administrative domain)</strong>
</p>
<p>
<strong>In Internet Explorer, click Tools, and then click Internet Options.</strong>
</p>
<div>
<ol>
<li>Click the Security tab</li>
<li>Click Local intranet</li>
<li>Click Sites </li>
<li>Click Advanced </li>
<li>Add your domain to the list</li>
</ol>
<ol>
<li>Click the Security tab</li>
<li>Click Local intranet</li>
<li>Click Custom Level</li>
<li>Select Automatic logon only in Intranet zone</li>
</ol>

<ol>
<li> Visit a kerberized web site using IE (You must use the fully-qualified Domain Name in the URL)</li>
<li><strong> You are all set.</strong></li>
</ol>
</div>

A Create reverseA IP AddressA SYSTEM permission may not be modified or removedA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this RADIUS proxy serverA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA list of SELinux users delimited by $ expectedA list of global forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A list of per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA recordA space separated list of attributes which are removed from replication updates.A string searched in all relevant object attributesA6 Record dataA6 recordAA CompromiseAAAA Create reverseAAAA IP AddressAAAA recordACIACI nameACI object.ACI of permission %s was not foundACI prefixACI prefix is requiredACI with name "%s" not foundACIsACL nameAD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issueAD Trust setupAD domain controllerAD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for exampleAFSDB HostnameAFSDB SubtypeAFSDB recordAPI BrowserAPI Version number was not sent, forward compatibility not guaranteed. Assuming server's API version, %(server_version)sAPL recordAboutAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActivateActivate a stage user "%(value)s"Activate a stage user.Active Directory domainActive Directory domain administratorActive Directory domain administrator's passwordActive Directory domain rangeActive Directory domain with POSIX attributesActive Directory trust range with POSIX attributesActive Directory winsyncActive directory domain administrator's passwordActive usersActive zoneAddAdd CA ACLAdd CAs to a CA ACL.Add Certificate Authorities into CA ACL '${primary_key}'Add Class of Service entryAdd Custom AttributeAdd Custom Authentication IndicatorAdd DNS forward zoneAdd DNS resource recordAdd DNS zoneAdd HBAC ruleAdd HBAC serviceAdd HBAC service '${primary_key}' into HBAC service groupsAdd HBAC service groupAdd HBAC service groups into HBAC rule '${primary_key}'Add HBAC services into HBAC rule '${primary_key}'Add HBAC services into HBAC service group '${primary_key}'Add ID rangeAdd ID viewAdd IPA locationAdd IPA server into IPA location '${primary_key}'Add Kerberos Principal AliasAdd ManyAdd OTP tokenAdd RADIUS serverAdd RunAs groups into sudo rule '${primary_key}'Add RunAs user groups into sudo rule '${primary_key}'Add RunAs users into sudo rule '${primary_key}'Add SELinux user mapAdd a manager to the stage user entryAdd a manager to the user entryAdd a new DNS server.Add a new Group ID override.Add a new HBAC service group.Add a new HBAC service.Add a new ID View.Add a new ID override.Add a new IPA location.Add a new IPA new service.Add a new IPA service.Add a new OTP token.Add a new RADIUS proxy server.Add a new SMB service.Add a new User ID override.Add a new YubiKey OTP token.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new segment.Add a new self-service permission.Add a new stage user.Add a new topology suffix to be managed.Add a new user.Add a permission for per-forward zone access delegation.Add a permission for per-zone access delegation.Add a system permission without an ACIAdd a system permission without an ACI (internal command)Add a vault.Add allow sudo command groups into sudo rule '${primary_key}'Add allow sudo commands into sudo rule '${primary_key}'Add an attribute/value pair. Format is attr=value. The attribute
must be part of the schema.Add an automember rule.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd automount keyAdd automount locationAdd automount mapAdd certificate authorityAdd certificate identity mapping ruleAdd certificate mapping dataAdd certificate profiles into CA ACL '${primary_key}'Add certificates to host entryAdd commands and sudo command groups affected by Sudo Rule.Add conditions to an automember rule.Add custom valueAdd delegationAdd deny sudo command groups into sudo rule '${primary_key}'Add deny sudo commands into sudo rule '${primary_key}'Add domainAdd exclusive condition into '${primary_key}'Add forward record for nameserver located in the created zoneAdd group ID overrideAdd group for Sudo to execute as.Add hostAdd host '${primary_key}' into HBAC rulesAdd host '${primary_key}' into host groupsAdd host '${primary_key}' into netgroupsAdd host '${primary_key}' into rolesAdd host '${primary_key}' into sudo rulesAdd host groupAdd host group '${primary_key}' into HBAC rulesAdd host group '${primary_key}' into host groupsAdd host group '${primary_key}' into netgroupsAdd host group '${primary_key}' into sudo rulesAdd host groups into CA ACL '${primary_key}'Add host groups into HBAC rule '${primary_key}'Add host groups into SELinux user map '${primary_key}'Add host groups into host group '${primary_key}'Add host groups into netgroup '${primary_key}'Add host groups into role '${primary_key}'Add host groups into sudo rule '${primary_key}'Add hosts and hostgroups affected by Sudo Rule.Add hosts into CA ACL '${primary_key}'Add hosts into HBAC rule '${primary_key}'Add hosts into SELinux user map '${primary_key}'Add hosts into host group '${primary_key}'Add hosts into netgroup '${primary_key}'Add hosts into role '${primary_key}'Add hosts into sudo rule '${primary_key}'Add hosts managing host '${primary_key}'Add hosts managing service '${primary_key}'Add hosts that can manage this host.Add hosts that can manage this service.Add inclusive condition into '${primary_key}'Add member to a named service delegation rule.Add member to a named service delegation target.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a permission.Add members to a privilege.Add members to a role.Add members to a vault.Add members to an HBAC service group.Add migrated users without a group to a default group (default: true)Add netgroupAdd netgroup '${primary_key}' into netgroupsAdd netgroups into netgroup '${primary_key}'Add new DNS resource record.Add new certificates to a serviceAdd new principal alias to a serviceAdd new principal alias to host entryAdd new principal alias to the stageuser entryAdd new principal alias to the user entryAdd one or more certificate mappings to the stage user entry.Add one or more certificate mappings to the user entry.Add one or more certificates to the idoverrideuser entryAdd one or more certificates to the stageuser entryAdd one or more certificates to the user entryAdd owners to a vault container.Add owners to a vault.Add password policyAdd permissionAdd permissions to a privilege.Add principalAdd privilegeAdd privilege '${primary_key}' into permissionsAdd privileges into permission '${primary_key}'Add privileges to a role.Add profiles to a CA ACL.Add roleAdd role '${primary_key}' into privilegesAdd roles into privilege '${primary_key}'Add ruleAdd self service permissionAdd serviceAdd service '${primary_key}' into rolesAdd services into CA ACL '${primary_key}'Add services into members of vault '${primary_key}'Add services into owners of vault '${primary_key}'Add services into role '${primary_key}'Add services into user group '${primary_key}'Add services to a CA ACL.Add services to an HBAC rule.Add source hosts and hostgroups from a HBAC rule.Add source hosts and hostgroups to an HBAC rule.Add stage userAdd sudo commandAdd sudo command '${primary_key}' into sudo command groupsAdd sudo command groupAdd sudo commands into sudo command group '${primary_key}'Add sudo optionAdd sudo ruleAdd target hosts and hostgroups to a CA ACL.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add target to a named service delegation rule.Add target to a named service delegation.Add the host to DNS with this IP addressAdd to default groupAdd topology segmentAdd trustAdd userAdd user '${primary_key}' into HBAC rulesAdd user '${primary_key}' into netgroupsAdd user '${primary_key}' into rolesAdd user '${primary_key}' into sudo rulesAdd user '${primary_key}' into user groupsAdd user ID overrideAdd user groupAdd user group '${primary_key}' into HBAC rulesAdd user group '${primary_key}' into netgroupsAdd user group '${primary_key}' into rolesAdd user group '${primary_key}' into sudo rulesAdd user group '${primary_key}' into user groupsAdd user groups into CA ACL '${primary_key}'Add user groups into HBAC rule '${primary_key}'Add user groups into SELinux user map '${primary_key}'Add user groups into members of vault '${primary_key}'Add user groups into netgroup '${primary_key}'Add user groups into owners of vault '${primary_key}'Add user groups into role '${primary_key}'Add user groups into sudo rule '${primary_key}'Add user groups into user group '${primary_key}'Add users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to a CA ACL.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Add users into CA ACL '${primary_key}'Add users into HBAC rule '${primary_key}'Add users into SELinux user map '${primary_key}'Add users into members of vault '${primary_key}'Add users into netgroup '${primary_key}'Add users into owners of vault '${primary_key}'Add users into role '${primary_key}'Add users into sudo rule '${primary_key}'Add users into user group '${primary_key}'Add users managing OTP token '${primary_key}'Add users that can manage this token.Add vaultAdded %(map)sAdded %(src)s to %(dst)sAdded Active Directory trust for realm "%(value)s"Added CA ACL "%(value)s"Added Certificate Identity Mapping Rule "%(value)s"Added Group ID override "%(value)s"Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID View "%(value)s"Added ID override "%(value)s"Added ID range "%(value)s"Added IPA location "%(value)s"Added OTP token "%(value)s"Added RADIUS proxy server "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added User ID override "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added certificate mappings to user "%(value)s"Added certificates to host "%(value)s"Added certificates to idoverrideuser "%(value)s"Added certificates to service principal "%(value)s"Added certificates to stageuser "%(value)s"Added certificates to user "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added new DNS server "%(value)s"Added new aliases to host "%(value)s"Added new aliases to stageuser "%(value)s"Added new aliases to the service principal "%(value)s"Added new aliases to user "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added segment "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added service delegation rule "%(value)s"Added service delegation target "%(value)s"Added stage user "%(value)s"Added system permission "%(value)s"Added topology suffix "%(value)s"Added user "%(value)s"Added vault "%(value)s"Additional instructions:Address not valid, can't redirectAdministrative accountAdministrator e-mail addressAdvertised by serversAffiliation ChangedAgreements deletedAlgorithmAllAll attributes to which the permission appliesAll commands should at least have a resultAll nameservers failed to answer the query for DNS reverse zone %(revdns)sAll target filters, including those implied by type and memberofAllowAllow PTR syncAllow access from the trusted domainAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow falling back to AD DC LDAP when resolving AD trusted objects. For two-way trusts only.Allow host groups to create keytab of '${primary_key}'Allow host groups to retrieve keytab of '${primary_key}'Allow hosts to create keytab of '${primary_key}'Allow hosts to retrieve keytab of '${primary_key}'Allow in-line DNSSEC signingAllow inline DNSSEC signing of records in the zoneAllow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllow use of IPA resources by the domain of the trustAllow user groups to create keytab of '${primary_key}'Allow user groups to retrieve keytab of '${primary_key}'Allow users to create keytab of '${primary_key}'Allow users to retrieve keytab of '${primary_key}'Allow users, groups, hosts or host groups to create a keytab of this host.Allow users, groups, hosts or host groups to create a keytab of this service.Allow users, groups, hosts or host groups to retrieve a keytab of this host.Allow users, groups, hosts or host groups to retrieve a keytab of this service.Allowed TargetAllowed to ImpersonateAllowed to create keytabAllowed to retrieve keytabAllows migration despite the usage of compat pluginAlready registeredAlternative UPN suffixesAltitudeAlways askAmbiguous search, user domain was not specifiedAn IPA master host cannot be deleted or disabledAn error has occurred (${error})An error occurred while fetching dns zones.An id range already exists for this trust. You should either delete the old range, or exclude --base-id/--range-size options from the command.An interval between regular polls of the name server for new DNS zonesAnchor '%(anchor)s' could not be resolved.Anchor to overrideAny CAAny CommandAny GroupAny HostAny ProfileAny ServiceAnyoneApplied to hostsApplies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overridden.Applies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overriden.ApplyApply ACI to your own entry (self)Apply ID view '${primary_key}' on hostsApply ID view '${primary_key}' on hosts of host groupsApply to host groupsApply to hostsArbitrary string identifying the segmentArchive data into a vault.Archived data into vault "%(value)s"Are you sure you want to ${action} the user?<br/>The change will take effect immediately.Are you sure you want to activate ${object}?Are you sure you want to activate selected users?Are you sure you want to add permission for DNS Zone ${object}?Are you sure you want to delete ${object}?Are you sure you want to delete selected entries?Are you sure you want to disable ${object}?Are you sure you want to disable selected entries?Are you sure you want to enable ${object}?Are you sure you want to enable selected entries?Are you sure you want to proceed with the action?Are you sure you want to remove permission for DNS Zone ${object}?Are you sure you want to restore ${object}?Are you sure you want to restore selected users?Are you sure you want to stage ${object}?Are you sure you want to stage selected users?Are you sure you want to un-apply ID view from selected entries?Are you sure you want to unlock user ${object}?Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?Arguments to details functionAs WhomAsks for a non-random password to use for the principalAssigned ID ViewAssigned manager of the token (default: self)Assigned user of the token (default: self)AsymmetricAt least the domain or IP address should be specifiedAttributeAttribute KeyAttribute breakdownAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAttributes for total updateAttributes that are not replicated to a consumer server during a fractional update. E.g., `(objectclass=*) $ EXCLUDE accountlockout memberofAttributes that are not replicated to a consumer server during a total update. E.g. (objectclass=*) $ EXCLUDE accountlockoutAttributes to be ignored for group entries in DSAttributes to be ignored for user entries in DSAttributes to replicateAttributes to stripAttributes to which the delegation appliesAttributes to which the permission appliesAttributes to which the permission applies by defaultAttributes to which the permission applies.AuditAuthenticatingAuthenticationAuthentication IndicatorsAuthentication indicatorAuthentication indicatorsAuthentication with Kerberos failedAuthentication with personal certificate failedAuthoritative nameserverAuthoritative nameserver changeAuthoritative nameserver domain nameAuthority IDAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!AutogeneratedAutomatic update of DNS system records failed. Please re-run update of system records manually to get list of missing records.AutomemberAutomember RuleAutomember rebuild membership task completedAutomember rebuild membership task startedAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad or unsupported salt type.
Bad search filterBad search filter %(info)sBase DNBase DN on remote LDAP serverBase IDBase for certificate subjects (OU=Test,O=Example)Base-64 encoded certificate.Base-64 encoded host certificateBase-64 encoded server certificateBase-64 encoded service certificateBase-64 encoded user certificateBase64 decoding failed: %(reason)sBinary data to archiveBind DNBind password already provided (-w).
Bind password required when using a bind DN (-w or -W).
Bind rule typeBrief description of this profileCACA '%s' is disabledCA ACLCA ACLsCA CompromiseCA categoryCA category cannot be set to 'all' while there are allowed CAsCA category the ACL applies toCA certificateCA is not configuredCAsCAs cannot be added when CA category='all'CERT AlgorithmCERT Certificate TypeCERT Certificate/CRLCERT Key TagCERT recordCIFS credentials objectCIFS server %(host)s denied your credentialsCIFS server communication error: code "%(num)s", message "%(message)s" (both may be "None")CIFS server denied your credentialsCLI metavarCLI nameCNAME HostnameCNAME recordCNAME record is not allowed to coexist with any other record (RFC 1034, section 3.6.2)CSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot decode file '%(filename)s': %(exc)sCannot establish LSA connection to %(host)s. Is CIFS server running?Cannot establish a trust to AD deployed in the same domain as IPA. Such setup is not supported.Cannot find specified domain or server nameCannot hide CA renewal master.Cannot hide DNSSec key master.Cannot hide last enabled %(name)s server.Cannot perform SID validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform external member validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform join operation without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot perform the selected command without Samba 4 instance configured on this machine. Make sure you have run ipa-adtrust-install on this server.Cannot perform the selected command without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA.Cannot query Directory Manager with APICannot read file '%(filename)s': %(exc)sCannot resolve KDC for requested realmCannot retrieve trusted domain GC listCannot search in trusted domains without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot specify both SASL mechanism and bind DN simultaneously.
Cannot specify server and LDAP uri simultaneously.
Cannot store permission ACI to %sCannot use %(old_name)s with %(new_name)sCar LicenseCertificateCertificate Association DataCertificate AuthoritiesCertificate AuthorityCertificate DataCertificate For MatchCertificate HoldCertificate Hold RemovedCertificate Identity Mapping Global ConfigurationCertificate Identity Mapping RuleCertificate Identity Mapping Rule descriptionCertificate Identity Mapping Rule nameCertificate Identity Mapping RulesCertificate Identity Mapping configuration optionsCertificate Mapping MatchCertificate ProfileCertificate Profile to useCertificate ProfilesCertificate Profiles to addCertificate Profiles to removeCertificate RevokedCertificate Subject baseCertificate TypeCertificate UsageCertificate chainCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate in base64 or PEM formatCertificate mapping dataCertificate operation cannot be completed: %(error)sCertificate profiles cannot be renamedCertificate requestedCertificate with serial number %(serial)s issued by CA '%(ca)s' not foundCertificate(s) stored in file '%(file)s'Certificate/CRLCertificatesCessation of OperationChange current Domain Level.Change passwordChange to POSIX groupChange to external groupChanged password for "%(value)s"Changed server state of "%(value)s".Character classesCheck DNSCheck connection to remote IPA server.Check the status of a certificate signing request.Checking if record exists.Checks if any of the servers has the CA service enabled.Checks if any of the servers has the DNS service enabled.Checks if any of the servers has the KRA service enabledCityClassClass of Service object used for linking policies with groupsClearClear all fields on the page.Clears ID View from specified hosts or current members of specified hostgroups.Click to ${action}Client credentials may be delegated to the serviceClient is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.Clock intervalClock offsetCloseClosing keytab failed
Collapse AllComma separated encryption types listComma-separated list of attributesComma-separated list of attributes to be ignored for group entries in DSComma-separated list of attributes to be ignored for user entries in DSComma-separated list of objectclasses to be ignored for group entries in DSComma-separated list of objectclasses to be ignored for user entries in DSComma-separated list of objectclasses used to search for group entries in DSComma-separated list of objectclasses used to search for user entries in DSComma-separated list of permissions to grant (read, write). Default is write.Comma-separated list of permissions to grant (read, write, add, delete, all)Comma-separated list of raw A recordsComma-separated list of raw A6 recordsComma-separated list of raw AAAA recordsComma-separated list of raw AFSDB recordsComma-separated list of raw APL recordsComma-separated list of raw CERT recordsComma-separated list of raw CNAME recordsComma-separated list of raw DHCID recordsComma-separated list of raw DLV recordsComma-separated list of raw DNAME recordsComma-separated list of raw DNSKEY recordsComma-separated list of raw DS recordsComma-separated list of raw HIP recordsComma-separated list of raw IPSECKEY recordsComma-separated list of raw KEY recordsComma-separated list of raw KX recordsComma-separated list of raw LOC recordsComma-separated list of raw MX recordsComma-separated list of raw NAPTR recordsComma-separated list of raw NS recordsComma-separated list of raw NSEC recordsComma-separated list of raw NSEC3 recordsComma-separated list of raw NSEC3PARAM recordsComma-separated list of raw PTR recordsComma-separated list of raw RP recordsComma-separated list of raw RRSIG recordsComma-separated list of raw SIG recordsComma-separated list of raw SPF recordsComma-separated list of raw SRV recordsComma-separated list of raw SSHFP recordsComma-separated list of raw TA recordsComma-separated list of raw TKEY recordsComma-separated list of raw TSIG recordsComma-separated list of raw TXT recordsCommand '%(name)s' has been deprecatedCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfiguration stringConfigure your tokenConfigure your token by scanning the QR code below. Click on the QR code if you see this on the device you want to configure.Configured administrative server limit exceededConfigured size limit exceededConfigured time limit exceededConfirm (password)ConfirmationConnectivityConsecutive failures before lockoutConsume an entitlement.Contact SettingsContact this specific KDC ServerContent of 'standard' vaults can be seen by users with higher privileges (admins).ContinueContinue to next pageContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Convert on serverCould not get %(name)s interactivelyCould not read UPG Definition originfilter. Check your permissions.CounterCounter-based (HOTP)Create Stage user in from a delete userCreate a CA.Create a new CA ACL.Create a new Certificate Identity Mapping Rule.Create a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create a new service delegation rule.Create a new service delegation target.Create a new vault.Create as a non-POSIX groupCreate dns recordCreate new ACI.Create new DNS forward zone.Create new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Created CA "%(value)s"Creating record.CredentialsCredentials cache permissions incorrectCross-realm trusts are not configured. Make sure you have run ipa-adtrust-install on the IPA server firstCurrent DNS record contents:
Current PasswordCurrent domain level:Current password is requiredCustom valueCustomizationDHCID recordDLV AlgorithmDLV DigestDLV Digest TypeDLV Key TagDLV recordDN commonName does not match user's loginDN emailAddress does not match any of user's email addressesDN of container for groups in DS relative to base DNDN of container for users in DS relative to base DNDN of the started taskDN to bind as if not using kerberosDNAME TargetDNAME recordDNSDNS Forward ZoneDNS Forward ZonesDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ServerDNS Server nameDNS ServersDNS ZoneDNS Zone SettingsDNS ZonesDNS check failed: Expected {%(expected)s} got {%(got)s}DNS classDNS configuration optionsDNS forward zoneDNS forward zonesDNS forwarderDNS forwarder semantics changed since IPA 4.0.
You may want to use forward zones (dnsforwardzone-*) instead.
For more details read the docs.DNS is not configuredDNS label cannot be longer than 63 charactersDNS label cannot be longer that 63 charactersDNS record was deleted because it contained no data.DNS record(s) of host %(host)s could not be removed. (%(reason)s)DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone %(revzone)s for IP address %(addr)s is not managed by this serverDNS serverDNS server %(server)s does not support DNSSEC: %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s does not support EDNS0 (RFC 6891): %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s: %(error)s.DNS serversDNS zoneDNS zone %(zone)s not foundDNS zone for each realmdomain must contain SOA or NS records. No records found for: %sDNS zone root record cannot be renamedDNS zonesDNSKEY recordDNSSEC support is experimental.
%(additional_info)sDNSSEC validation failed: %(error)s.
Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.DNSec key masterDS AlgorithmDS DigestDS Digest TypeDS Key TagDS recordDS record must not be in zone apex (RFC 4035 section 2.4)DS record requires to coexist with an NS record (RFC 4592 section 4.6, RFC 4035 section 2.4)DataDebugging outputDefaultDefault (fallback) GroupDefault (fallback) group for entries to landDefault PAC typesDefault SELinux userDefault SELinux user when no match is found in SELinux map ruleDefault Trust View cannot be applied on hostsDefault Trust View cannot contain IPA usersDefault attributesDefault e-mail domainDefault fromDefault group for entries to landDefault group for new usersDefault group for new users is not POSIXDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default host groupDefault location of home directoriesDefault shellDefault shell for new usersDefault ticket policy could not be readDefault time to liveDefault types of PAC supported for servicesDefault types of supported user authenticationDefault user authentication typesDefault user groupDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDegrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete ACI.Delete Class of Service entryDelete DNS forward zone.Delete DNS record entry.Delete DNS resource record.Delete DNS zone (SOA record).Delete IPA server.Delete Key, UnprovisionDelete ServerDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a CA ACL.Delete a Certificate Identity Mapping Rule.Delete a Certificate Profile.Delete a DNS serverDelete a RADIUS proxy server.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a segment.Delete a self-service permission.Delete a stage user.Delete a topology suffix.Delete a trust.Delete a userDelete a user, keeping the entry available for future useDelete a user.Delete a vault container.Delete a vault.Delete all associated recordsDelete all?Delete an Group ID override.Delete an HBAC rule.Delete an HBAC service group.Delete an ID View.Delete an ID override.Delete an ID range.Delete an IPA location.Delete an IPA service.Delete an OTP token.Delete an User ID override.Delete an attribute/value pair. The option will be evaluated
last, after all sets and adds.Delete an automember rule.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete domainDelete group.Delete modeDelete service delegation target.Delete service delegation.Deleted ACI "%(value)s"Deleted CA "%(value)s"Deleted CA ACL "%(value)s"Deleted Certificate Identity Mapping Rule "%(value)s"Deleted DNS forward zone "%(value)s"Deleted DNS server "%(value)s"Deleted DNS zone "%(value)s"Deleted Group ID override "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID View "%(value)s"Deleted ID override "%(value)s"Deleted ID range "%(value)s"Deleted IPA location "%(value)s"Deleted IPA server "%(value)s"Deleted OTP token "%(value)s"Deleted RADIUS proxy server "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted User ID override "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted profile "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted segment "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted service delegation "%(value)s"Deleted service delegation target "%(value)s"Deleted stage user "%(value)s"Deleted topology suffix "%(value)s"Deleted trust "%(value)s"Deleted user "%(value)s"Deleted vault "%(value)s"Deleted vault containerDeleting a managed group is not allowed. It must be detached first.Deleting a server removes it permanently from the topology. Note that this is a non-reversible action.Deleting this server is not allowed as it would leave your installation without a CA.Deleting this server is not allowed as it would leave your installation without a KRA.Deleting this server will leave your installation without a DNS.DenyDepartment NumberDeprecated optionsDeprecated; use %sDeprecated; use extratargetfilterDeprecated; use ipapermlocationDeprecated; use ipapermrightDescribe currently authenticated identity.DescriptionDescription of the purpose of the CADetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"DetectDetermine whether Schema Compatibility plugin is configured to serve trusted domain users and groupsDetermine whether ipa-adtrust-install has been run on this systemDetermine whether ipa-adtrust-install has been run with sidgen taskDict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping plugin names to basesDictionary mapping variable name to valueDigestDigest TypeDigitsDirectDirect MembershipDirection LatitudeDirection LongitudeDirection of replication between left and right replication nodeDisableDisable DNS Forward Zone.Disable DNS Zone.Disable a CA ACL.Disable a CA.Disable a Certificate Identity Mapping Rule.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable per-user overrideDisable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.Disable tokenDisable use of IPA resources by the domain of the trustDisabledDisabled CA "%(value)s"Disabled CA ACL "%(value)s"Disabled Certificate Identity Mapping Rule "%(value)s"Disabled DNS forward zone "%(value)s"Disabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled domain '%(domain)s' is not allowedDisabled host "%(value)s"Disabled service "%(value)s"Disabled trust domain "%(value)s"Disabled user account "%(value)s"Disallow host groups to create keytab of '${primary_key}'Disallow host groups to retrieve keytab of '${primary_key}'Disallow hosts to create keytab of '${primary_key}'Disallow hosts to retrieve keytab of '${primary_key}'Disallow user groups to create keytab of '${primary_key}'Disallow user groups to retrieve keytab of '${primary_key}'Disallow users to create keytab of '${primary_key}'Disallow users to retrieve keytab of '${primary_key}'Disallow users, groups, hosts or host groups to create a keytab of this host.Disallow users, groups, hosts or host groups to create a keytab of this service.Disallow users, groups, hosts or host groups to retrieve a keytab of this host.Disallow users, groups, hosts or host groups to retrieve a keytab of this service.Display Class of Service entryDisplay DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display a segment.Display a single ACI given an ACI name.Display an automount key.Display an automount location.Display an automount map.Display configuration of a DNS server.Display current entitlements.Display effective policy for a specific userDisplay information about a Certificate Identity Mapping Rule.Display information about a DNS forward zone.Display information about a DNS zone (SOA record).Display information about a RADIUS proxy server.Display information about a class.Display information about a command output.Display information about a command parameter.Display information about a command.Display information about a delegation.Display information about a help topic.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a named service delegation rule.Display information about a named service delegation target.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a stage user.Display information about a trust.Display information about a user.Display information about a vault container.Display information about a vault.Display information about an Group ID override.Display information about an HBAC service group.Display information about an HBAC service.Display information about an ID View.Display information about an ID override.Display information about an IPA location.Display information about an IPA service.Display information about an OTP token.Display information about an User ID override.Display information about an automember rule.Display information about password policy.Display information about the default (fallback) automember groups.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the list of realm domains.Display the properties of a CA ACL.Display the properties of a CA.Display the properties of a Certificate Profile.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDo not display QR codeDo not update records only return expected recordsDo you also want to perform DNS check?Do you want to check if new authoritative nameserver address is in DNSDo you want to remove certificate mapping data ${data}?Do you want to remove kerberos alias ${alias}?Do you want to remove the certificate hold?Do you want to revoke this certificate? Select a reason from the pull-down list.Do you want to update system DNS records?DocumentationDogtag Authority IDDomainDomain '%(domain)s' is not a root domain for forest '%(forest)s'Domain GUIDDomain LevelDomain Level cannot be lowered.Domain Level cannot be raised to {0}, existing replication conflicts have to be resolved.Domain Level cannot be raised to {0}, server {1} does not support it.Domain NetBIOS nameDomain SIDDomain SID of the trusted domainDomain Security IdentifierDomain controller for the Active Directory domain (optional)Domain enabledDomain nameDomain resolution orderDomain where the user entry will be searchedDon't create user private groupDon't wait for rebuilding membershipDownloadDownload certificate as PEM formatted file.Drive to mount a home directoryDry runDuplicate keys skipped:Duplicate maps skipped:Dynamic updateEditEdit ${entity}Effective attributesEmail addressEmployee InformationEmployee NumberEmployee TypeEmpty domain is not allowedEnableEnable DNS Forward Zone.Enable DNS Zone.Enable a CA ACL.Enable a CA.Enable a Certificate Identity Mapping Rule.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.Enable tokenEnabledEnabled CA "%(value)s"Enabled CA ACL "%(value)s"Enabled Certificate Identity Mapping Rule "%(value)s"Enabled DNS forward zone "%(value)s"Enabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled server rolesEnabled trust domain "%(value)s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed!
EnrolledEnrollmentEnrollment UUIDEnrollment UUID (not implemented)Enrollment failed. %s
Enter %(label)s again to verify: Enter LDAP passwordEnter trusted group name.Enter trusted or IPA group name. Note: search doesn't list groups from trusted domains.Enter trusted or IPA user login. Note: search doesn't list users from trusted domains.Enter trusted user login.EntryEntry %s does not existEntry %s not foundEntry RDN is not 'uid'Entry has no '%(attribute)s'Enumerate all the hosts the view applies to.ErrorError changing account statusError getting default Kerberos realm: %s.
Error obtaining initial credentials: %s.
Error parsing "%1$s": %2$s.
Error resolving keytab: %s.
Error storing creds in credential cache: %s.
Establish bi-directional trust. By default trust is inbound one-way only.Establish external trust to a domain in another forest. The trust is not transitive beyond the domain.Establish usingEstablished and verifiedExceeded number of tries to forward a request.ExchangerExclude fromExcluded attributesExclusiveExclusive RegexExpand AllExpires OnExport plugin meta-data for the webUI.ExpressionExternalExternal Group the commands can run as (sudorule-find only)External Groups of RunAs UsersExternal Groups of users that the command can run asExternal UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExternal trustExtra hashes to generate in password plug-inExtra target filterFailed CAsFailed RunAsFailed RunAsGroupFailed allowed to create keytabFailed allowed to retrieve keytabFailed hosts/hostgroupsFailed loginsFailed managedbyFailed membersFailed ownersFailed profilesFailed service/service groupsFailed source hosts/hostgroupsFailed targetsFailed to addFailed to add key to the keytab
Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to bind to server!
Failed to clean memberPrincipal %(principal)s from s4u2proxy entry %(dn)s: %(err)sFailed to clean up Custodia keys for %(master)s: %(err)sFailed to clean up DNA hostname entries for %(master)s: %(err)sFailed to cleanup %(hostname)s DNS entries: %(err)sFailed to cleanup server principals/keys: %(err)sFailed to close the keytab
Failed to connect to sssd over SystemBus. See details in the error_logFailed to create control!
Failed to create key material
Failed to create key!
Failed to create random key!
Failed to decode control reply!
Failed to find users over SystemBus.  See details in the error_logFailed to get keytab
Failed to get keytab!
Failed to get result: %s
Failed to open Keytab
Failed to open config file %s
Failed to open keytab
Failed to open keytab '%1$s': %2$s
Failed to parse config file %s
Failed to parse extended result: %s
Failed to parse result: %s
Failed to removeFailed to remove server %(master)s from server list: %(err)sFailed to resolve symlink to keytab.
Failed to retrieve any keysFailed to retrieve encryption type %1$s (#%2$d)
Failed to retrieve encryption type type #%d
Failed users/groupsFailure decoding Certificate Signing Request: %sFailure reset intervalFallback primary groupFallback to AD DC LDAPFalseFalse if migration fails because the compatibility plug-in is enabled.False if migration mode was disabled.Fax NumberFetch domainsFetching DNS zones.Fetching domains from trusted forest failed. See details in the error_logFile %(file)s not foundFile containing data to archiveFile containing profile configurationFile containing the new vault passwordFile containing the new vault public keyFile containing the old vault passwordFile containing the old vault private keyFile containing the vault passwordFile containing the vault private keyFile containing the vault public keyFile to load the certificate fromFile to load the certificate from.File to store retrieved dataFile to store the certificate in.Filename is emptyFilename of a raw profile. The XML format is not supported.FilterFilter available ${other_entity}FindFind a server role on a server(s)FingerprintFingerprint (SHA1)Fingerprint (SHA256)Fingerprint TypeFingerprint of schema cached by clientFingerprintsFirstFirst CodeFirst OTPFirst Posix ID of the rangeFirst Posix ID of the range reserved for the trusted domainFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst date/time the token can be usedFirst nameFlagsFollowing segments were not deleted:ForceForce DNS zone creation even if it will overlap with an existing zone.Force DNS zone creation even if nameserver is not resolvable.Force DNS zone creation even if nameserver is not resolvable. (Deprecated)Force UpdateForce adding domain even if not in DNSForce nameserver change even if nameserver not in DNSForce server removalForce server removal even if it does not existForce the host join. Rejoin even if already joined.Forcing removal of %(hostname)sForest '%(forest)s' has existing trust to forest(s) %(domains)s which prevents a trust to '%(conflict)s'Format errorForward firstForward onlyForward policyForward policy is defined for it in IPA DNS, perhaps forwarder points to incorrect host?Forward to server instead of running locallyForward zones onlyForwardersForwarding disabledForwarding policy conflicts with some automatic empty zones. Queries for zones specified by RFC 6303 will ignore forwarding and recursion and always result in NXDOMAIN answers. To override this behavior use forward policy 'only'.Found '%(value)s'Full nameFully Qualified Host NameFunction to get detailsGECOSGECOS fieldGIDGID (use this option to set it manually)GSSAPI|EXTERNALGeneralGenerate OTPGenerate a random password to be used in bulk enrollmentGenerate a random user passwordGenerate automount files for a specific location.Generated OTPGetGet CertificateGlobal DNS configuration is emptyGlobal Trust ConfigurationGlobal forwardersGlobal forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Global forwarding policy. Set to "none" to disable any configured global forwarders.Granted rightsGranted to PrivilegeGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup ID overrideGroup ID overridesGroup OptionsGroup SettingsGroup TypeGroup categoriesGroup containerGroup descriptionGroup nameGroup object classGroup object overridesGroup search fieldsGroup to apply ACI toGroup to overrideGrouping TypeGrouping to which the rule appliesGroupsGroups allowed to create keytabGroups allowed to retrieve keytabGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC service groups to addHBAC service groups to removeHBAC servicesHBAC services to addHBAC services to removeHIP recordHOTP Authentication WindowHOTP Synchronization WindowHOTP authentication skip-aheadHOTP synchronization skip-aheadHTTP ErrorHardened Password (by SPAKE or FAST)Hardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Hello worldHelp topicHidden IPA CA serversHidden IPA DNS serversHidden IPA KRA serversHidden IPA mastersHidden IPA servers configured as certificate authorityHidden IPA servers configured as domain name serverHidden IPA servers configured as key recovery agentHideHide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost '%(hostname)s' does not have corresponding DNS A/AAAA recordHost '%(hostname)s' is not an active KDCHost CertificateHost GroupHost Group SettingsHost GroupsHost Groups allowed to create keytabHost Groups allowed to retrieve keytabHost MasksHost NameHost SettingsHost categoryHost category (semantics placed on this attribute are for local interpretation)Host category the ACL applies toHost category the rule applies toHost group ruleHost group rulesHost hardware platform (e.g. "Lenovo T61")Host is already joined.
Host is not supportedHost locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host unprovisionedHost-Based Access ControlHost-based access control commandsHost-groupHostgroups to whose hosts apply the ID View to. Please note that view is not applied automatically to any hosts added to the hostgroup after running the idview-apply command.Hostgroups whose hosts should have ID Views cleared. Note that view is not cleared automatically from any host added to the hostgroup after running idview-unapply command.HostnameHostname (FQDN)Hostname of this serverHostsHosts allowed to create keytabHosts allowed to retrieve keytabHosts or hostgroups that ID View could not be cleared from.Hosts or hostgroups that this ID View could not be applied to.Hosts that ID View was cleared from.Hosts that this ID View was applied to.Hosts the view applies toHosts to apply the ID View toHosts to clear (any) ID View from.How long should negative responses be cachedID RangeID RangesID ViewID View NameID View already appliedID View applied to %i host.ID View applied to %i hosts.ID View cleared from %i host.ID View cleared from %i hosts.ID ViewsID overrideID overrides cannot be renamedID range for the trusted domain already exists, but it has a different type. Please remove the old range manually, or do not enforce type via --range-type option.ID range type, one of allowed valuesID range type, one of ipa-ad-trust-posix, ipa-ad-trust, ipa-localID range with the same name but different domain SID already exists. The ID range for the new trusted domain must be created manually.IP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP address in subjectAltName (%s) does not have PTR recordIP address in subjectAltName (%s) unreachable from DNS namesIP network to create reverse zone name fromIPA AD trust agentsIPA AD trust controllersIPA CA cannot be deletedIPA CA cannot be disabledIPA CA certificateIPA CA renewal masterIPA CA serversIPA DNS Server is not installedIPA DNS recordsIPA DNS serversIPA DNS versionIPA DNSSec key masterIPA ErrorIPA KRA serversIPA LocationIPA Location descriptionIPA LocationsIPA Range type must be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is specifiedIPA Range type must not be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is not specified.IPA ServerIPA Server RoleIPA Server RolesIPA Server to useIPA ServersIPA does not manage the zone %(zone)s, please add records to your DNS server manuallyIPA location nameIPA location recordsIPA manages DNS, please verify your DNS configuration and make sure that service records of the '{domain}' domain can be resolved. Examples how to configure DNS with CLI commands or the Web UI can be found in the documentation. IPA master capable of PKINITIPA master denied trust validation requests from AD DC %(count)d times. Most likely AD DC contacted a replica that has no trust information replicated yet. Additionally, please check that AD DNS is able to resolve %(records)s SRV records to the correct IPA server.IPA master which can process PKINIT requestsIPA mastersIPA namingContext not found
IPA objectIPA role nameIPA server configured as DNSSec key masterIPA server domain cannot be deletedIPA server domain cannot be omittedIPA server hostnameIPA server role nameIPA servers configured as AD trust agentsIPA servers configured as AD trust controllersIPA servers configured as certificate authorityIPA servers configured as domain name serverIPA servers configured as key recovery agentIPA servers configured as key recovery agentsIPA trustIPA unique IDIPSECKEY recordIdentityIdentity SettingsIf no CAs are specified, requests to the default CA are allowed.If the problem persists please contact the system administrator.Ignore check for last remaining CA or DNS serverIgnore compat pluginIgnore group attributeIgnore group object classIgnore topology connectivity problems after removalIgnore topology errorsIgnore user attributeIgnore user object classIgnored %(src)s to %(dst)sIgnored keys:Ignoring these warnings and proceeding with removalIgnoring topology connectivity errors.Import a Certificate Profile.Import an entitlement certificate.Import automount files for a specific location.Imported keys:Imported maps:Imported profile "%(value)s"Include DisabledInclude EnabledInclude IPA master entriesInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]Include certificate chain in outputInclude inIncluded attributesInclusiveInclusive RegexIncompatible options provided (-r and -P)
IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of HBAC ruleIndirect Member of Sudo ruleIndirect Member of groupIndirect Member of host-groupIndirect Member of netgroupIndirect Member of roleIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInherited from server configurationInitial counter for the HOTP tokenInitialize left nodeInitialize right nodeInitialsInput data specified multiple timesInput fileInput filenameInput form contains invalid or missing values.Insufficient 'add' privilege for entry '%s'.Insufficient 'write' privilege to the 'krbLastPwdChange' attribute of entry '%s'.Insufficient 'write' privilege to the 'userCertificate' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to create a certificate with subject alt name '%s'.Insufficient privilege to delete a CA.Insufficient privilege to modify a CA.Insufficient privilege to modify a certificate profile.Internal ErrorInternationalization messagesInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid MCS value, must match {mcs}, where max category {mcs_max}Invalid MLS value, must match {mls}, where max level {mls_max}Invalid SASL bind mechanism
Invalid SELinux user name, must match {}Invalid Service Principal Name
Invalid credentialsInvalid domain name '%(domain)s': %(e)sInvalid format. Should be name=valueInvalid number of parts!Invalid or unsupported type. Allowed values are: %sInvalid or unsupported vault public key: %sInvalid vault typeIs zone active?IssueIssue new certificateIssue new certificate for host '${primary_key}'Issue new certificate for service '${primary_key}'Issue new certificate for user '${primary_key}'Issued ByIssued OnIssued ToIssued on fromIssued on from this date (YYYY-mm-dd)Issued on toIssued on to this date (YYYY-mm-dd)IssuerIssuer DNIssuer Distinguished NameIssuer and subjectIssuer of the certificateIssuing CAIt is strongly recommended to keep the following services installed on more than one server:It is used only for setting the SOA MNAME attribute.Job TitleJoin an IPA domainKEY AlgorithmKEY FlagsKEY ProtocolKEY Public KeyKEY recordKRA service is not enabledKX ExchangerKX PreferenceKX recordKerberos Credential Cache not found. Do you have a Kerberos Ticket?
Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Principal you entered is expiredKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache?
Kerberos context initialization failed
Kerberos context initialization failed: %1$s (%2$d)
Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal expirationKerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s
LDAP DNLDAP SASL bind mechanism if no bindd/bindpwLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLDAP search scope for users and groups: base, onelevel, or subtree. Defaults to onelevelLDAP suffix to be managedLDAP timeoutLDAP uri to connect to. Mutually exclusive with --serverLOC AltitudeLOC Degrees LatitudeLOC Degrees LongitudeLOC Direction LatitudeLOC Direction LongitudeLOC Horizontal PrecisionLOC Minutes LatitudeLOC Minutes LongitudeLOC Seconds LatitudeLOC Seconds LongitudeLOC SizeLOC Vertical PrecisionLOC recordLabelLabelsLastLast date/time the token can be usedLast failed authenticationLast nameLast successful authenticationLeading and trailing spaces are not allowedLeft nodeLeft replication node - an IPA serverLegal LDAP filter (e.g. ou=Engineering)Length of TOTP token code validityLevelList all service vaultsList all user vaultsList of IPA masters configured as DNS serversList of all IPA mastersList of all hidden IPA mastersList of deletions that failedList of enabled rolesList of servers which advertise the given locationList of trust domains successfully refreshed. Use trustdomain-find command to list them.Lists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Load CA certificate of LDAP server from FILELoadingLoading dataLocal domainLocalityLocationLocation nameLocation of the ACILockout durationLog In Using CertificateLog inLog in using personal certificateLog outLog out errorLogged In AsLogin failed due to an unknown reasonLogin shellLower number means higher priority. Clients will attempt to contact the URI with the lowest-numbered priority they can reach.Lower number means higher priority. Clients will attempt to contact the server with the lowest-numbered priority they can reach.MAC addressMS-PACMX ExchangerMX PreferenceMX recordMailing AddressMake multiple ipa calls via one remote procedure callMalformed DNMalformed principalMalformed principal: '%(value)s'Manage password policy for specific groupManage ticket policy for specific userManaged LDAP suffix DNManaged byManaged suffixManaged suffixesManaged topology requires minimal domain level ${domainlevel}Managedby permissionManagerManagingMapMap TypeMapping ruleMapping ruleset "%(ruleset)s" has more than one rule for the %(helper)s helperMark the token as disabled (default: false)Master fileMatchMatch cn attribute in subjectMatch users according to certificate.MatchedMatched UsersMatched rulesMatching TypeMatching ruleMax domain levelMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (-1 or 0 is unlimited)Maximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum domain levelMaximum hostname lengthMaximum number of agreements per replicaMaximum number of certs returnedMaximum number of entries returnedMaximum number of entries returned (0 is unlimited)Maximum number of records to search (-1 is unlimited)Maximum number of records to search (-1 or 0 is unlimited)Maximum number of rules to process when no --rules is specifiedMaximum password lifetime (in days)Maximum renewable age (seconds)Maximum serial numberMaximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember GroupMember HBAC serviceMember HBAC service groupsMember HostMember HostgroupMember Sudo commandsMember UserMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of HBAC ruleMember of HBAC service groupsMember of Sudo ruleMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember principalsMember service groupsMember servicesMember user groupMember usersMembersMembers of a trusted domain in DOM\name or name@domain formMembers that could not be addedMembers that could not be removedMethod nameMethod ofMigrateMigrate users and groups from DS to IPA.MigratingMigration mode is disabled.
Use 'ipa config-mod --enable-migration=TRUE' to enable it.Migration of LDAP search reference is not supported.Min domain levelMin lengthMin lifetime (hours)Minimum domain levelMinimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum serial numberMinimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing credentials for cross-forest communicationMissing new vault public keyMissing or invalid HTTP Referer, %(referer)sMissing reply control list!
Missing reply control!
Missing values: Missing vault private keyMissing vault public keyMobile Telephone NumberModelModifiedModified "%(value)s" trust configurationModified ACI "%(value)s"Modified CA "%(value)s"Modified CA ACL "%(value)s"Modified Certificate Identity Mapping Rule "%(value)s"Modified Certificate Profile "%(value)s"Modified DNS server "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified IPA location "%(value)s"Modified IPA server "%(value)s"Modified OTP token "%(value)s"Modified RADIUS proxy server "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified an Group ID override "%(value)s"Modified an ID View "%(value)s"Modified an ID override "%(value)s"Modified an User ID override "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified segment "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified stage user "%(value)s"Modified topology suffix "%(value)s"Modified trust "%(value)s" (change will be effective in 60 seconds)Modified user "%(value)s"Modified vault "%(value)s"Modified: key not setModify %(name)s '%(value)s'?Modify ACI.Modify CA configuration.Modify Certificate Identity Mapping configuration.Modify Certificate Profile configuration.Modify Class of Service entryModify DNS forward zone.Modify DNS server configurationModify DNS zone (SOA record).Modify ID range.Modify ID range.

Modify Kerberos ticket policy.Modify OTP configuration options.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a CA ACL.Modify a Certificate Identity Mapping Rule.Modify a DNS resource record.Modify a OTP token.Modify a RADIUS proxy server.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a segment.Modify a self-service permission.Modify a stage user.Modify a topology suffix.Modify a user.Modify a vault.Modify an Group ID override.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an ID View.Modify an ID override.Modify an User ID override.Modify an automember rule.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify global trust configuration.Modify information about a host.Modify information about an IPA location.Modify information about an IPA server.Modify realm domains.Modify trustdomain of the trustMore than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMove deleted user into staged areaMulti-valueMust be a decimal numberMust be a positive numberMust be an UTC date/time value (e.g., "2014-01-20 17:58:01Z")Must be an integerMy User VaultsNAPTR FlagsNAPTR OrderNAPTR PreferenceNAPTR Regular ExpressionNAPTR ReplacementNAPTR ServiceNAPTR recordNIS domain nameNONE value cannot be combined with other PAC typesNS HostnameNS recordNS record is not allowed to coexist with an %(type)s record except when located in a zone root record (RFC 2181, section 6.1)NS record(s) can be edited in zone apex - '@'. NSEC Next Domain NameNSEC Type MapNSEC recordNSEC3 recordNSEC3PARAM recordNSEC3PARAM record for zone in format: hash_algorithm flags iterations saltNameName for referencing the CAName of command to exportName of host-groupName of issuing CAName of method to exportName of object to exportName of parent automount map (default: auto.master).Name of the trusted domainNameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver for reverse zone cannot be a relative DNS nameNeither --del-all nor options to delete a specific record provided.
Command help may be consulted for all supported record types.Nested Methods to executeNetBIOS nameNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNetwork ServicesNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew kerberos principal aliasNew mount informationNew password is requiredNew public key specified multiple timesNew vault passwordNew: key not setNew: key setNextNext Domain NameNo A, AAAA, SSHFP or PTR records found.No Common Name was found in subject of request.No DNS servers in IPA location %(location)s. Without DNS servers location is not working as expected.No DNSSEC key master is installed. DNSSEC zone signing will not work until the DNSSEC key master is installed.No Valid CertificateNo archived data.No credentials cache foundNo default (fallback) group setNo entries.No file to readNo free YubiKey slot!No keys accepted by KDC
No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain.
No private groupNo responseNo such attribute on this entryNo such virtual commandNo system preferred enctypes ?!
No values for %sNo waitNo write permissions on keytab file '%s'
Non-Active Directory domainNon-POSIXNon-existent or invalid rulesNon-transitive external trust to a domain in another Active Directory forestNon-transitive external trust to an RFC4120-compliant Kerberos realmNonceNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot a valid network address (examples: 2001:db8::/64, 192.0.2.0/24)Not allowed on non-leaf entryNot enough arguments specified to perform trust setupNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of digits each token code will haveNumber of entries returnedNumber of hosts that had a ID View was unset:Number of hosts the ID View was applied to:Number of members addedNumber of members removedNumber of owners addedNumber of owners removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of seconds outbound LDAP operations waits for a response from the remote replica before timing out and failingNumber of variables returned (<= total)OKOTPOTP ConfigurationOTP TokenOTP Token SettingsOTP TokensOTP configuration optionsOTP setOTP tokenOTP tokensObject class ipaNTUserAttrs is missing, user entry cannot have SMB attributes.Object class nameObjectclasses to be ignored for group entries in DSObjectclasses to be ignored for user entries in DSObjectclasses used to search for group entries in DSObjectclasses used to search for user entries in DSOld vault passwordOld vault private keyOne Time PasswordOne of group, permission or self is requiredOne time password commandsOnly one value is allowedOnly one zone type is allowed per zone nameOnly standard vaults can be created in WebUI, use CLI for other types of vaults.Only the ipa-ad-trust and ipa-ad-trust-posix are allowed values for --range-type when adding an AD trust.Operating System and version of the host (e.g. Fedora 9)Operating systemOperation failed: %s
Operations ErrorOption addedOption groupOption rid-base must not be used when IPA range type is ipa-ad-trust-posixOptional DN subtree from where an entry can be moved (must be in the subtree, but may not yet exist)Optional DN subtree where an entry can be moved to (must be in the subtree, but may not yet exist)Optional DN to apply the permission to (must be in the subtree, but may not yet exist)OptionsOptions dom-sid and dom-name cannot be used togetherOptions dom-sid and rid-base must be used togetherOptions dom-sid and secondary-rid-base cannot be used togetherOptions dom-sid/dom-name and rid-base must be used togetherOptions dom-sid/dom-name and secondary-rid-base cannot be used togetherOptions secondary-rid-base and rid-base must be used togetherOrderOrder in increasing priority of SELinux users, delimited by $Org. UnitOrganizationOrganizational UnitOrigin DN subtreeOriginal TTLOther Record TypesOur domain is not configuredOut of Memory!
Out of memory
Out of memory 
Out of memory!Out of memory!
Out of memory!?
Output file to store the transport certificateOutput filenameOutput only on errorsOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this serviceOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this service, e.g. this might be necessary for NFS services.Override existing passwordOverride inherited settingsOverwrite GIDOwnerOwner %sOwner groupsOwner servicesOwner usersOwnersOwners that could not be addedOwners that could not be removedPAC typePADPKINITPKINIT statusPOSIXPTR HostnamePTR recordPTR record for SAN IP (%s) does not match A/AAAA recordsPagePager NumberPagination SizeParametersParent mapParse all raw DNS records and return them in a structured wayParse errorPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword can be specified only for symmetric vaultPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword migration was not successfulPassword migration was successfulPassword plugin featuresPassword reset was not successful.Password specified multiple timesPassword used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords have been migrated in pre-hashed format.
IPA is unable to generate Kerberos keys unless provided
with clear text passwords. All migrated users need to
login at https://your.domain/ipa/migration/ before they
can use their Kerberos accounts.Passwords must matchPath to a script executed on a Windows system at logonPath to a user home directory, in UNC formatPath to a user profile, in UNC format \\server\share\Path to the IPA CA certificatePer-server conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-server forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Per-zone conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Period after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission denied: %(file)sPermission flagsPermission namePermission settingsPermission typePermission valuePermission with unknown flag %s may not be modified or removedPermissionsPermissions to grant (read, write). Default is write.Permissions to grant(read, write, add, delete, all)Permitted Encryption TypesPermitted to have certificates issuedPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease specify forwarders.Please try the following options:PolicyPortPositional argumentPositional argumentsPre-authentication is required for the servicePre-shared passwordPredefined profile '%(profile_id)s' cannot be deletedPreferencePreference given to this exchanger. Lower values are more preferredPreferred LanguagePrefix used to distinguish ACI types (permission, delegation, selfservice, none)Preserved userPreserved usersPrevPrimary RID basePrimary RID range and secondary RID range cannot overlapPrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal '%(principal)s' is not permitted to use CA '%(ca)s' with profile '%(profile_id)s' for certificate issuance.Principal '%s' in subject alt name does not match requested principalPrincipal aliasPrincipal for this certificate (e.g. HTTP/test.example.com)Principal is not of the form user@REALM: '%(principal)s'Principal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority (order)Priority of the policy (higher number means lower priorityPriority of the rule (higher number means lower priorityPrivate key specified multiple timesPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProfileProfile IDProfile ID '%(cli_value)s' does not match profile data '%(file_value)s'Profile ID for referring to this profileProfile categoryProfile category the ACL applies toProfile configurationProfile configuration stored in file '%(file)s'Profile data specifies profileId multiple times: %(values)sProfile descriptionProfilesPrompt for LDAP passwordPrompt for the usernamePrompt for the username when multiple identities are mapped to a certificatePrompt to set the user passwordProspectiveProtocolProvisioningPublic KeyPublic keyPublic key can be specified only for asymmetric vaultPublic key specified multiple timesPublic key:QR code width is greater than that of the output tty. Please resize your terminal.QuantityQuery current Domain Level.Query returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.RADIUSRADIUS Proxy Server SettingsRADIUS ServerRADIUS ServersRADIUS proxy configurationRADIUS proxy serverRADIUS proxy server nameRADIUS proxy server with name "%s" already existsRADIUS proxy serversRADIUS proxy usernameREVOKEDRFC4120-compliant Kerberos realmRFC822Name does not match any of user's email addressesRP recordRPC command used to log the current user out of their session.RRSIG AlgorithmRRSIG Key TagRRSIG LabelsRRSIG Original TTLRRSIG SignatureRRSIG Signature ExpirationRRSIG Signature InceptionRRSIG Signer's NameRRSIG Type CoveredRRSIG recordRandom passwordRange SettingsRange nameRange sizeRange typeRaw %s recordsRaw A recordsRaw A6 recordsRaw AAAA recordsRaw AFSDB recordsRaw APL recordsRaw CERT recordsRaw CNAME recordsRaw DHCID recordsRaw DLV recordsRaw DNAME recordsRaw DNSKEY recordsRaw DS recordsRaw HIP recordsRaw IPSECKEY recordsRaw KEY recordsRaw KX recordsRaw LOC recordsRaw MX recordsRaw NAPTR recordsRaw NS recordsRaw NSEC recordsRaw NSEC3 recordsRaw PTR recordsRaw RP recordsRaw RRSIG recordsRaw SIG recordsRaw SPF recordsRaw SRV recordsRaw SSHFP recordsRaw TA recordsRaw TKEY recordsRaw TLSA recordsRaw TSIG recordsRaw TXT recordsRaw target filterRaw value of a DNS record was already set by "%(name)s" optionRe-established trust to domain "%(value)s"Re-sync the local entitlement cache with the entitlement server.Realm DomainsRealm administrator password should be specifiedRealm domainsRealm nameRealm-domain mismatchReasonReason for RevocationReason for revoking the certificate (0-10)Reason for revoking the certificate (0-10). Type "ipa help cert" for revocation reason details. Rebuild auto membershipRebuild auto membership.Rebuild membership for all members of a groupingRebuild membership for specified hostsRebuild membership for specified usersRecommended maximum number of agreements per replica exceededRecord TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRedirection to PTR recordRefreshRefresh list of the domains associated with the trustRefresh the page.Register to the entitlement system.Registration passwordRegular ExpressionRelative record name '%(record)s' contains the zone name '%(zone)s' as a suffix, which results in FQDN '%(fqdn)s'. This is usually a mistake caused by a missing dot at the end of the name specification.Relative weight for entries with the same priority.Relative weight for server services (counts per location)Reload current settings from the server.Reload the browser.Remote IPA server hostnameRemote server nameRemoveRemove A, AAAA, SSHFP and PTR records of the host(s) managed by IPA DNSRemove CA ACLsRemove CAs from a CA ACL.Remove Certificate Authorities from CA ACL '${primary_key}'Remove DNS forward zonesRemove DNS resource recordsRemove DNS zonesRemove HBAC rulesRemove HBAC service '${primary_key}' from HBAC service groupsRemove HBAC service groupsRemove HBAC service groups from HBAC rule '${primary_key}'Remove HBAC servicesRemove HBAC services from HBAC rule '${primary_key}'Remove HBAC services from HBAC service group '${primary_key}'Remove ID rangesRemove ID viewsRemove IPA locationsRemove IPA servers from IPA location '${primary_key}'Remove Kerberos AliasRemove OTP tokensRemove PermissionRemove RADIUS serversRemove RunAs groups from sudo rule '${primary_key}'Remove RunAs user groups from sudo rule '${primary_key}'Remove RunAs users from sudo rule '${primary_key}'Remove a manager to the stage user entryRemove a manager to the user entryRemove a permission for per-forward zone access delegation.Remove a permission for per-zone access delegation.Remove all principals in this realmRemove allow sudo command groups from sudo rule '${primary_key}'Remove allow sudo commands from sudo rule '${primary_key}'Remove an option from Sudo Rule.Remove auto membership rulesRemove automount keysRemove automount locationsRemove automount mapsRemove certificate authoritiesRemove certificate holdRemove certificate identity mapping rulesRemove certificate mapping dataRemove certificate profilesRemove certificate profiles from CA ACL '${primary_key}'Remove certificates from a serviceRemove certificates from host entryRemove commands and sudo command groups affected by Sudo Rule.Remove conditions from an automember rule.Remove default (fallback) group for all unmatched entries.Remove delegationsRemove deny sudo command groups from sudo rule '${primary_key}'Remove deny sudo commands from sudo rule '${primary_key}'Remove domainsRemove entries from DNSRemove exclusive conditions from rule '${primary_key}'Remove from CRLRemove group ID overridesRemove group for Sudo to execute as.Remove holdRemove host '${primary_key}' from HBAC rulesRemove host '${primary_key}' from host groupsRemove host '${primary_key}' from netgroupsRemove host '${primary_key}' from rolesRemove host '${primary_key}' from sudo rulesRemove host group '${primary_key}' from HBAC rulesRemove host group '${primary_key}' from host groupsRemove host group '${primary_key}' from netgroupsRemove host group '${primary_key}' from sudo rulesRemove host groupsRemove host groups from CA ACL '${primary_key}'Remove host groups from HBAC rule '${primary_key}'Remove host groups from SELinux user map '${primary_key}'Remove host groups from host group '${primary_key}'Remove host groups from netgroup '${primary_key}'Remove host groups from role '${primary_key}'Remove host groups from sudo rule '${primary_key}'Remove hostsRemove hosts and hostgroups affected by Sudo Rule.Remove hosts from CA ACL '${primary_key}'Remove hosts from HBAC rule '${primary_key}'Remove hosts from SELinux user map '${primary_key}'Remove hosts from host group '${primary_key}'Remove hosts from netgroup '${primary_key}'Remove hosts from role '${primary_key}'Remove hosts from sudo rule '${primary_key}'Remove hosts managing host '${primary_key}'Remove hosts managing service '${primary_key}'Remove hosts that can manage this host.Remove hosts that can manage this service.Remove inclusive conditions from rule '${primary_key}'Remove information about the domain associated with the trust.Remove member from a named service delegation rule.Remove member from a named service delegation target.Remove member from a named service delegation.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a permission.Remove members from a privilegeRemove members from a role.Remove members from a vault.Remove members from an HBAC service group.Remove netgroup '${primary_key}' from netgroupsRemove netgroupsRemove netgroups from netgroup '${primary_key}'Remove one or more certificate mappings from the stage user entry.Remove one or more certificate mappings from the user entry.Remove one or more certificates to the idoverrideuser entryRemove one or more certificates to the stageuser entryRemove one or more certificates to the user entryRemove orphan automember rulesRemove owners from a vault container.Remove owners from a vault.Remove password policiesRemove permissionsRemove permissions from a privilege.Remove preserved usersRemove principal alias from a host entryRemove principal alias from a serviceRemove principal alias from the stageuser entryRemove principal alias from the user entryRemove privilege '${primary_key}' from permissionsRemove privilegesRemove privileges from a role.Remove privileges from permission '${primary_key}'Remove profiles from a CA ACL.Remove role '${primary_key}' from privilegesRemove rolesRemove roles from privilege '${primary_key}'Remove self service permissionsRemove selinux user mapsRemove service '${primary_key}' from rolesRemove service and service groups from an HBAC rule.Remove servicesRemove services from CA ACL '${primary_key}'Remove services from a CA ACL.Remove services from members of vault '${primary_key}'Remove services from owners of vault '${primary_key}'Remove services from role '${primary_key}'Remove services from user group '${primary_key}'Remove source hosts and hostgroups from an HBAC rule.Remove stage usersRemove sudo command '${primary_key}' from sudo command groupsRemove sudo command groupsRemove sudo commandsRemove sudo commands from sudo command group '${primary_key}'Remove sudo optionsRemove sudo rulesRemove target from a named service delegation rule.Remove target hosts and hostgroups from a CA ACL.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove topology segmentsRemove trustsRemove user '${primary_key}' from HBAC rulesRemove user '${primary_key}' from netgroupsRemove user '${primary_key}' from rolesRemove user '${primary_key}' from sudo rulesRemove user '${primary_key}' from user groupsRemove user ID overridesRemove user group '${primary_key}' from HBAC rulesRemove user group '${primary_key}' from netgroupsRemove user group '${primary_key}' from rolesRemove user group '${primary_key}' from sudo rulesRemove user group '${primary_key}' from user groupsRemove user groupsRemove user groups from CA ACL '${primary_key}'Remove user groups from HBAC rule '${primary_key}'Remove user groups from SELinux user map '${primary_key}'Remove user groups from members of vault '${primary_key}'Remove user groups from netgroup '${primary_key}'Remove user groups from owners of vault '${primary_key}'Remove user groups from role '${primary_key}'Remove user groups from sudo rule '${primary_key}'Remove user groups from user group '${primary_key}'Remove usersRemove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from a CA ACL.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Remove users from CA ACL '${primary_key}'Remove users from HBAC rule '${primary_key}'Remove users from SELinux user map '${primary_key}'Remove users from members of vault '${primary_key}'Remove users from netgroup '${primary_key}'Remove users from owners of vault '${primary_key}'Remove users from role '${primary_key}'Remove users from sudo rule '${primary_key}'Remove users from user group '${primary_key}'Remove users managing OTP token '${primary_key}'Remove users that can manage this token.Remove vaultsRemoved aliases from host "%(value)s"Removed aliases from stageuser "%(value)s"Removed aliases from user "%(value)s"Removed aliases to the service principal "%(value)s"Removed certificate mappings from user "%(value)s"Removed certificates from host "%(value)s"Removed certificates from idoverrideuser "%(value)s"Removed certificates from service principal "%(value)s"Removed certificates from stageuser "%(value)s"Removed certificates from user "%(value)s"Removed condition(s) from "%(value)s"Removed default (fallback) group for automember "%(value)s"Removed information about the trusted domain "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing %(servers)s from replication topology, please wait...Removing principal %s
RenameRename an ACI.Rename the %(ldap_obj_name)s objectRename the DNS resource record objectRename the Group ID override objectRename the ID View objectRename the OTP token objectRename the RADIUS proxy server objectRename the User ID override objectRename the automount key objectRename the group objectRename the permission objectRename the privilege objectRename the role objectRename the stage user objectRename the user objectRenamed ACI to "%(value)s"Renewal master for IPA certificate authorityReplacementReplica is active DNSSEC key master. Uninstall could break your DNS system. Please disable or replace DNSSEC key master first.Replication agreement enabledReplication agreement for %(hostname)s not foundReplication configurationReplication refresh for segment: "%(pkey)s" requested.Replication topology of suffix "%(suffix)s" contains errors.Replication topology of suffix "%(suffix)s" is in order.Report PKINIT status on the IPA mastersRequest a full re-initialization of the node retrieving data from the other node.Request failed with status %(status)s: %(reason)sRequest idRequest is missing "method"Request is missing "params"Request must be a dictRequest statusRequiredRequired fieldRequires pre-authenticationResetReset Kerberos ticket policy to the default values.Reset OTPReset PasswordReset Password and Log inReset your password.Resolve a host name in DNS.Resolve a host name in DNS. (Deprecated)Resolve security identifiers of users and groups in trusted domainsRestoreResultResult of simulationResult of the commandResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Results should contain primary key attribute only ("anchor")Results should contain primary key attribute only ("certificate")Results should contain primary key attribute only ("cn")Results should contain primary key attribute only ("command")Results should contain primary key attribute only ("delegation-name")Results should contain primary key attribute only ("domain")Results should contain primary key attribute only ("group")Results should contain primary key attribute only ("group-name")Results should contain primary key attribute only ("hostgroup-name")Results should contain primary key attribute only ("hostname")Results should contain primary key attribute only ("id")Results should contain primary key attribute only ("location")Results should contain primary key attribute only ("login")Results should contain primary key attribute only ("map")Results should contain primary key attribute only ("name")Results should contain primary key attribute only ("principal")Results should contain primary key attribute only ("realm")Results should contain primary key attribute only ("service")Results should contain primary key attribute only ("sudocmdgroup-name")Results should contain primary key attribute only ("sudorule-name")RetriesRetrieve a data from a vault.Retrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve current keys without changing themRetrieve data from a vault.Retrieve the entitlement certs.Retrieved data from vault "%(value)s"Retrieving CA cert chain failed: %sRetrieving CA status failed with status %dRetrieving CA status failed: %sRetryRetrying with pre-4.0 keytab retrieval method...
Return command defaultsReturn to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkRevertRevocation reasonRevokeRevoke a certificate.Revoke certificateRevokedRevoked on fromRevoked on from this date (YYYY-mm-dd)Revoked on toRevoked on to this date (YYYY-mm-dd)Right nodeRight replication node - an IPA serverRightsRights to grant (read, search, compare, write, add, delete, all)RoleRole SettingsRole nameRole statusRole-Based Access ControlRolesRoot domain of the trust is always enabled for the existing trustRule nameRule statusRule typeRule type (allow)Rule used to check if a certificate can be used for authenticationRule used to map the certificate with a user entryRulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersRunAsGroup does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a user nameSELinux OptionsSELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user '%(user)s' is not valid: %(error)sSELinux user map default user not in order listSELinux user map list not found in configurationSELinux user map orderSHA1 FingerprintSHA256 FingerprintSIDSID blacklist incomingSID blacklist outgoingSID does not match any trusted domainSID does not match exactlywith any trusted domain's SIDSID for the specified trusted domain name could not be found. Please specify the SID directly using dom-sid option.SID is not recognized as a valid SID for a trusted domainSID is not validSIG AlgorithmSIG Key TagSIG LabelsSIG Original TTLSIG SignatureSIG Signature ExpirationSIG Signature InceptionSIG Signer's NameSIG Type CoveredSIG recordSMB Home DirectorySMB Home Directory DriveSMB logon script pathSMB profile pathSMB service NetBIOS nameSOA classSOA expireSOA minimumSOA mname (authoritative server) overrideSOA mname overrideSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA record time to liveSOA refreshSOA retrySOA serialSOA time to liveSPF recordSRV PortSRV PrioritySRV TargetSRV WeightSRV recordSSH public keySSH public key fingerprintSSH public key:SSH public keysSSHFP AlgorithmSSHFP FingerprintSSHFP Fingerprint TypeSSHFP recordSSSD was unable to resolve the object to a valid SIDSaltSame as --%sSaveSchema is up to date (FP '%(fingerprint)s', TTL %(ttl)s s)SearchSearch OptionsSearch command parameters.Search domains of the trustSearch for %(searched_object)s with these %(relationship)s %(ldap_object)s.Search for %(searched_object)s without these %(relationship)s %(ldap_object)s.Search for %1$s on rootdse failed with error %2$d
Search for CA ACLs.Search for CAs.Search for Certificate Identity Mapping Rules.Search for Certificate Profiles.Search for Class of Service entrySearch for DNS forward zones.Search for DNS resources.Search for DNS servers.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA locations.Search for IPA namingContext failed with error %d
Search for IPA servers.Search for IPA services.Search for OTP token.Search for RADIUS proxy servers.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an Group ID override.Search for an HBAC service group.Search for an ID View.Search for an ID override.Search for an User ID override.Search for an automount key.Search for an automount location.Search for an automount map.Search for automember rules.Search for certificates with these owner %s.Search for certificates without these owner %s.Search for classes.Search for command outputs.Search for commands.Search for delegations.Search for entitlement accounts.Search for existing certificates.Search for forward zones onlySearch for group password policies.Search for groups with these member groups.Search for groups with these member of HBAC rules.Search for groups with these member of groups.Search for groups with these member of netgroups.Search for groups with these member of roles.Search for groups with these member of sudo rules.Search for groups with these member users.Search for groups without these member groups.Search for groups without these member of HBAC rules.Search for groups without these member of groups.Search for groups without these member of netgroups.Search for groups without these member of roles.Search for groups without these member of sudo rules.Search for groups without these member users.Search for groups.Search for help topics.Search for host groups with these member host groups.Search for host groups with these member hosts.Search for host groups with these member of HBAC rules.Search for host groups with these member of host groups.Search for host groups with these member of netgroups.Search for host groups with these member of sudo rules.Search for host groups without these member host groups.Search for host groups without these member hosts.Search for host groups without these member of HBAC rules.Search for host groups without these member of host groups.Search for host groups without these member of netgroups.Search for host groups without these member of sudo rules.Search for hostgroups.Search for hosts with these enrolled by users.Search for hosts with these managed by hosts.Search for hosts with these managing hosts.Search for hosts with these member of HBAC rules.Search for hosts with these member of host groups.Search for hosts with these member of netgroups.Search for hosts with these member of roles.Search for hosts with these member of sudo rules.Search for hosts without these enrolled by users.Search for hosts without these managed by hosts.Search for hosts without these managing hosts.Search for hosts without these member of HBAC rules.Search for hosts without these member of host groups.Search for hosts without these member of netgroups.Search for hosts without these member of roles.Search for hosts without these member of sudo rules.Search for hosts.Search for netgroups with these member groups.Search for netgroups with these member host groups.Search for netgroups with these member hosts.Search for netgroups with these member netgroups.Search for netgroups with these member of netgroups.Search for netgroups with these member users.Search for netgroups without these member groups.Search for netgroups without these member host groups.Search for netgroups without these member hosts.Search for netgroups without these member netgroups.Search for netgroups without these member of netgroups.Search for netgroups without these member users.Search for permissions.Search for privileges.Search for ranges.Search for roles.Search for servers with these managed suffixes.Search for servers without these managed suffixes.Search for service delegation target.Search for service delegations rule.Search for services with these managed by hosts.Search for services without these managed by hosts.Search for stage users with these member of HBAC rules.Search for stage users with these member of groups.Search for stage users with these member of netgroups.Search for stage users with these member of roles.Search for stage users with these member of sudo rules.Search for stage users without these member of HBAC rules.Search for stage users without these member of groups.Search for stage users without these member of netgroups.Search for stage users without these member of roles.Search for stage users without these member of sudo rules.Search for stage users.Search for topology segments.Search for topology suffices.Search for topology suffixes.Search for trusts.Search for users with these member of HBAC rules.Search for users with these member of groups.Search for users with these member of netgroups.Search for users with these member of roles.Search for users with these member of sudo rules.Search for users without these member of HBAC rules.Search for users without these member of groups.Search for users without these member of netgroups.Search for users without these member of roles.Search for users without these member of sudo rules.Search for users.Search for vaults.Search result has been truncated: %(reason)sSearch scopeSearch size limitSearch time limitSecond CodeSecond OTPSecondary RID baseSeconds LatitudeSeconds LongitudeSecretSecrets can be added/retrieved to vault only by using vault-archive and vault-retrieve from CLI.Security IdentifierSecurity Identifiers (SIDs)Segment detailsSegment nameSelect AllSelect entries to be removed.SelectorSelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemantic of %(label)s was changed. %(current_behavior)s
%(hint)sSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSensitiveSerialSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServerServer "%(srv)s" has %(n)d agreements with servers:Server %(srv)s can't contact servers: %(replicas)sServer NameServer OptionsServer RoleServer RolesServer does not support domain level functionalityServer has already been deletedServer has no information about domain '%(domain)s'Server nameServer name not provided and unavailable
Server removal aborted: %(reason)s.Server stateServer will check DNS forwarder(s).ServersServers details:Servers in locationServers that belongs to the IPA locationServiceService %(service)s requires restart on IPA server %(server)s to apply configuration changes.Service '%(service)s' not found in Kerberos databaseService CertificateService GroupsService OptionsService SettingsService VaultsService categoryService category the ACL applies toService category the rule applies toService delegation ruleService delegation rulesService delegation targetService delegation targetsService group nameService nameService name of the service vaultService principalService principal aliasService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService principal is requiredService relative weightService unprovisionedService weightService(s), shared, and user(s) options cannot be specified simultaneouslyService, shared and user options cannot be specified simultaneouslyService, shared, and user options cannot be specified simultaneouslyServicesSession errorSession key wrapped with transport certificateSession timeoutSetSet Domain LevelSet OTPSet SSH keySet a user's password.Set an attribute to a name/value pair. Format is attr=value.
For multi-valued attributes, the command replaces the values already present.Set default (fallback) group for all unmatched entries.Set default (fallback) group for automember "%(value)s"Set enabled/hidden state of a server.Set public keySettingsSharedShared VaultsShared secret for the trustShared vaultShowShow IPA server.Show QR codeShow ResultsShow all loaded plugins.Show configuration uriShow detailsShow environment variables.Show global trust configuration.Show managed suffix.Show role status on a serverShow the current Certificate Identity Mapping configuration.Show the current OTP configuration.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShow vault configuration.Show/Set keyShowing ${start} to ${end} of ${total} entries.SignatureSignature ExpirationSignature InceptionSigner's NameSimple bind failed
Simulate use of Host-based access controlsSince IPA does not manage DNS records, ensure DNS is configured to resolve '{domain}' domain from IPA hosts and back.SizeSize LimitSize of data exceeds the limit. Current vault data size limit is %(limit)d BSize of the ID range reserved for the trusted domainSkip DNS checkSkip a check whether the last CA master or DNS server is removedSkip host checkSkip overlap checkSkipped %(key)sSkipped %(map)sSome entries were not deletedSome operations failed.Source Host GroupsSource HostsSource hostSource host categorySource host category the rule applies toSpecified CAsSpecified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified ProfilesSpecified Services and GroupsSpecified Users and GroupsSpecified trusted domain name could not be found.Specifies where to store keytab information.Specify external ${entity}Split DNS record to partsStageStage UserStage UsersStage user %s activatedStage usersStaged user account "%(value)s"StandardStandard Record TypesStateState/ProvinceStatusStatus of the roleStop already started refresh of chosen node(s)Stopping of replication refresh for segment: "%(pkey)s" requested.Store and provide schema for commands and topicsStore issued certificatesStreet addressStructuredSubjectSubject DNSubject DN is already used by CA '%s'Subject DNS nameSubject Distinguished NameSubject EDI Party nameSubject IP AddressSubject Kerberos principal nameSubject OIDSubject Other NameSubject UPNSubject URISubject X.400 addressSubject alt name type %s is forbiddenSubject directory nameSubject email addressSubject of the certificateSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSuccessSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSudo orderSuffix nameSupersededSupported encryption types:
Suppress processing of membership attributes.SymmetricSync OTP TokenSynchronize an OTP token.SynchronizingSyntax Error: %(error)sSystem DNS records updatedSystem encoding must be UTF-8, '%(encoding)s' is not supported. Set LC_ALL="C.UTF-8", or LC_ALL="" and LC_CTYPE="C.UTF-8".TA recordTKEY recordTLSA Certificate Association DataTLSA Certificate UsageTLSA Matching TypeTLSA SelectorTLSA recordTOTP Synchronization WindowTOTP authentication WindowTOTP authentication time variance (seconds)TOTP synchronization time variance (seconds)TOTP token / IPA server time differenceTSIG recordTXT Text DataTXT recordTake a revoked certificate off hold.TargetTarget DNTarget DN subtreeTarget Uniform Resource IdentifierTarget Uniform Resource Identifier according to RFC 3986Target groupTarget hostTarget members of a groupTarget members of a group (sets memberOf targetfilter)Target reverse zone not found.Target your own entry (self)Task DNTask DN = '%s'Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe --domain option cannot be used together with --add-domain or --del-domain. Use --domain to specify the whole realm domain list explicitly, to add/remove individual domains, use --add-domain/del-domain.The ACI for permission %(name)s was not found in %(dn)s The IPA realmThe _kerberos TXT record from domain %(domain)s could not be created (%(error)s).
This can happen if the zone is not managed by IPA. Please create the record manually, containing the following value: '%(realm)s'The _kerberos TXT record from domain %(domain)s could not be removed (%(error)s).
This can happen if the zone is not managed by IPA. Please remove the record manually.The automount key %(key)s with info %(info)s does not existThe certificate for %(ca)s is not available on this server.The character %(char)r is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain %s is neither IPA domain nor a trusteddomain.The domain name of the target host or '.' if the service is decidedly not available at this domainThe domain(s) "%s" cannot be used to apply altSecurityIdentities check.The following domains do not belong to this realm: %(domains)sThe group doesn't existThe host '%s' does not exist to add a service to.The host was added but the DNS update failed with: %(reason)sThe hostname must be fully-qualified: %s
The hostname must not be: %s
The hostname or IP (with or without port)The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe keytab file to append the new key to (will be created if it does not exist).The keytab file to remove the principcal(s) fromThe mapping rule with altSecurityIdentities should be applied to a trusted Active Directory domain but no domain was associated with the rule.The most common types for this type of zone are: %s
The number of times to retry authenticationThe password or username you entered is incorrectThe primary_key value of the entry, e.g. 'jdoe' for a userThe principal for this request doesn't exist.The principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The principal to remove from the keytab (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe realm of the following domains could not be detected: %(domains)s. If these are domains that belong to the this realm, please create a _kerberos TXT record containing "%(realm)s" in each of them.The schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The secret used to encrypt dataThe service is allowed to authenticate on behalf of a clientThe service principal for subject alt name %s in certificate request does not existThe topic or command name.The total timeout across all retries (in seconds)The user account you entered is lockedThe username attribute on the user objectThe username, password or token codes are not correctThere is already a trust to {ipa_domain} with unsupported type {trust_type}. Please remove it manually on AD DC side.There was a problem with your request. Please, try again later.This command can not be used to change ID allocation for local IPA domain. Run `ipa help idrange` for more informationThis command relies on the existence of the "editors" group, but this group was not found.This command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis may take some time, please wait ...This page has unsaved changes. Please save or revert.Ticket expiredTicket policy for %s could not be readTime LimitTime limit of search in secondsTime limit of search in seconds (0 is unlimited)Time nowTime to liveTime to live for records at zone apexTime to live for records without explicit TTL definitionTime-based (TOTP)TimeoutTimeout exceeded.To establish trust with Active Directory, the domain name and the realm name of the IPA server must matchTo get command help, use:Token IDToken description (informational only)Token hash algorithmToken model (informational only)Token secret (Base32; default: random)Token serial (informational only)Token synchronization failedToken vendor name (informational only)Token was synchronizedTopic commands:Topic or CommandTopologyTopology SegmentTopology SegmentsTopology does not allow server %(server)s to replicate with servers:Topology is disconnectedTopology management requires minimum domain level {0} Topology suffixTopology suffixesTotal number of variables env (>= count)Transport CertificateTrueTrue if not all results were returnedTrue means the operation was successfulTrustTrust SettingsTrust directionTrust setupTrust statusTrust typeTrust type (ad for Active Directory, default)Trusted domainTrusted domain %(domain)s is included among IPA realm domains. It needs to be removed prior to establishing the trust. See the "ipa realmdomains-mod --del-domain" command.Trusted domain and administrator account use different realmsTrusted domain did not return a unique objectTrusted domain did not return a valid SID for the objectTrusted domain partnerTrusted domainsTrusted for delegationTrusted forestTrusted to authenticate as userTrusting forestTrustsTwo factor authentication (password + OTP)Two-way trustTypeType CoveredType MapType of IPA object (sets subtree and objectClass targetfilter)Type of IPA object (user, group, host, hostgroup, service, netgroup, dns)Type of the tokenType of trusted domain ID range, one of allowed valuesType of trusted domain ID range, one of ipa-ad-trust-posix, ipa-ad-trustTypes of supported user authenticationUIDUPN suffixesURIURLUUIDUn-applyUn-apply ID Views from hostsUn-apply ID Views from hosts of hostgroupsUn-apply ID view '${primary_key}' from hostsUn-apply from host groupsUn-apply from hostsUnable to communicate with CMSUnable to communicate with CMS (status %d)Unable to create private group. A group '%(group)s' already exists.Unable to determine IPA server from %s
Unable to determine if Kerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Unable to determine root DN of %s
Unable to display QR code using the configured output encoding. Please use the token URI to configure your OTP deviceUnable to enable SSL in LDAP
Unable to generate Kerberos Credential Cache
Unable to initialize STARTTLS session
Unable to initialize connection to ldap server %1$s: %2$s
Unable to initialize ldap library!
Unable to join host: Kerberos Credential Cache not found
Unable to join host: Kerberos User Principal not found and host password not provided.
Unable to join host: Kerberos context initialization failed
Unable to parse principal
Unable to parse principal name
Unable to parse principal: %1$s (%2$d)
Unable to remove entry
Unable to resolve domain controller for {domain} domain. Unable to set LDAP_OPT_PROTOCOL_VERSION
Unable to set LDAP_OPT_X_SASL_NOCANON
Unable to set LDAP_OPT_X_TLS_CACERTFILE
Unable to set LDAP_OPT_X_TLS_PROTOCOL_MIN
Unable to set LDAP_OPT_X_TLS_REQUIRE_CERT
Unable to verify write permissions to the ADUndelete a delete user account.Undeleted user account "%(value)s"UndoUndo AllUndo all changes in this field.Undo this change.Unenroll this host from IPA serverUnenrollment failed.
Unenrollment successful.
Unique IDUnknownUnknown ErrorUnknown option: %(option)sUnlockUnlocked account "%(value)s"UnmatchedUnprovisionUnprovisioning hostUnprovisioning serviceUnrecognized attributes: %(attrs)sUnresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUnsupported valueUpdateUpdate DNS entriesUpdate System DNS RecordsUpdate location and IPA server DNS recordsUpdate of system record '%(record)s' failed with error: %(error)sUserUser GroupUser GroupsUser IDUser ID NumberUser ID Number (system will assign one if not provided)User ID overrideUser ID overridesUser LoginUser OptionsUser VaultsUser attributeUser attributes for SMB servicesUser authentication typesUser categoriesUser categoryUser category (semantics placed on this attribute are for local interpretation)User category the ACL applies toUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group ruleUser group rulesUser group to apply delegation toUser group to apply permissions toUser group to apply permissions to (sets target)User loginUser loginsUser nameUser object classUser object overridesUser passwordUser password expirationUser search fieldsUser to overrideUser-friendly description of action performedUser-specified attributes to which the permission appliesUser-specified attributes to which the permission explicitly does not applyUsernameUsername of the user vaultUsersUsers allowed to create keytabUsers allowed to retrieve keytabValid Certificate PresentValid fromValid not after fromValid not after from this date (YYYY-mm-dd)Valid not after toValid not after to this date (YYYY-mm-dd)Valid not before fromValid not before from this date (YYYY-mm-dd)Valid not before toValid not before to this date (YYYY-mm-dd)Valid toValidation errorValidityValidity endValidity startVaultVault ContainerVault ContainersVault TypeVault configurationVault data encrypted with session keyVault descriptionVault nameVault passwordVault private keyVault public keyVault saltVault serviceVault typeVault userVaultsVaults ConfigVendorVerify PasswordVerify Principal PasswordVersionVertical PrecisionVia ServiceViewView CertificateWaiting for confirmation by remote sideWarningWarning unrecognized encryption type.
Warning unrecognized salt type.
Warning: Consider service replicationWarning: failed to convert type (#%d)
Warning: salt types are not honored with randomized passwords (see opt. -P)
WeightWeight for server servicesWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhether PKINIT is enabled or disabledWhether a replication agreement is active, meaning whether replication is occurring per that agreementWhether to store certs issued using this profileWhoWorkingWrite certificate (chain if --chain used) to fileWrite profile configuration to fileX.509 certificate chainYou are trying to reference a magic private group which is not allowed to be overridden. Try overriding the GID attribute of the corresponding user instead.You can use <a href="${link}" target="_blank">FreeOTP<a/> as a software OTP token application.You may need to manually remove them from the treeYou must enroll a host in order to create a host serviceYou will be redirected in ${count}sYou will be redirected to DNS Zone.Your password expires in ${days} days.Your password has expired. Please enter a new password.Your session has expired. Please log in again.Your trust to %(domain)s is broken. Please re-create it by running 'ipa trust-add' again.YubiKey slotZIPZone forwardersZone found: ${zone}Zone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d
active user with name "%(user)s" already existsadded attribute value to entry %(value)salgorithm value: allowed interval 0-255all masters must have %(role)s role enabledan internal error has occurredan internal error has occurred on server at '%(server)s'answer to query '%(owner)s %(rtype)s' is missing DNSSEC signatures (no RRSIG data)any of the configured serversapi has no such namespace: '%(name)s'at least one of options: type, users, hosts must be specifiedat least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredat least one value equal to the canonical principal name must be presentattribute "%(attribute)s" not allowedattribute "%s" not allowedattribute is not configurableattrs and included attributes are mutually exclusiveattrs and included/excluded attributes are mutually exclusiveautomatically add the principal if it doesn't existautomatically add the principal if it doesn't exist (service principals only)automount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?!
ber_scanf() failed, unable to find kvno ?!
bind passwordcan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot add permission "%(perm)s" with bindtype "%(bindtype)s" to a privilegecannot be emptycannot be longer that {} characterscannot connect to '%(uri)s': %(error)scannot delete global password policycannot delete managed permissionscannot delete root domain of the trust, use trust-del to delete the trust itselfcannot disable root domain of the trust, use trust-del to delete the trust itselfcannot have an empty subjectcannot open configuration file %s
cannot rename managed permissionscannot set bindtype for a permission that is assigned to a privilegecannot specify both raw certificate and filecannot specify both subject/issuer and certificatecannot specify both subject/issuer and ipacertmapdatacannot specify full target filter and extra target filter simultaneouslycannot stat() configuration file %s
change collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d
cn is immutablecolon-separated list of domains used for short name qualificationcomma-separated list of HBAC service groups to addcomma-separated list of HBAC service groups to removecomma-separated list of HBAC services to addcomma-separated list of HBAC services to removecomma-separated list of groups to addcomma-separated list of groups to exclude from migrationcomma-separated list of groups to removecomma-separated list of host groups to addcomma-separated list of host groups to removecomma-separated list of hosts to addcomma-separated list of hosts to removecomma-separated list of members of a trusted domain in DOM\name or name@domain formcomma-separated list of netgroups to addcomma-separated list of netgroups to removecomma-separated list of permissionscomma-separated list of permissions to grant(read, write, add, delete, all)comma-separated list of privilegescomma-separated list of privileges to addcomma-separated list of privileges to removecomma-separated list of roles to addcomma-separated list of roles to removecomma-separated list of sudo command groups to addcomma-separated list of sudo command groups to removecomma-separated list of sudo commands to addcomma-separated list of sudo commands to removecomma-separated list of users to addcomma-separated list of users to exclude from migrationcomma-separated list of users to removecommandcommand '%(name)s' takes at most %(count)d argumentcommand '%(name)s' takes at most %(count)d argumentscommand '%(name)s' takes no argumentscommandscommands cannot be added when command category='all'commands for controlling sudo configurationcommunication with CIFS server was unsuccessfulconfiguration optionscontainer entry (%(container)s) not founddefault CA ACL can be only disableddelegationdelegationsdeletedescriptiondid not receive Kerberos credentialsdoes not match any of accepted formats: domaindomain is not configureddomain is not trusteddomain name '%(domain)s' should be normalized to: %(normalized)sdomain name cannot be longer than 255 characterseach ACL element must be terminated with a semicolonempty DNS labelempty filterenabledService/configuredService not in ipaConfigString kdc entryentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server '%(server)s': %(error)sexecuting ipa-getkeytab failed, errno %d
expected format: <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphenfile to store DNS records in nsupdate formatfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"flags value: allowed interval 0-255force NS record creation even if its hostname is not in DNSforce delete of SYSTEM permissionsforce host name even if not in DNSforce principal name even if host not in DNSforce principal name even if not in DNSforce service to be created even when host object does not exist to manage itfork() failed
format must be specified as
    "d1 [m1 [s1]] {"N"|"S"}  d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
    where:
       d1:     [0 .. 90]            (degrees latitude)
       d2:     [0 .. 180]           (degrees longitude)
       m1, m2: [0 .. 59]            (minutes latitude/longitude)
       s1, s2: [0 .. 59.999]        (seconds latitude/longitude)
       alt:    [-100000.00 .. 42849672.95] BY .01 (altitude in meters)
       siz, hp, vp: [0 .. 90000000.00] (size/precision in meters)
    See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sforward zone "%(fwzone)s" is not effective because of missing proper NS delegation in authoritative zone "%(authzone)s". Please add NS record "%(ns_rec)s" to parent zone "%(authzone)s".gid cannot be set for external groupgivenname is requiredgroupgroup runAsgroup, permission and self are mutually exclusivegroupsgroups to addgroups to exclude from migrationgroups to removehosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshost groups to addhost groups to removehost masks of allowed hostshostgrouphostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostgroupshostnamehostname contains empty label (consecutive dots)hostname in subject of request '%(cn)s' does not match name or aliases of principal '%(principal)s'hostname in subject of request '%(cn)s' does not match principal hostname '%(hostname)s'hostshosts cannot be added when host category='all'hosts cannot be set when type is 'group'hosts to addhosts to removeid rangeid range typeincomplete time valueincorrect typeinteger to order the Sudo rulesinvalid '%(name)s': %(error)sinvalid DN (%s)invalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid Profile IDinvalid SID: {SID}invalid SSH public keyinvalid address formatinvalid attribute nameinvalid domain nameinvalid domain-name: %sinvalid domain-name: not fully qualifiedinvalid e-mail format: %(email)sinvalid escape code in domain nameinvalid hostmaskinvalid port numberipa-getkeytab has bad permissions?
ipa-getkeytab not found
is requirediterations value: allowed interval 0-65535kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskeytab is a dangling symlink and owned by another user.
krb5_kt_close %1$d: %2$s
krb5_kt_get_entry %1$d: %2$s
krb5_kt_remove_entry %1$d: %2$s
krb5_parse_name %1$d: %2$s
krb5_unparse_name %1$d: %2$s
krbtgt certs can use only the %s profilekvno %d
left node ({host}) does not support suffix '{suff}'left node and right node must not be the sameleft node is not a topology node: %(leftnode)sleft or right node has to be specifiedlimits exceeded for this querylocal domain rangelocationlocationsmanager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:match the common name exactlymaximum serial numbermember %smember Certificate Profilemember HBAC servicemember HBAC service groupmember groupmember hostmember host groupmember netgroupmember principalmember privilegemember rolemember servicemember service delegation targetmember sudo commandmember sudo command groupmember userminimum serial numbermissing base_idmodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be "%s"must be '%(value)s'must be DNS namemust be Kerberos principalmust be TRUE or FALSEmust be True or Falsemust be Unicode textmust be a certificatemust be a certificate signing requestmust be a decimal numbermust be absolutemust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be at least 1must be at least 10must be binary datamust be datetime valuemust be dictionarymust be enabled only on a single mastermust be enclosed in parenthesesmust be exactly %(length)d bytesmust be exactly %(length)d charactersmust be one of %(values)smust be relativemust contain a tuple (list, dict)must equal %rmust have %(role)s role enabledmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsnetgroups to addnetgroups to removeno command nor help topic '%(topic)s'no modifications to be performedno trusted domain is configuredno trusted domain matched the specified flat namenot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform operation: %snot allowed to perform server connection checknot foundnot fully qualifiednot modifiable on managed permissionsnumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)snumber of passwordsobjectclass %s not foundone or more values to removeonly "ad" is supportedonly available on managed permissionsonly letters, numbers, %(chars)s are allowed. DNS label may not start or end with %(chars2)sonly master zones can contain recordsonly one CNAME record is allowed per name (RFC 2136, section 1.1.5)only one DNAME record is allowed per name (RFC 6672, section 2.4)only one node can be specifiedoperation not definedoption was renamed; use %soptions are not allowedorder must be a unique value (%(order)d already used by %(rule)s)out of memory
out-of-zone data: record name must be a subdomain of the zone or a relative nameoverlapping arguments and options: %(names)sowner %sowner groupowner of %(types)s records should not be a wildcard domain name (RFC 4592 section 4)owner serviceowner userparams must be a listparams must contain [args, options]params[0] (aka args) must be a listparams[1] (aka options) must be a dictpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermission "%(value)s" already existspermissionspkinitpreservepreserve and no-preserve cannot be both setprincipal not found
principal not found in XML-RPC response
principal to addprincipal to removepriority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivileged hostgroupprivileged service delegation ruleprivileged service delegation targetprivilegesprivileges to addprivileges to removeprofile category cannot be set to 'all' while there are allowed profilesprofiles cannot be added when profile category='all'pyhbac is not installed.pysss_murmur is not available on the server and no base-id is given.python-yubico is not installed.query '%(owner)s %(rtype)s' with EDNS0: %(error)squery '%(owner)s %(rtype)s': %(error)srange existsrange modification leaving objects with ID out of the defined range is not allowedrange type changeread error
realm not found
realm or UPN suffix overlaps with trusted domain namespacerecord '%(owner)s %(rtype)s' failed DNSSEC validation on server %(ip)sremoved attribute values from entry %(value)srequest failed with HTTP status %dresult not found in XML-RPC response
retrieve and print all attributes from the server. Affects command output.right node ({host}) does not support suffix '{suff}'right node is not a topology node: %(rightnode)srolerolesroles to addroles to removerunAs groupsrunAs userrunAs userssalt value: %(err)ssearch for POSIX groupssearch for groups with support of external non-IPA members from trusted domainssearch for managed groupssearch for non-POSIX groupssearch for private groupssearch results for objects to be migrated
have been truncated by the server;
migration process might be incomplete
secondssegmentsegmentsself service permissionself service permissionsserverserver roleserver rolesserversserviceservice category cannot be set to 'all' while there are allowed servicesservice delegation ruleservice delegation rulesservice delegation targetservice delegation targetsservice delegation targets to addservice delegation targets to removeservicesservices cannot be added when service category='all'services to addservices to removesetting Authoritative nameservershould not be a wildcard domain name (RFC 4592 section 4)sidgen_was_runsingle label {}s are not supportedskip reverse DNS detectionsn is requiredstage userstage userssubject alt name type %s is forbidden for non-user principalssubject alt name type %s is forbidden for user principalssubtree and type are mutually exclusivesudo commandsudo command groupsudo command groupssudo command groups to addsudo command groups to removesudo commandssudo commands to addsudo commands to removesudo rulesudo rulessuffixsuffixessystem ID Viewsystem IPA objects (e.g. system groups, user private groups) cannot be overriddentarget and targetgroup are mutually exclusivethe IPA server and the remote domain cannot share the same NetBIOS name: %sthe certificate with serial number the entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthere must be at least one target entry specifier (e.g. target, targetfilter, attrs)this option has been deprecated.this option is deprecatedtoo many '@' characterstrusttrust configurationtrust domaintrust domainstrust typetrusted domain objecttrusted domain object not foundtrusted domain user not foundtruststype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunknown command '%(name)s'unknown error %(code)d from %(server)s: %(error)sunsupported functional levelunsupported trust typeurluseruser "%s" is already activeuser category cannot be set to 'all' while there are allowed usersusersusers and hosts cannot both be setusers cannot be added when runAs user or runAs group category='all'users cannot be added when user category='all'users cannot be set when type is 'hostgroup'users to addusers to exclude from migrationusers to removevaluevaultvaultcontainervaultcontainersvaults{attr}: no such attribute{role}: role not foundProject-Id-Version: freeipa 4.9.0.dev201908140712+gitc9938e3d8
Report-Msgid-Bugs-To: https://pagure.io/freeipa/new_issue
PO-Revision-Date: 2019-11-12 12:31+0000
Last-Translator: Olesya Gerasimenko <gammaray@basealt.ru>
Language-Team: Russian
Language: ru
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=3; plural=(n%10==1 && n%100!=11 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2)
X-Generator: Zanata 4.6.2


ПРИМЕРЫ:


Примеры:
  Найти все IPA-серверы:
    ipa server-find


ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ DNS

        Переопределить это, чтобы получить возможность добавить данные об успехе или неудаче в возвращаемое сообщение.
        
        Переопределить это, чтобы получить возможность указать состояния успеха или неудачи.
        
    Добавить правило автоучастия.
    
    Добавить условия в правило автоучастия.
    
    Удалить правило автоучастия.
    
Показать сведения о правиле автоучастия.
    Показать сведения о группах автоучастия по умолчанию (резервных).
    
Состояние блокировки учётной записи пользователя.

    Учётная запись может быть заблокирована, если в течение определённого периода времени слишком большое количество раз был введён неверный пароль (соответствующие ограничения регулируются политикой паролей). Запись блокируется временно, она может быть разблокирована администратором.

    Эта программа соединяется с каждым главным IPA-сервером и показывает состояние блокировки на каждом из них.

    Чтобы определить, заблокирована ли учётная запись на указанном сервере, потребуется сравнить количество неудачных попыток входа и время последней неудачной попытки с эталонными значениями. Для блокировки учётной записи количество неудачных попыток входа должно превысить значение maxfail в течение временного интервала failinterval в соответствии с политикой паролей, связанной с пользователем.

    Счётчик неудачных попыток изменяется только тогда, когда пользователь выполняет попытку войти, поэтому учётная запись может казаться заблокированной, но время, прошедшее с последней неудачной попытки входа, превышает время блокировки (lockouttime), установленное политикой паролей. Это означает, что пользователь может войти в систему снова.
    
    Изменить отношение доверия (для будущего использования).

    В текущей версии для изменения атрибутов LDAP доступен только параметр по умолчанию. В последующих версиях будут добавлены более специфичные параметры.
    
    Изменить правило автоучастия.
    
    Изменение доменов области (realm).

    Проверка DNS: при ручном добавлении домена в список по умолчанию выполняется проверка DNS. Она устанавливает, связан ли домен с областью (realm) IPA, проверяя, есть ли у домена запись TXT _kerberos, которая содержит имя области (realm) IPA.  Эту проверку можно пропустить, указав параметр --force.

    Удаление: при удалении домена области (realm), у которого имеется соответствующая находящаяся под управлением IPA зона DNS, также автоматически удаляется и соответствующая запись TXT _kerberos в этой зоне. Другие записи в этой зоне и сама зона остаются.
    
    Удалить условия из правила автоучастия.
    
    Удалить группу по умолчанию (резервную) для всех несоответствующих записей.
    
Поиск правил автоучастия.
    Поиск неиспользуемых правил автоучастия. Чтобы найти все неиспользуемые правила, может потребоваться выполнить команду с правами привилегированного пользователя.
    
    Поиск пользователей, соответствующих предоставленному сертификату.

    Чтобы получить список соответствующих пользователей, эта команда использует данные SSSD, следовательно, она может возвращать кэшированные данные. Подробнее об очистке кэша SSSD можно узнать из документации к sss_cache.
    
    Установить группу по умолчанию (резервную) для всех несоответствующих записей.
    
Разблокировка учётной записи пользователя.
    
Учётная запись может быть заблокирована, если в течение определённого периода времени слишком большое количество раз был введён неверный пароль (соответствующие ограничения регулируются политикой паролей). Запись блокируется временно, она может быть разблокирована администратором.
    Объект контейнера хранилищ.
    
    Объект хранилища.
    
   Эта команда эквивалентна следующим командам:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Добавить расположение:
    ipa location-add location --description 'My location'

  Добавить сегмент топологии в суффикс "ca":
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  Добавить сегмент топологии к суффиксу "domain":
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Удалить расположение:
    ipa location-del location

  Удалить сегмент топологии в суффиксе "ca":
    ipa topologysegment-del ca segment_name

  Удалить сегмент топологии в суффиксе "domain":
    ipa topologysegment-del domain segment_name

  Найти все расположения:
    ipa location-find

  Найти все серверы:
    ipa server-find

  Найти все суффиксы:
    ipa topologysuffix-find

  Вывести список всех сегментов топологии в суффиксе "ca":
    ipa topologysegment-find ca

  Вывести список всех сегментов топологии в суффиксе "domain":
    ipa topologysegment-find domain

  Показать конфигурацию определённого DNS-сервера:
    ipa dnsserver-show

  Показать неявную роль главного IPA-сервера:
    ipa server-role-find --include-master

  Показать определённое расположение:
    ipa location-show location

  Показать определённый сервер:
    ipa server-show ipa.example.com

  Показать состояние роли "DNS server" на сервере:
    ipa server-role-show ipa.example.com "DNS server"

  Показать состояние всех настроенных ролей на сервере:
    ipa server-role-find ipa.example.com

  Показать состояние всех ролей, которые содержат "AD", на сервере:
    ipa server-role-find --server ipa.example.com --role="AD trust controller"

  Обновить конфигурацию определённого DNS-сервера:
    ipa dnsserver-mod

  Проверить топологию суффикса "ca":
    ipa topologysuffix-verify ca

  Проверить топологию суффикса "domain":
    ipa topologysuffix-verify domain

 Добавить запись LOC для example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Добавить в правило условие:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Добавить узел, который может управлять таблицей ключей и сертификатом этого узла:
   ipa host-add-managedby --hosts=test2 test

 Добавить узел в правило:
   ipa sudorule-add-host readfiles --hosts server.example.com

Добавить узел:
    ipa host-add web1.example.com

 Добавить почтовый сервер для example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Добавить новый узел с одноразовым паролем:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Добавить новый узел со случайным одноразовым паролем:
   ipa host-add --os='Fedora 12' --random test.example.com

 Добавить новый узел:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Добавить новый сервер:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Добавить новый токен:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Добавить новый токен:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Добавить разрешение на управление участием в группе:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

 Добавить разрешение на создание пользователей:
   ipa permission-add --type=user --permissions=add "Add Users"

 Добавить специальное правило Sudo для конфигурации сервера Sudo по умолчанию:
   ipa sudorule-add defaults

 Добавить стандартное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type standard

 Добавить симметричное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type symmetric --password-file password.txt

 Добавить пользователя в правило:
   ipa sudorule-add-user readfiles --users jsmith

 Добавить пользователя:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

 Добавить асимметричное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type asymmetric --public-key-file public.pem

 Добавить в правило исключительное условие, чтобы предотвратить автоназначение:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Добавить другую запись с помощью специальных параметров записи MX:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

Добавить другую запись с помощью интерактивного режима (в который программа переходит в ответ на команды dnsrecord-add, dnsrecord-mod или dnsrecord-del без параметров):
  ipa dnsrecord-add example.com @
  Выберите тип записи ресурса DNS, который следует добавить
  Наиболее распространённые типы для этого типа зон: NS, MX, LOC

  Тип записи ресурса DNS: MX
  Приоритет MX: 30
  Обменник MX: mail3
    Имя записи: example.com
    Запись MX: 10 mail1, 20 mail2, 30 mail3
    Запись NS: nameserver.example.com., nameserver2.example.com.

 Добавить новую запись A для www.example.com. Также создать обратную запись в соответствующей обратной зоне. В этом случае запись PTR "2", которая указывает на www.example.com, будет создана в зоне 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Добавить новую запись PTR для www.example.com:
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Добавить новые записи SRV для LDAP-серверов. Три четверти запросов должны отправляться на fast.example.com, одна четверть — на slow.example.com. Если обе службы недоступны, переключиться на backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Добавить новую обратную зону, указанную с помощью сетевого IP-адреса:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

Добавить новую зону:
  ipa dnszone-add example.com --admin-email=admin@example.com

 Добавить другой сервер имён для example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Добавить объект команды Sudo и добавить его в правило в качестве разрешённой команды:
   ipa sudocmd-add /usr/bin/less
   ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less

 Добавить общесистемные права доступа, которыми можно воспользоваться для делегирования привилегий для отдельных зон:
   ipa dnszone-add-permission example.com

 Добавить начальную группу или группу узлов:
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Добавить начальное правило:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Добавить участников хранилища:
   ipa vault-add-member <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

 Добавить владельцев хранилища:
   ipa vault-add-owner <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>]  [--groups <группы>] [--services <службы>]

 После внесения этих изменений три пятых запросов должны направляться на fast.example.com, а две пятых — на slow.example.com.

 Разрешить пользователю создавать таблицу ключей:
   ipa host-allow-create-keytab test2 --users=tuser1

 Разрешить пользователю создавать таблицу ключей:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

Пример интерактивного режима для команды dnsrecord-del:
   ipa dnsrecord-del example.com www
   Не указан параметр удаления определённой записи.
   Удалить все? Да/Нет (по умолчанию "Нет"):     (не удалять все записи)
   Текущее содержание записи DNS:

   Запись A: 192.0.2.2, 192.0.2.3

   Удалить запись A '192.0.2.2'? Да/Нет (по умолчанию "Нет"):
   Удалить запись A '192.0.2.3'? Да/Нет (по умолчанию "Нет"): y
     Имя записи: www
     Запись A: 192.0.2.2                  (запись A 192.0.2.3 удалена)

 Архивировать данные в асимметричное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>

 Архивировать данные в стандартное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>

 Архивировать данные в симметричное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>
       --password-file password.txt

 Изменить политику перенаправления (параметр forward-policy) для external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Изменить секрет:
   ipa radiusproxy-mod MyRADIUS --secret

 Изменить поставщика:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

Проверить состояние запроса подписи:
   ipa cert-status 10

 Создать новое правило сопоставления сертификатов с записями пользователей:
   ipa certmaprule-add rule1 --desc="Link certificate with subject and issuer"

 Создать новое правило:
   ipa sudorule-add readfiles

 Делегировать зону sub.example другому серверу имён:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Удалить правило сопоставления сертификатов с записями пользователей:
   ipa certmaprule-del rule1

 Удалить конфигурацию:
   ipa radiusproxy-del MyRADIUS

 Удалить узел:
   ipa host-del test.example.com

 Удалить токен:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Удалить хранилище:
   ipa vault-del <имя>
       [--user <пользователь>|--service <служба>|--shared]

 Удалить правило автоучастия:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

 Удалить зону перенаправления external.example.com:
   ipa dnsforwardzone-del external.example.com

 Удалить добавленный ранее сервер имён из example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Удалить участников хранилища:
   ipa vault-remove-member <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

 Удалить владельцев хранилища:
   ipa vault-remove-owner <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

 Удалить зону example.com вместе со всеми записями ресурсов:
   ipa dnszone-del example.com

 Отключить правило сопоставления сертификатов с записями пользователей:
   ipa certmaprule-disable rule1

 Отключить глобальное перенаправление для указанного поддерева:
   ipa dnszone-mod example.com --forward-policy=none

 Отключить ключ Kerberos, SSL-сертификат и все службы узла:
   ipa host-disable test.example.com

 Показать правило автоучастия:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Показать сведения о правиле сопоставления сертификатов с записями пользователей:
   ipa certmaprule-show rule1

Показать глобальную конфигурацию сопоставления сертификатов с записями пользователей:
   ipa certmapconfig-show

 Показать конфигурацию хранилища:
   ipa vaultconfig-show

 Включить правило сопоставления сертификатов с записями пользователей:
   ipa certmaprule-enable rule1

 Проверить сертификат:
   ipa cert-find --file=cert.pem --all

 Проверить конфигурацию:
   ipa radiusproxy-show MyRADIUS

 Проверить токен:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Найти записи A со значением 192.0.2.2 в зоне example.com:
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Найти все правила сопоставления сертификатов с записями пользователей в указанном домене:
   ipa certmaprule-find --domain example.com

 Найти все правила автоучастия:
    ipa automember-find

 Найти все неиспользуемые правила автоучастия:
    ipa automember-find-orphans --type=hostgroup
 Найти все неиспользуемые правила автоучастия и удалить их:
    ipa automember-find-orphans --type=hostgroup --remove

 Найти все серверы, записи которых содержат строку "example.com":
   ipa radiusproxy-find example.com

 Найти записи для ресурсов с "www" в имени в зоне example.com:
   ipa dnsrecord-find example.com www

 Найти параметры user-find:
   ipa param-find user-find

 Найти зону со словом "example" в имени домена:
   ipa dnszone-find example

 Перенаправлять все запросы для зоны external.example.com на другой перенаправитель с помощью политики "first" (запросы будут направлены на выбранный перенаправитель, а если он не ответит, будут использованы глобальные корневые серверы):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

Создать и получить таблицу ключей для службы IPA:
  ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Если настроен глобальный перенаправитель, все запросы, для которых этот сервер не является полномочным (например, sub.example.com), будут перенаправлены на глобальный перенаправитель. Конфигурацию глобального перенаправления можно переопределить для отдельных зон.

 Вывести список всех зон перенаправления:
   ipa dnsforwardzone-find

 Вывести список хранилищ:
   ipa vault-find
       [--user <пользователь>|--service <служба>|--shared]

 Изменить глобальную конфигурацию сопоставления сертификатов с записями пользователей:
   ipa certmapconfig-mod --promptusername=TRUE

 Изменить правило сопоставления сертификатов с записями пользователей:
   ipa certmaprule-mod rule1 --maprule="<ALT-SEC-ID-I-S:altSecurityIdentities>"

 Изменить ключи асимметричного хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --private-key-file <файл старого закрытого ключа>
       --public-key-file <файл нового открытого ключа>

Изменить глобальную конфигурацию DNS и установить список глобальных перенаправителей:
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Изменить сведения об узле:
   ipa host-mod --os='Fedora 12' test.example.com

 Изменить пароль симметричного хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --change-password
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --old-password <старый пароль>
       --new-password <новый пароль>
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --old-password-file <файл старого пароля>
       --new-password-file <файл нового пароля>

 Изменить правило автоучастия:
    ipa automember-mod

 Изменить зону, чтобы разрешить динамическое обновление для собственных записей узлов в области (realm) EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Изменить зону, чтобы разрешить перенос зоны только для локальной сети:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Изменить описание хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --desc <описание>

 Изменить тип хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type <тип>
       [старый пароль / закрытый ключ]
       [новый пароль / открытый ключ]

 Перестроить участие для всех узлов:
    ipa automember-rebuild --type=hostgroup

 Перестроить участие для всех пользователей:
    ipa automember-rebuild --type=group

 Перестроить участие для указанных узлов:
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

 Перестроить участие для указанных пользователей:
    ipa automember-rebuild --users=tuser1 --users=tuser2

Удалить открытые ключи SSH узла и обновить DNS для отображения изменений:
   ipa host-mod --sshpubkey= --updatedns test.example.com

Удалить сертификат из списка отзыва:
   ipa cert-remove-hold 1032

 Удалить условие из правила:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Удалить целевую группу по умолчанию (резервную):
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

Запросить новый сертификат и добавить учётную запись:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

Определить адрес по имени узла, чтобы узнать, существует ли он (будет добавлен стандартный домен IPA, если он не включён):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

Получить существующий сертификат:
   ipa cert-show 1032

 Получить данные из асимметричного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных> --private-key-file private.pem

 Получить данные из стандартного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных>

 Получить данные из симметричного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных>
       --password-file password.txt

Отозвать сертификат (подробные сведения о причинах доступны в RFC 5280):
   ipa cert-revoke --revocation-reason=6 1032

Поиск сертификатов по дате выдачи:
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

Поиск сертификатов по имени узла:
   ipa cert-find --subject=ipaserver.example.com

 Поиск сертификатов, владельцем которых является определённый пользователь:
   ipa cert-find --user=user

Поиск отозванных сертификатов по причине отзыва:
   ipa cert-find --revocation-reason=5

 Семантика перенаправления в IPA соответствует семантике BIND и зависит от типа зоны:
   * Главная зона: локальный BIND предоставляет надёжные ответы на запросы данных в указанной зоне (включая надёжные ответы NXDOMAIN), а перенаправление применяется только для запросов имён за пределами отрезков (записи NS) зон, которые обслуживаются локально.

   * Зона перенаправления: зона перенаправления не содержит надёжные данные. BIND перенаправляет запросы, на которые не удалось получить ответы из локального кэша, на настроенные перенаправители.

 Семантика параметра --forward-policy:
   * none - отключить перенаправление для указанной зоны.
   * first - перенаправить все запросы на настроенные перенаправители. Если они не сработают,
   выполнить разрешение с помощью корневых серверов DNS.
   * only - перенаправить все запросы на настроенные перенаправители и вернуть сообщение об ошибке, если они не сработают.

 Указать преобразования типа и роли SELinux в правиле:
   ipa sudorule-add-option sysadmin_sudo --sudooption type=unconfined_t
   ipa sudorule-add-option sysadmin_sudo --sudooption role=unconfined_r

 Указать параметр Sudo по умолчанию:
   ipa sudorule-add-option defaults --sudooption '!authenticate'

Установить целевую группу по умолчанию (резервную):
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Показать хранилище:
   ipa vault-show <имя>
       [--user <пользователь>|--service <служба>|--shared]

 Показать зону перенаправления external.example.com:
   ipa dnsforwardzone-show external.example.com

 Показать глобальную конфигурацию DNS:
   ipa dnsconfig-show

 Показать записи для ресурса www в зоне example.com:
   ipa dnsrecord-show example.com www

 Показать целевую группу по умолчанию (резервную):
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Показать сведения о user-find:
   ipa command-show user-find

 Показать зону example.com:
   ipa dnszone-show example.com

Для облегчения внесения изменений можно воспользоваться интерактивным режимом:
  ipa dnsrecord-mod example.com _ldap._tcp
  Возможность внесения изменений в определённую запись не предусмотрена.
  Текущее содержание записи DNS:

  Запись SRV: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Изменить запись SRV '0 3 389 fast.example.com'? Да/Нет (по умолчанию "Нет"):
  Изменить запись SRV '0 1 389 slow.example.com'? Да/Нет (по умолчанию "Нет"): y
  Приоритет SRV [0]:                 (сохранить значение по умолчанию)
  Вес SRV [1]: 2                     (изменённое значение)
  Порт SRV [389]:                    (сохранить значение по умолчанию)
  Цель SRV [slow.example.com]:       (сохранить значение по умолчанию)
  Пропущена 1 запись SRV. Одновременно можно изменять только одно значение на тип записи DNS.
    Имя записи: _ldap._tcp
    Запись SRV: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 Эта конфигурация перенаправляет все запросы имён за пределами поддерева example.com на глобальные перенаправители. Для имён в пределах поддерева example.com используется обычный рекурсивный процесс разрешения (то есть с переходом по записям NS и так далее).

Проверить автоучастие:
    ipa hostgroup-show webservers
      Группа узлов: webservers
      Описание: Web Servers
      Узлы-участники: web1.example.com

    ipa group-show devel
      Имя группы: devel
      Описание: Developers
      GID: 1004200000
      Пользователи-участники: tuser

 Проверить, что владельцем сертификата является определённый пользователь:
   ipa cert-find --file=cert.pem --user=user

* Разрешение даёт доступ для чтения, записи, добавления, удаления, поиска или сравнения.
* Привилегия объединяет схожие разрешения (например, все разрешения, которые требуются для добавления пользователя).
* Роль даёт набор привилегий пользователям, группам, узлам или группам узлов.

* Должен существовать узел
* Должна существовать служба (либо следует использовать параметр --add для её автоматического добавления)

Сертификат хранится в учётной записи службы, а учётной записи службы требуется узел.

Условие является регулярным выражением, используется 389-ds для установления соответствия новой входящей записи правилу автоучастия. Если имеется соответствие правилу включения, запись добавляется в соответствующую группу или группу узлов.

Можно указать группу или группу узлов по умолчанию, которая будет использоваться для записей, не соответствующих ни одному правилу. В случае записей пользователей эта группа будет резервной группой, поскольку все пользователи по умолчанию являются участниками группы, указанной в настройках IPA.

С помощью разрешений можно очень точно делегировать права доступа. Разрешение представляет собой удобную для восприятия форму 389-ds ACI (правила управления доступом).
Разрешение даёт право выполнять определённую задачу, например, добавлять пользователей, изменять группы и так далее.

Разрешение состоит из нескольких разных частей:

1. Имя разрешения.
2. Цель разрешения.
3. Права, предоставленные разрешением.

Разрешение не может содержать другие разрешения.

Правило непосредственно связывается с группой по имени, следовательно, вы не можете создать правило без определения группы или группы узлов.

Схема API

Добавление нового диапазона идентификаторов.

    Для добавления нового диапазона идентификаторов всегда необходимо указывать

        --base-id
        --range-size

    Кроме того,

        --rid-base
        --secondary-rid-base

    могут указываться для нового диапазона идентификаторов для локального домена, в то время как

        --rid-base
        --dom-sid

    должны быть указаны для добавления нового диапазона для доверенного домена AD.

    ПРЕДУПРЕЖДЕНИЕ:

Подключаемый модуль DNA в 389-ds выделяет идентификаторы на основе диапазонов, настроенных для локального домена. В текущей версии сам подключаемый модуль DNA *нельзя* перенастраивать на основе локальных диапазонов, установленных с помощью этого семейства команд.

Для нового локального диапазона следует вручную изменить настройки конфигурации подключаемого модуля DNA. В частности, следует изменить атрибут dnaNextRange "cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config" таким образом, чтобы он соответствовал новому диапазону.
    
Добавление нового диапазона идентификаторов.

    Для добавления нового диапазона идентификаторов всегда необходимо указывать

        --base-id
        --range-size

    Кроме того,

        --rid-base
        --secondary-rid-base

    могут указываться для нового диапазона идентификаторов для локального домена, в то время как

        --rid-base
        --dom-sid

    должны быть указаны для добавления нового диапазона для доверенного домена AD.

    ПРЕДУПРЕЖДЕНИЕ:

Подключаемый модуль DNA в 389-ds выделяет идентификаторы на основе диапазонов, настроенных для локального домена. В текущей версии сам подключаемый модуль DNA *нельзя* перенастраивать на основе локальных диапазонов, установленных с помощью этого семейства команд.

Для нового локального диапазона следует вручную изменить настройки конфигурации подключаемого модуля DNA. В частности, следует изменить атрибут dnaNextRange "cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config" таким образом, чтобы он соответствовал новому диапазону.
    
Добавление нового диапазона идентификаторов.

    Для добавления нового диапазона идентификаторов всегда необходимо указывать

        --base-id
        --range-size

    Кроме того,

        --rid-base
        --secondary-rid-base

    могут указываться для нового диапазона идентификаторов для локального домена, в то время как

        --rid-base
        --dom-sid

    должны быть указаны для добавления нового диапазона для доверенного домена AD.

=======    
ПРЕДУПРЕЖДЕНИЕ:

Подключаемый модуль DNA в 389-ds выделяет идентификаторы на основе диапазонов, настроенных для локального домена. В текущей версии сам подключаемый модуль DNA *нельзя* перенастраивать на основе локальных диапазонов, установленных с помощью этого семейства команд.

Для нового локального диапазона следует вручную изменить настройки конфигурации подключаемого модуля DNA. В частности, следует изменить атрибут dnaNextRange "cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config" таким образом, чтобы он соответствовал новому диапазону.
=======
Добавление нового отношения доверия, которое следует использовать.

Эта команда устанавливает отношение доверия с другим доменом, который становится "доверенным". В результате пользователи доверенного домена получают доступ к ресурсам этого домена.

В текущей версии поддерживаются только отношения доверия с доменами Active Directory.

Команду можно безопасно запускать несколько раз для одного и того же домена, такой запуск приводит к изменению учётных данных отношения доверия на обеих сторонах.

Если команда уже выполнялась с определённым типом диапазона или с автоматическим определением типа диапазона, а теперь необходимо настроить другой тип диапазона, возможно, потребуется сначала удалить диапазон идентификаторов с помощью команды ipa idrange-del. Затем повторите команду с необходимым типом диапазона.

    
Добавление нового отношения доверия, которое следует использовать.

Эта команда устанавливает отношение доверия с другим доменом, который становится "доверенным". В результате пользователи доверенного домена получают доступ к ресурсам этого домена.

В текущей версии поддерживаются только отношения доверия с доменами Active Directory.

Команду можно безопасно запускать несколько раз для одного и того же домена, такой запуск приводит к изменению учётных данных отношения доверия на обеих сторонах.
    
Кроме того, имеются следующие удобные параметры. Установка одного из них установит соответствующий атрибут (атрибуты).
1. type: тип объекта (пользователь, группа и так далее); устанавливает поддерево и фильтр целей.
2. memberof: применить к участникам группы; устанавливает фильтр целей.
3. targetgroup: предоставить доступ для изменения определённой группы (например, предоставить права доступа для управления участием в группе); устанавливает цель.

Соглашения представляются сегментами топологии. По умолчанию сегмент топологии представляет 2 соглашения о репликации: по одному для каждого направления, например, от A до B и от B до A. Создание однонаправленных сегментов запрещено.

Все службы сертификации, кроме службы сертификации "IPA", можно отключать и включать повторно. Отключение службы сертификации приводит к тому, что ей запрещается выдавать сертификаты, но не влияет на действительность её сертификата.

Правилу Sudo можно добавить порядок, который будет руководить порядком обработки записей (если такой порядок предусмотрен на клиентской стороне). Порядок определяется числовым индексом (целое число), который не должен повторяться.

Асимметричное хранилище похоже на стандартное хранилище, но в нём секрет перед передачей предварительно шифруется с помощью открытого ключа. Секрет можно получить только с помощью закрытого ключа.

Правило автоучастия.

Правило автоучастия.

Внося ясные правила о принадлежности узлов и пользователей к группам посредством настройки включающих и исключающих шаблонов регулярных выражений, вы можете автоматически связывать новые записи с группой или группой узлов на основе данных атрибутов.

Правило непосредственно связывается с группой по имени, следовательно, вы не можете создать правило без определения группы или группы узлов. 

Условие является регулярным выражением, используется 389-ds для установления соответствия новой входящей записи правилу автоучастия. Если имеется соответствие правилу включения, запись добавляется в соответствующую группу или группу узлов.

Можно указать группу или группу узлов по умолчанию, которая будет использоваться для записей, не соответствующих ни одному правилу. В случае записей пользователей эта группа будет резервной группой, поскольку все пользователи по умолчанию являются участниками группы, указанной в настройках IPA.


ПРИМЕРЫ:

Добавить начальную группу или группу узлов :
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Добавить начальное правило:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Добавить в правило условие:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Добавить в правило исключительное условие, чтобы предотвратить автоназначение:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Добавить узел:
    ipa host-add web1.example.com

 Добавить пользователя:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

Проверить автоучастие:
    ipa hostgroup-show webservers
      Группа узлов: webservers
      Описание: Web Servers
      Узлы-участники: web1.example.com

    ipa group-show devel
      Имя группы: devel
      Описание: Developers
      GID: 1004200000
      Пользователи-участники: tuser

 Удалить условие из правила:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Изменить правило автоучастия:
    ipa automember-mod

 Установить целевую группу по умолчанию (резервную):
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Удалить целевую группу по умолчанию (резервную):
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Показать целевую группу по умолчанию (резервную):
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Найти все правила автоучастия:
    ipa automember-find

 Показать правило автоучастия:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Удалить правило автоучастия:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

Правило автоучастия.

Внося ясные правила о принадлежности узлов и пользователей к группам посредством настройки включающих и исключающих шаблонов регулярных выражений, вы можете автоматически связывать новые записи с группой или группой узлов на основе данных атрибутов.

Правило непосредственно связывается с группой по имени, следовательно, вы не можете создать правило без определения группы или группы узлов. 

Условие является регулярным выражением, используется 389-ds для установления соответствия новой входящей записи правилу автоучастия. Если имеется соответствие правилу включения, запись добавляется в соответствующую группу или группу узлов.

Можно указать группу или группу узлов по умолчанию, которая будет использоваться для записей, не соответствующих ни одному правилу. В случае записей пользователей эта группа будет резервной группой, поскольку все пользователи по умолчанию являются участниками группы, указанной в настройках IPA.

Команду automember-rebuild можно использовать, чтобы задним числом применить правила автоучастия в отношении уже существующих записей; это перестроит их участие.

ПРИМЕРЫ:

Добавить начальную группу или группу узлов :
   ipa hostgroup-add --desc="Web Servers" webservers
   ipa group-add --desc="Developers" devel

 Добавить начальное правило:
   ipa automember-add --type=hostgroup webservers
   ipa automember-add --type=group devel

 Добавить в правило условие:
   ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers
   ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel

 Добавить в правило исключительное условие, чтобы предотвратить автоназначение:
   ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers

 Добавить узел:
    ipa host-add web1.example.com

 Добавить пользователя:
    ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott

Проверить автоучастие:
    ipa hostgroup-show webservers
      Группа узлов: webservers
      Описание: Web Servers
      Узлы-участники: web1.example.com

    ipa group-show devel
      Имя группы: devel
      Описание: Developers
      GID: 1004200000
      Пользователи-участники: tuser

 Удалить условие из правила:
   ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers

 Изменить правило автоучастия:
    ipa automember-mod

 Установить целевую группу по умолчанию  (резервную):
    ipa automember-default-group-set --default-group=webservers --type=hostgroup
    ipa automember-default-group-set --default-group=ipausers --type=group

 Удалить целевую группу по умолчанию  (резервную):
    ipa automember-default-group-remove --type=hostgroup
    ipa automember-default-group-remove --type=group

 Показать целевую группу по умолчанию  (резервную):
    ipa automember-default-group-show --type=hostgroup
    ipa automember-default-group-show --type=group

 Найти все правила автоучастия:
    ipa automember-find

 Показать правило автоучастия:
    ipa automember-show --type=hostgroup webservers
    ipa automember-show --type=group devel

 Удалить правило автоучастия:
    ipa automember-del --type=hostgroup webservers
    ipa automember-del --type=group devel

Перестроить участие для всех пользователей:
    ipa automember-rebuild --type=group

 Перестроить участие для всех узлов:
    ipa automember-rebuild --type=hostgroup

 Перестроить участие для указанных пользователей:
    ipa automember-rebuild --users=tuser1 --users=tuser2

 Перестроить участие для указанных узлов:
    ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com

Автомонтирование

Сохраняет конфигурацию automount(8) для autofs(8) в IPA.

Основой конфигурации автомонтирования является файл конфигурации auto.master.
Это также базовое расположение в IPA. Несколько конфигураций auto.master могут храниться в отдельных расположениях. Расположение зависит от реализации, расположением по умолчанию является расположение с именем "default". Например, можно создать расположения для географических областей, этажей, типов и так далее.

В автомонтировании имеется три основных типа объектов: расположения, списки соответствия и ключи.

Расположение определяет набор списков соответствия, привязанных в auto.master. Это позволяет хранить несколько конфигураций автомонтирования. Расположение само по себе не представляет особого интереса, оно просто является началом нового списка соответствия автомонтирования.

Грубо говоря, список соответствия является отдельным файлом автомонтирования и обеспечивает хранение ключей.

Ключ — это связанная со списком соответствия точка автомонтирования.

Когда создаётся новое расположение, для него автоматически создаются два списка соответствия: auto.master и auto.direct. Список соответствия auto.master — это корневой список соответствия для всех списков соответствия автомонтирования расположения. Список соответствия auto.direct — это список соответствия по умолчанию для прямых монтирований, он монтируется на /-.

Список соответствия автомонтирования может содержать ключ подмонтирования. Этот ключ определяет расположение монтирования в списке соответствия, который ссылается на другой список соответствия. Такой ключ можно добавить с помощью команды automountmap-add-indirect --parentmap или вручную, с помощью automountkey-add и установки info на значение "-type=autofs :<имя списка соответствия>".

ПРИМЕРЫ:

Расположения:

  Создать новое именованное расположение, "Moskva":
    ipa automountlocation-add moskva

  Показать новое расположение:
    ipa automountlocation-show moskva

  Поиск доступных расположений:
    ipa automountlocation-find

  Удалить именованное расположение автомонтирования:
    ipa automountlocation-del moskva

  Показать, как выглядели бы списки соответствия автомонтирования, если бы находились в файловой системе:
    ipa automountlocation-tofiles moskva

  Импортировать существующую конфигурацию в расположение:
    ipa automountlocation-import moskva /etc/auto.master

    Импорт не удастся выполнить, если будут найдены дублирующиеся записи. Чтобы обеспечить непрерывное выполнение, при котором ошибки игнорируются, используйте параметр --continue.

Списки соответствия:

  Создать новый список соответствия с именем "auto.share":
    ipa automountmap-add moskva auto.share

  Показать новый список соответствия:
    ipa automountmap-show moskva auto.share

  Найти списки соответствия в расположении moskva:
    ipa automountmap-find moskva

  Создать непрямой список соответствия с auto.share в качестве точки подмонтирования:
    ipa automountmap-add-indirect moskva --parentmap=auto.share --mount=sub auto.man

    Эта команда эквивалентна следующим командам:

    ipa automountmap-add-indirect moskva --mount=/man auto.man
    ipa automountkey-add moskva auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Удалить список соответствия auto.share:
    ipa automountmap-del moskva auto.share

Ключи:

  Создать новый ключ для списка соответствия auto.share в расположении moskva. Это привяжет ранее созданный список соответствия к auto.master:
    ipa automountkey-add moskva auto.master --key=/share --info=auto.share

  Создать новый ключ для списка соответствия auto.share, смонтированного ресурса NFS для страниц man:
    ipa automountkey-add moskva auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Найти все ключи для списка соответствия auto.share:
    ipa automountkey-find moskva auto.share

  Найти все ключи прямого автомонтирования:
    ipa automountkey-find moskva --key=/-

  Удалить ключ man из списка соответствия auto.share:
    ipa automountkey-del moskva auto.share --key=man

В зависимости от владения хранилища подразделяются на три категории:
* хранилища пользователей или личные хранилища
* хранилища служб
* хранилища совместного использования

В зависимости от механизма обеспечения безопасности выделяют три типа хранилищ:
* стандартные хранилища
* симметричные хранилища
* асимметричные хранилища

Основной пользователь

Содержит общие определения для пользователя или неподтверждённого пользователя

Внося ясные правила о принадлежности узлов и пользователей к группам посредством настройки включающих и исключающих шаблонов регулярных выражений, вы можете автоматически связывать новые записи с группой или группой узлов на основе данных атрибутов.

Службы сертификации (все, кроме службы сертификации "IPA") можно удалять. Удаление службы сертификации приводит к отзыву её сертификата для подписи и удалению её закрытого ключа.

Службы сертификации включаются при создании, но их использование регулируется ACL служб сертификации, если у оператора нет разрешения обходить ACL служб сертификации (CA).

Сопоставление сертификатов с записями пользователей

Запросы сертификатов существуют в виде запроса подписи сертификата (Certificate Signing Request, CSR) в формате PEM.

Сертификаты можно искать по субъекту, серийному номеру, причине отзыва, датам действия и дате выдачи.

Классы для управления доверенными присоединениями с помощью вызовов DCE-RPC

Код в этом модуле жёстко зависит от содержания пакета samba4-python и привязок для языка Python в Samba4.

Отношения доверия между областями (realm)

Управление отношениями доверия между доменами IPA и Active Directory.

Чтобы разрешить пользователям из удалённого домена доступ к ресурсам в домене IPA, необходимо установить отношение доверия. В текущей версии IPA поддерживает только отношения доверия между доменами IPA и Active Directory под управлением Windows Server 2008 или более поздней версии с функциональными возможностями уровня 2008 или более поздней версии.

Обратите внимание, что следует надлежащим образом настроить DNS на обоих доменах, IPA и Active Directory, чтобы домены могли обнаруживать друг друга. Работоспособность отношения доверия зависит от возможности обнаруживать специальные ресурсы в другом домене с помощью записей DNS.

Примеры:

1. Установить отношение доверия между областями (realm) с Active Directory с помощью учётных данных администратора AD:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator> --password

2. Вывести список всех существующих отношений доверия:

   ipa trust-find

3. Показать подробные сведения об определённом отношении доверия:

   ipa trust-show <ad.domain>

4. Удалить существующее отношение доверия:

   ipa trust-del <ad.domain>

Как только отношение доверия будет установлено, удалённых пользователей потребуется привязать к локальным POSIX-группам, чтобы воспользоваться ресурсами IPA. Привязку следует выполнить с помощью внешнего участия не-POSIX-группы, а затем эту группу необходимо включить в одну из локальных POSIX-групп.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:

   ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список участников внешних участников группы ad_admins_external, чтобы определить их SID:

   ipa group-show ad_admins_external


ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ ОТНОШЕНИЙ ДОВЕРИЯ

После установки субпакета доверия AD IPA и запуска ipa-adtrust-install создаётся конфигурация локального домена (SID, GUID, имя NetBIOS). Эти идентификаторы затем используются для связи с доверенным доменом конкретного типа.

1. Показать глобальную конфигурацию отношений доверия для типа отношений доверия Active Directory:

   ipa trustconfig-show --type ad

2. Изменить глобальную конфигурацию для всех отношений доверия типа Active Directory и указать другую резервную основную группу (GID резервной основной группы используется в качестве GID основного пользователя, если для пользователя, который выполняет аутентификацию в домене IPA, не был установлен другой основной GID):

   ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group"

3. Изменить резервную основную группу обратно на скрытую группу по умолчанию (разрешена любая группа с классом объекта posixGroup):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

Отношения доверия между областями (realm)

Управление отношениями доверия между доменами IPA и Active Directory.

Чтобы разрешить пользователям из удалённого домена доступ к ресурсам в домене IPA, необходимо установить отношение доверия. В текущей версии IPA поддерживает только отношения доверия между доменами IPA и Active Directory под управлением Windows Server 2008 или более поздней версии с функциональными возможностями уровня 2008 или более поздней версии.

Обратите внимание, что следует надлежащим образом настроить DNS на обоих доменах, IPA и Active Directory, чтобы домены могли обнаруживать друг друга. Работоспособность отношения доверия зависит от возможности обнаруживать специальные ресурсы в другом домене с помощью записей DNS.

Примеры:

1. Установить отношение доверия между областями (realm) с Active Directory с помощью учётных данных администратора AD:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator>            --password

2. Вывести список всех существующих отношений доверия:

   ipa trust-find

3. Показать подробные сведения об определённом отношении доверия:

   ipa trust-show <ad.domain>

4. Удалить существующее отношение доверия:

   ipa trust-del <ad.domain>

Как только отношение доверия будет установлено, удалённых пользователей потребуется привязать к локальным POSIX-группам, чтобы воспользоваться ресурсами IPA. Привязку следует выполнить с помощью внешнего участия не-POSIX-группы, а затем эту группу необходимо включить в одну из локальных POSIX-групп.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

   ipa group-add --desc='<ad.domain> admins external map'            ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:

   ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список участников внешних участников группы ad_admins_external, чтобы определить их SID:

   ipa group-show ad_admins_external


ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ ОТНОШЕНИЙ ДОВЕРИЯ

После установки субпакета доверия AD IPA и запуска ipa-adtrust-install создаётся конфигурация локального домена (SID, GUID, имя NetBIOS). Эти идентификаторы затем используются для связи с доверенным доменом конкретного типа.

1. Показать глобальную конфигурацию отношений доверия для типа отношений доверия Active Directory:

   ipa trustconfig-show --type ad

2. Изменить глобальную конфигурацию для всех отношений доверия типа Active Directory и указать другую резервную основную группу (GID резервной основной группы используется в качестве GID основного пользователя, если для пользователя, который выполняет аутентификацию в домене IPA, не был установлен другой основной GID):

   ipa trustconfig-mod --type ad --fallback-primary-group "another AD group"

3. Изменить резервную основную группу обратно на скрытую группу по умолчанию (разрешена любая группа с классом объекта posixGroup):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

Конфигурация DNS, которая передаётся сценарию командной строки для установки, хранится в локальном файле конфигурации на каждом IPA-сервере, где настроена служба DNS. Эти локальные настройки могут быть переопределены с помощью общей конфигурации, которая хранится на LDAP-сервере:

Конфигурация DNS-сервера

Данные, которые хранятся на IPA-серверах, реплицируются на другие IPA-серверы. Способ репликации определяется соглашениями о репликации. Соглашения о репликации необходимо устанавливать для каждого из суффиксов отдельно. На уровне домена 0 управление ими выполняется с помощью средств ipa-replica-manage и ipa-csreplica-manage. На уровне домена 1 управление выполняется централизованно с помощью команд "ipa topology*".

Даты обрабатываются как даты по Гринвичскому времени, в соответствии с датами, определёнными в в сертификатах.

Запрещено удалять или переименовывать управляемое разрешение, а также изменять его цель.

Инструкции управления доступом к серверу каталогов (ACI)

ACI используются, чтобы разрешить или запретить доступ к информации. Текущая версия модуля предназначена для предоставления, а не запрета доступа. 

Команды aci позволяют предоставить разрешения, благодаря которым можно обновлять существующие записи, а также добавлять или удалять новые. Задача ACI, поставляемых вместе с IPA: предоставить набор низкоуровневых разрешений, которые дают доступ к специальным группам. Такие группы называются группами задач. Данные низкоуровневые разрешения можно сочетать между собой, формируя роли, чтобы предоставить больший объём доступа. Эти роли представляют собой ещё один тип групп: группы ролей.

Например, если имеются группы задач, которые разрешают добавлять и изменять данные пользователей, то можно создать роль администратора пользователей (useradmin). Если назначить пользователям роль useradmin, им будет разрешено выполнять операции, определённые группами задач.

Можно создавать ACI, которые будут предоставлять разрешения таким образом, что пользователи группы A смогут записывать атрибуты для группы B.

Параметр "тип" (type) — это список, который применяется ко всем записям пользователей, записям групп или расположению узла. Он предназначен в основном для предоставления прав доступа для добавления (создание новых записей).

Запись ACI состоит из трёх частей:
1. цель
2. разрешения
3. правила привязки

Цель — это набор правил, которые определяют, какие объекты LDAP являются целевыми. Это может быть список атрибутов, область этого дерева LDAP или фильтр LDAP.

Цели содержат:
- attrs: список атрибутов,  которых касается цель
- type: тип объектов (пользователь, группа, узел, служба и так далее)
- memberof: участники группы
- targetgroup: предоставить доступ к изменению определённой группы. Эта часть в основном разработана для предоставления пользователям разрешения на добавление или удаление участников определённой группы.
- filter: действующий фильтр LDAP, используемый для сужения цели.
- subtree: используется для применения правила к целому набору объектов. Например, чтобы разрешить добавление пользователей, следует предоставить разрешение "add" для поддерева  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. Параметр subtree подходит для объектов, которые не подпадают под действие параметра type.

Разрешения определяют, какие действия разрешены для ACI, и могут быть одними из следующих (или сочетать в себе несколько вариантов):
1. write - записать один или несколько атрибутов.
2. read - прочитать один или несколько атрибутов.
3. add - добавить в дерево новую запись.
4. delete - удалить существующую запись.
5. all - предоставляются все разрешения.

Обратите внимание на разницу между атрибутами и записями. Разрешения являются независимыми, поэтому возможность добавить пользователя не означает возможность изменять запись добавленного пользователя.

Правило привязки определяет, кому предоставляет разрешения ACI. LDAP-сервер позволяет сделать это для любой действительной записи LDAP, но мы рекомендуем использовать группы задач, чтобы можно было легко обеспечить общий доступ к правам с помощью ролей.

Более подробные сведения об управлении доступом:
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

ПРИМЕРЫ:

ПРИМЕЧАНИЕ: в текущей версии записи записи ACI  добавляются через подключаемый модуль разрешений. Следующие примеры показывают, как работают различные параметры, но сейчас это выполняется через командную строку (см. последний пример).

 Добавить запись ACI, чтобы группа "secretaries" могла обновлять адрес любого пользователя:
   ipa group-add --desc="Офисные секретари" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Секретари записывают адреса"

 Show the new ACI:
   ipa aci-show --prefix=none "Секретари записывают адреса"

 Добавить запись ACI, которая разрешает участникам разрешения "addusers" добавлять новых пользователей:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Добавление пользователей"

 Добавить запись ACI, которая разрешает участникам группы "editors" управлять записями участников группы "admins":
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Редакторы управляют администраторами"

 Добавить запись ACI, которая разрешает участникам группы "admins" изменять название улицы и почтовый индекс участников группы "editors":
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street --attrs=postalcode --prefix=none "администраторы редактируют адрес редакторов"

 Добавить запись ACI, которая разрешает участникам группы "admins" изменять название улицы и почтовый индекс тех, кто работает под руководством начальника:
   ipa aci-add --permissions=write --group=admins --attrs=street --attrs=postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Редактировать адрес тех, кто работает под руководством начальника"

 Добавить в IPA совершенно новый вид записи, который не предусмотрен ни одним из параметров "--type", путём создания разрешения:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Добавление оранжевых записей" add_orange


Команда show показывает необработанную запись ACI 389-ds.

ВАЖНО: при изменении атрибутов цели существующей записи ACI необходимо также включить все существующие атрибуты. Когда выполняется aci-mod, targetattr ЗАМЕНЯЕТ текущие атрибуты, а не добавляет к ним другие.

Инструкции управления доступом к серверу каталогов (ACI)

ACI используются, чтобы разрешить или запретить доступ к информации. Текущая версия модуля предназначена для предоставления, а не запрета доступа. 

Команды aci позволяют предоставить разрешения, благодаря которым можно обновлять существующие записи, а также добавлять или удалять новые. Задача ACI, поставляемых вместе с IPA: предоставить набор низкоуровневых разрешений, которые дают доступ к специальным группам. Такие группы называются группами задач. Данные низкоуровневые разрешения можно сочетать между собой, формируя роли, чтобы предоставить больший объём доступа. Эти роли представляют собой ещё один тип групп: группы ролей.

Например, если имеются группы задач, которые разрешают добавлять и изменять данные пользователей, то можно создать роль администратора пользователей (useradmin). Если назначить пользователям роль useradmin, им будет разрешено выполнять операции, определённые группами задач.

Можно создавать ACI, которые будут предоставлять разрешения таким образом, что пользователи группы A смогут записывать атрибуты для группы B.

Параметр "тип" (type) — это список, который применяется ко всем записям пользователей, записям групп или расположению узла. Он предназначен в основном для предоставления прав доступа для добавления (создание новых записей).

Запись ACI состоит из трёх частей:
1. цель
2. разрешения
3. правила привязки

Цель — это набор правил, которые определяют, какие объекты LDAP являются целевыми. Это может быть список атрибутов, область этого дерева LDAP или фильтр LDAP.

Цели содержат:
- attrs: список атрибутов,  которых касается цель
- type: тип объектов (пользователь, группа, узел, служба и так далее)
- memberof: участники группы
- targetgroup: предоставить доступ к изменению определённой группы. Эта часть в основном разработана для предоставления пользователям разрешения на добавление или удаление участников определённой группы.
- filter: действующий фильтр LDAP, используемый для сужения цели.
- subtree: используется для применения правила к целому набору объектов. Например, чтобы разрешить добавление пользователей, следует предоставить разрешение "add" для поддерева  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. Параметр subtree подходит для объектов, которые не подпадают под действие параметра type.

Разрешения определяют, какие действия разрешены для ACI, и могут быть одними из следующих (или сочетать в себе несколько вариантов):
1. write - записать один или несколько атрибутов.
2. read - прочитать один или несколько атрибутов.
3. add - добавить в дерево новую запись.
4. delete - удалить существующую запись.
5. all - предоставляются все разрешения.

Обратите внимание на разницу между атрибутами и записями. Разрешения являются независимыми, поэтому возможность добавить пользователя не означает возможность изменять запись добавленного пользователя.

Правило привязки определяет, кому предоставляет разрешения ACI. LDAP-сервер позволяет сделать это для любой действительной записи LDAP, но мы рекомендуем использовать группы задач, чтобы можно было легко обеспечить общий доступ к правам с помощью ролей.

Более подробные сведения об управлении доступом:
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

ПРИМЕРЫ:

ПРИМЕЧАНИЕ: в текущей версии записи записи ACI  добавляются через подключаемый модуль разрешений. Следующие примеры показывают, как работают различные параметры, но сейчас это выполняется через командную строку (см. последний пример).

 Добавить запись ACI, чтобы группа "secretaries" могла обновлять адрес любого пользователя:
   ipa group-add --desc="Офисные секретари" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Секретари записывают адреса"

 Show the new ACI:
   ipa aci-show --prefix=none "Секретари записывают адреса"

 Добавить запись ACI, которая разрешает участникам разрешения "addusers" добавлять новых пользователей:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Добавление пользователей"

 Добавить запись ACI, которая разрешает участникам группы "editors" управлять записями участников группы "admins":
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Редакторы управляют администраторами"

 Добавить запись ACI, которая разрешает участникам группы "admins" изменять название улицы и почтовый индекс участников группы "editors":
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street,postalcode --prefix=none "администраторы редактируют адрес редакторов"

 Добавить запись ACI, которая разрешает участникам группы "admins" изменять название улицы и почтовый индекс тех, кто работает под руководством начальника:
   ipa aci-add --permissions=write --group=admins --attrs=street,postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Редактировать адрес тех, кто работает под руководством начальника"

 Добавить в IPA совершенно новый вид записи, который не предусмотрен ни одним из параметров "--type", путём создания разрешения:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Добавление оранжевых записей" add_orange


Команда show показывает необработанную запись ACI 389-ds.

ВАЖНО: при изменении атрибутов цели существующей записи ACI необходимо также включить все существующие атрибуты. Когда выполняется aci-mod, targetattr ЗАМЕНЯЕТ текущие атрибуты, а не добавляет к ним другие.

Система доменных имён (DNS)

Система доменных имён (DNS)

Управление записями зон и ресурсов DNS.


ИСПОЛЬЗОВАНИЕ СТРУКТУРИРОВАННЫХ ПАРАМЕТРОВ ДЛЯ ОТДЕЛЬНЫХ ТИПОВ

Существует много структурированных типов записей ресурсов DNS, для которых данные DNS, хранящиеся на сервере LDAP, являются не просто скалярным значением, например IP-адрес или имя домена, а структурой данных, которая часто может быть сложной. Примером может быть запись LOC [RFC1876], которая состоит из многих обязательных и необязательных частей (градусов, минут, секунд широты и долготы, высоты и погрешности).

При работе с такими записями DNS может быть сложно не допустить ошибок и ввести корректное значение. Модуль DNS предоставляет в ваше распоряжение абстракцию над этими необработанными записями и позволяет управлять каждым из типов записей ресурсов с помощью определённых параметров. Для каждого из поддерживаемых типов записей ресурсов в модуле DNS предусмотрен стандартный параметр для работы с необработанными записями с помощью формата --<rrtype>-rec, например --mx-rec, и специальные параметры для каждой из частей структуры записи ресурса с помощью формата --<rrtype>-<partname>, например --mx-preference и --mx-exchanger.

При добавлении записи можно воспользоваться параметрами, специально предназначенными для записей ресурсов, или стандартным параметром для необработанного значения (сочетать эти варианты в одном действии по добавлению нельзя). При внесении изменений в существующую запись можно воспользоваться для изменения одной части записи DNS новыми специальными параметрами записей ресурсов, причём для определения изменённого значения будет использован стандартный вариант необработанного значения. В приведенном ниже примере показано изменение приоритета записи MX с 0 на 1 в записи без внесения изменений в обменник:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1


ПРИМЕРЫ:

 Добавить новую зону:
   ipa dnszone-add example.com --name-server=ns                                --admin-email=admin@example.com                                --ip-address=10.0.0.1

 Добавить общесистемные права доступа, которыми можно воспользоваться для делегирования привилегий для отдельных зон:
   ipa dnszone-add-permission example.com

 Изменить зону, чтобы разрешить динамическое обновление для собственных записей узлов в области (realm) EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

   Эта команда эквивалентна следующим командам:
     ipa dnszone-mod example.com --dynamic-update=TRUE       --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

 Изменить зону, чтобы разрешить перенос зоны только для локальной сети:
   ipa dnszone-mod example.com --allow-transfer=10.0.0.0/8

 Добавить новую обратную зону, указанную с помощью сетевого IP-адреса:
   ipa dnszone-add --name-from-ip=80.142.15.0/24                    --name-server=ns.example.com.

 Добавить другой сервер имён для example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Добавить почтовый сервер для example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Добавить другую запись с помощью специальных параметров записи MX:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Добавить другую запись с помощью интерактивного режима (в который программа переходит в ответ на команды dnsrecord-add, dnsrecord-mod или dnsrecord-del без параметров):
  ipa dnsrecord-add example.com @
  Выберите тип записи ресурса DNS, который следует добавить
  Наиболее распространённые типы для этого типа зон: NS, MX, LOC

  Тип записи ресурса DNS: MX
  Приоритет MX: 30
  Обменник MX: mail3
    Имя записи: example.com
    Запись MX: 10 mail1, 20 mail2, 30 mail3
    Запись NS: nameserver.example.com., nameserver2.example.com.

 Удалить добавленный ранее сервер имён из example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Добавить запись LOC для example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Добавить новую запись A для www.example.com. Также создать обратную запись в соответствующей обратной зоне. В этом случае запись PTR "2", которая указывает на www.example.com, будет создана в зоне 15.142.80.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=80.142.15.2 --a-create-reverse

 Добавить новую запись PTR для www.example.com:
   ipa dnsrecord-add 15.142.80.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Добавить новые записи SRV для LDAP-серверов. Три четверти запросов должны отправляться на fast.example.com, одна четверть — на slow.example.com. Если обе службы недоступны, переключиться на backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Для облегчения внесения изменений можно воспользоваться интерактивным режимом:
  ipa dnsrecord-mod example.com _ldap._tcp
  Возможность внесения изменений в определённую запись не предусмотрена.
  Текущее содержание записи DNS:

  Запись SRV: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Изменить запись SRV '0 3 389 fast.example.com'? Да/Нет (по умолчанию "Нет"):
  Изменить запись SRV '0 1 389 slow.example.com'? Да/Нет (по умолчанию "Нет"): y
  Приоритет SRV [0]:                 (сохранить значение по умолчанию)
  Вес SRV [1]: 2                     (изменённое значение)
  Порт SRV [389]:                    (сохранить значение по умолчанию)
  Цель SRV [slow.example.com]:       (сохранить значение по умолчанию)
  Пропущена 1 запись SRV. Одновременно можно изменять только одно значение на тип записи DNS.
    Имя записи: _ldap._tcp
    Запись SRV: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 После внесения этих изменений три пятых запросов должны направляться на
 fast.example.com, а две пятых — на slow.example.com.

 Пример интерактивного режима для команды dnsrecord-del:
   ipa dnsrecord-del example.com www
   Не указан параметр удаления определённой записи.
   Удалить все? Да/Нет (по умолчанию "Нет"):     (не удалять все записи)
   Текущее содержание записи DNS:

   Запись A: 1.2.3.4, 11.22.33.44

   Удалить запись A '1.2.3.4'? Да/Нет (по умолчанию "Нет"):
   Удалить запись A '11.22.33.44'? Да/Нет (по умолчанию "Нет"): y
     Имя записи: www
     Запись A: 1.2.3.4                  (запись A 11.22.33.44 удалена)

 Показать зону example.com:
   ipa dnszone-show example.com

 Найти зону со словом "example" в имени домена:
   ipa dnszone-find example

 Найти записи для ресурсов с "www" в имени в зоне example.com:
   ipa dnsrecord-find example.com www

 Найти записи A со значением 10.10.0.1 в зоне example.com:
   ipa dnsrecord-find example.com --a-rec=10.10.0.1

 Показать записи для ресурса www в зоне example.com:
   ipa dnsrecord-show example.com www

 Делегировать зону sub.example другому серверу имён:
   ipa dnsrecord-add example.com ns.sub --a-rec=10.0.100.5
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Если настроены глобальные перенаправители, все запросы на sub.example.com будут идти через глобальный перенаправитель. Чтобы изменить это поведение только для зоны example.com и перенаправлять запрос прямо на ns.sub.example.com., можно отключить глобальное перенаправление для отдельной зоны:
   ipa dnszone-mod example.com --forward-policy=none

 Перенаправлять все запросы для зоны external.com на другой сервер имён с помощью политики "first" (запросы будет отправляться на выбранный перенаправитель; если он не отвечает, будут использоваться глобальные сопоставители):
   ipa dnszone-add external.com
   ipa dnszone-mod external.com --forwarder=10.20.0.1                                 --forward-policy=first

 Удалить зону example.com вместе со всеми записями ресурсов:
   ipa dnszone-del example.com

 Определить адрес по имени узла, чтобы узнать, существует ли он (будет добавлен стандартный домен IPA, если он не включён):
   ipa dns-resolve www.example.com
   ipa dns-resolve www


ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ DNS

Конфигурация DNS, которая передаётся сценарию командной строки для установки, хранится в локальном файле конфигурации на каждом IPA-сервере, где настроена служба DNS. Эти локальные настройки могут быть переопределены с помощью общей конфигурации, которая хранится на LDAP-сервере:

 Показать глобальную конфигурацию DNS:
   ipa dnsconfig-show

 Изменить глобальную конфигурацию DNS и установить список глобальных перенаправителей:
   ipa dnsconfig-mod --forwarder=10.0.0.1

Система доменных имён (DNS)

Управление записями зон и ресурсов DNS.

ПОДДЕРЖИВАЕМЫЕ ТИПЫ ЗОН

 * Главная зона (dnszone-*), содержит основные данные.
 * Зона перенаправления (dnsforwardzone-*), перенаправляет запросы на настроенные перенаправители
 (набор DNS-серверов).

ИСПОЛЬЗОВАНИЕ СТРУКТУРИРОВАННЫХ ПАРАМЕТРОВ ДЛЯ ОТДЕЛЬНЫХ ТИПОВ

Существует много структурированных типов записей ресурсов DNS, для которых данные DNS, хранящиеся на сервере LDAP, являются не просто скалярным значением, например IP-адрес или имя домена, а структурой данных, которая часто может быть сложной. Примером может быть запись LOC [RFC1876], которая состоит из многих обязательных и необязательных частей (градусов, минут, секунд широты и долготы, высоты и погрешности).

При работе с такими записями DNS может быть сложно не допустить ошибок и ввести корректное значение. Модуль DNS предоставляет в ваше распоряжение абстракцию над этими необработанными записями и позволяет управлять каждым из типов записей ресурсов с помощью определённых параметров. Для каждого из поддерживаемых типов записей ресурсов в модуле DNS предусмотрен стандартный параметр для работы с необработанными записями с помощью формата --<rrtype>-rec, например --mx-rec, и специальные параметры для каждой из частей структуры записи ресурса с помощью формата --<rrtype>-<partname>, например --mx-preference и --mx-exchanger.

При добавлении записи можно воспользоваться параметрами, специально предназначенными для записей ресурсов, или стандартным параметром для необработанного значения (сочетать эти варианты в одном действии по добавлению нельзя). При внесении изменений в существующую запись можно воспользоваться для изменения одной части записи DNS новыми специальными параметрами записей ресурсов, причём для определения изменённого значения будет использован стандартный вариант необработанного значения. В приведенном ниже примере показано изменение приоритета записи MX с 0 на 1 в записи без внесения изменений в обменник:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

ПРИМЕРЫ:

Добавить новую зону:
  ipa dnszone-add example.com --admin-email=admin@example.com

Добавить общесистемные права доступа, которыми можно воспользоваться для делегирования привилегий для отдельных зон:
   ipa dnszone-add-permission example.com

Изменить зону, чтобы разрешить динамическое обновление для собственных записей узлов в области (realm) EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

Эта команда эквивалентна следующим командам:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

Изменить зону, чтобы разрешить перенос зоны только для локальной сети:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

Добавить новую обратную зону, указанную с помощью сетевого IP-адреса:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

Добавить другой сервер имён для example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

Добавить почтовый сервер для example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

Добавить другую запись с помощью специальных параметров записи MX:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

Добавить другую запись с помощью интерактивного режима (в который программа переходит в ответ на команды dnsrecord-add, dnsrecord-mod или dnsrecord-del без параметров):
  ipa dnsrecord-add example.com @
  Выберите тип записи ресурса DNS, который следует добавить
  Наиболее распространённые типы для этого типа зон: NS, MX, LOC

  Тип записи ресурса DNS: MX
  Приоритет MX: 30
  Обменник MX: mail3
    Имя записи: example.com
    Запись MX: 10 mail1, 20 mail2, 30 mail3
    Запись NS: nameserver.example.com., nameserver2.example.com.

Удалить добавленный ранее сервер имён из example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

Добавить запись LOC для example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

Добавить новую запись A для www.example.com. Также создать обратную запись в соответствующей обратной зоне. В этом случае запись PTR "2", которая указывает на www.example.com, будет создана в зоне 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

Добавить новую запись PTR для www.example.com:
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

Добавить новые записи SRV для LDAP-серверов. Три четверти запросов должны отправляться на fast.example.com, одна четверть — на slow.example.com. Если обе службы недоступны, переключиться на backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

Для облегчения внесения изменений можно воспользоваться интерактивным режимом:
  ipa dnsrecord-mod example.com _ldap._tcp
  Возможность внесения изменений в определённую запись не предусмотрена.
  Текущее содержание записи DNS:

  Запись SRV: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Изменить запись SRV '0 3 389 fast.example.com'? Да/Нет (по умолчанию "Нет"):
  Изменить запись SRV '0 1 389 slow.example.com'? Да/Нет (по умолчанию "Нет"): y
  Приоритет SRV [0]:                 (сохранить значение по умолчанию)
  Вес SRV [1]: 2                     (изменённое значение)
  Порт SRV [389]:                    (сохранить значение по умолчанию)
  Цель SRV [slow.example.com]:       (сохранить значение по умолчанию)
  Пропущена 1 запись SRV. Одновременно можно изменять только одно значение на тип записи DNS.
    Имя записи: _ldap._tcp
    Запись SRV: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

После внесения этих изменений три пятых запросов должны направляться на fast.example.com, а две пятых — на slow.example.com.

Пример интерактивного режима для команды dnsrecord-del:
   ipa dnsrecord-del example.com www
   Не указан параметр удаления определённой записи.
   Удалить все? Да/Нет (по умолчанию "Нет"):     (не удалять все записи)
   Текущее содержание записи DNS:

   Запись A: 192.0.2.2, 192.0.2.3

   Удалить запись A '192.0.2.2'? Да/Нет (по умолчанию "Нет"):
   Удалить запись A '192.0.2.3'? Да/Нет (по умолчанию "Нет"): y
     Имя записи: www
     Запись A: 192.0.2.2                  (запись A 192.0.2.3 удалена)

Показать зону example.com:
   ipa dnszone-show example.com

Найти зону со словом "example" в имени домена:
   ipa dnszone-find example

Найти записи для ресурсов с "www" в имени в зоне example.com:
   ipa dnsrecord-find example.com www

Найти записи A со значением 192.0.2.2 в зоне example.com:
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

Показать записи для ресурса www в зоне example.com:
   ipa dnsrecord-show example.com www

Делегировать зону sub.example другому серверу имён:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

Удалить зону example.com вместе со всеми записями ресурсов:
   ipa dnszone-del example.com

Если настроен глобальный перенаправитель, все запросы, для которых этот сервер не является полномочным (например, sub.example.com), будут перенаправлены на глобальный перенаправитель. Конфигурацию глобального перенаправления можно переопределить для отдельных зон.

Семантика перенаправления в IPA соответствует семантике BIND и зависит от типа зоны:
   * Главная зона: локальный BIND предоставляет надёжные ответы на запросы данных в указанной зоне (включая надёжные ответы NXDOMAIN), а перенаправление применяется только для запросов имён за пределами отрезков (записи NS) зон, которые обслуживаются локально.

   * Зона перенаправления: зона перенаправления не содержит надёжные данные. BIND перенаправляет запросы, на которые не удалось получить ответы из локального кэша, на настроенные перенаправители.

Семантика параметра --forward-policy:
   * none - отключить перенаправление для указанной зоны.
   * first - перенаправить все запросы на настроенные перенаправители. Если они не сработают,
   выполнить разрешение с помощью корневых серверов DNS.
   * only - перенаправить все запросы на настроенные перенаправители и вернуть сообщение об ошибке, если они не сработают.

Отключить глобальное перенаправление для указанного поддерева:
   ipa dnszone-mod example.com --forward-policy=none

Эта конфигурация перенаправляет все запросы имён за пределами поддерева example.com на глобальные перенаправители. Для имён в пределах поддерева example.com используется обычный рекурсивный процесс разрешения (то есть с переходом по записям NS и так далее).

Перенаправлять все запросы для зоны external.example.com на другой перенаправитель с помощью политики "first" (запросы будут направлены на выбранный перенаправитель, а если он не ответит, будут использованы глобальные корневые серверы):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

Изменить политику перенаправления (параметр forward-policy) для external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

Показать зону перенаправления external.example.com:
   ipa dnsforwardzone-show external.example.com

Вывести список всех зон перенаправления:
   ipa dnsforwardzone-find

Удалить зону перенаправления external.example.com:
   ipa dnsforwardzone-del external.example.com

Определить адрес по имени узла, чтобы узнать, существует ли он (будет добавлен стандартный домен IPA, если он не включён):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

ГЛОБАЛЬНАЯ КОНФИГУРАЦИЯ DNS

Конфигурация DNS, которая передаётся сценарию командной строки для установки, хранится в локальном файле конфигурации на каждом IPA-сервере, где настроена служба DNS. Эти локальные настройки могут быть переопределены с помощью общей конфигурации, которая хранится на LDAP-сервере:

Показать глобальную конфигурацию DNS:
   ipa dnsconfig-show

Изменить глобальную конфигурацию DNS и установить список глобальных перенаправителей:
   ipa dnsconfig-mod --forwarder=203.0.113.113


РЕГИСТРАЦИЯ:

Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

ПРИМЕРЫ:

Права

Управление правами для клиентских компьютеров

Правами можно управлять либо путём регистрации на сервере прав с именем пользователя и паролем, либо путём импорта сертификатов прав вручную. Сертификат прав содержит сведения о продукте, на который выдано разрешение, количестве использований прав и сроке действия.

Сервер прав управляет количеством доступных клиентских прав.
Чтобы отметить эти права как использованные IPA-сервером, следует указать количество, и они будут отмечены, как использованные на сервере прав.

 Зарегистрироваться на сервере прав:
   ipa entitle-register consumer

 Импортировать сертификат прав:
   ipa entitle-import /home/user/ipaclient.pem

 Показать текущие права:
   ipa entitle-status

 Получить сведения о сертификатах прав:
   ipa entitle-get

 Использовать некоторые права с сервера прав:
   ipa entitle-consume 50

Регистрационный идентификатор является уникальным идентификатором (UUID). Этот идентификатор будет ИМПОРТИРОВАН, если использована команда entitle-import.

Для применения изменений к /etc/rhsm/rhsm.conf необходимо перезапустить службу httpd.

Получить сведения об установленных IPA-серверах.

Получить состояние ролей (DNS-сервер, CA и так далее), предоставленное главными IPA-серверами.

Межгрупповое делегирование

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Межгрупповое делегирование предоставляет участникам одной группы возможность обновлять набор атрибутов участников другой группы. 

ПРИМЕРЫ:

 Добавить правило делегирования, чтобы разрешить руководителям редактировать адреса сотрудников:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees" street"

В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить postalCode в список:
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees" street"

 Показать обновлённое правило:
   ipa delegation-show "managers edit employees" street"

 Удалить правило:
   ipa delegation-del "managers edit employees" street"

Межгрупповое делегирование

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Межгрупповое делегирование предоставляет участникам одной группы возможность обновлять набор атрибутов участников другой группы. 

ПРИМЕРЫ:

 Добавить правило делегирования, чтобы разрешить руководителям редактировать адреса сотрудников:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees" street"

В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить postalCode в список:
   ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees" street"

 Показать обновлённое правило:
   ipa delegation-show "managers edit employees" street"

 Удалить правило:
   ipa delegation-del "managers edit employees" street"

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

 Добавить новую группу команд Sudo:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Удалить группу команд Sudo:
   ipa sudocmdgroup-del admincmds

 Управлять участием в группе команд Sudo, команды:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Управлять участием в группе команд Sudo, команды:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

  Показать группу команд Sudo:
   ipa group-show localadmins

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

 Добавить новую группу команд Sudo:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Удалить группу команд Sudo:
   ipa sudocmdgroup-del admincmds

 Управлять участием в группе команд Sudo, команды:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds

 Управлять участием в группе команд Sudo, команды:
    ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds

  Показать группу команд Sudo:
    ipa sudocmdgroup-show admincmds

Группы команд Sudo

Управление группами команд Sudo.

ПРИМЕРЫ:

 Добавить новую группу команд Sudo:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Удалить группу команд Sudo:
   ipa sudocmdgroup-del admincmds

 Управлять участием в группе команд Sudo, команды:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

 Управлять участием в группе команд Sudo, команды:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

  Показать группу команд Sudo:
   ipa group-show localadmins

Группы узлов.

Управление группами узлов. Оно полезно при применении управления доступом к ряду узлов с помощью управления доступом на основе узла (HBAC).

ПРИМЕРЫ:

 Добавить новую группу узлов:
   ipa hostgroup-add --desc="Baltimore hosts" baltimore

 Добавить другую новую группу узлов:
   ipa hostgroup-add --desc="Maryland hosts" maryland

 Добавить участников в группу узлов (с использованием выражения Bash в фигурных скобках):
   ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

 Добавить группу узлов как участника другой группы узлов:
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Удалить узел из группы узлов:
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Показать группу узлов:
   ipa hostgroup-show baltimore

 Удалить группу узлов:
   ipa hostgroup-del baltimore

Группы узлов.

Управление группами узлов. Оно полезно при применении управления доступом к ряду узлов с помощью управления доступом на основе узла (HBAC).

ПРИМЕРЫ:

 Добавить новую группу узлов:
   ipa hostgroup-add --desc="Baltimore hosts" baltimore

 Добавить другую новую группу узлов:
   ipa hostgroup-add --desc="Maryland hosts" maryland

 Добавить участников в группу узлов:
   ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore

 Добавить группу узлов как участника другой группы узлов:
   ipa hostgroup-add-member --hostgroups=baltimore maryland

 Удалить узел из группы узлов:
   ipa hostgroup-remove-member --hosts=box2 baltimore

 Показать группу узлов:
   ipa hostgroup-show baltimore

 Удалить группу узлов:
   ipa hostgroup-del baltimore

Группы пользователей

Управление группами пользователей. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы. 

У каждой группы должно быть описание.

У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически.

ПРИМЕРЫ:

 Добавить новую группу:
   ipa group-add --desc='local administrators' localadmins

 Добавить новую не-POSIX-группу:
   ipa group-add --nonposix --desc='remote administrators' remoteadmins

 Преобразовать не-POSIX-группу в posix-группу:
   ipa group-mod --posix remoteadmins

 Добавить новую POSIX-группу с определённым ID группы:
   ipa group-add --gid=500 --desc='unix admins' unixadmins

 Добавить новую POSIX-группу и позволить IPA назначить ID группы:
   ipa group-add --desc='printer admins' printeradmins

 Удалить группу:
   ipa group-del unixadmins

 Чтобы добавить группу "remoteadmins" в группу "localadmins":
   ipa group-add-member --groups=remoteadmins localadmins

 Добавить нескольких пользователей в группу "localadmins":
   ipa group-add-member --users=test1 --users=test2 localadmins

 Удалить пользователя из группы "localadmins":
   ipa group-remove-member --users=test2 localadmins

 Показать сведения об именованной группе:
   ipa group-show localadmins

Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из групп POSIX.

В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

   ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку группы ad_admins_external к POSIX-группе ad_admins:

   ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID:

   ipa group-show ad_admins_external

Группы служб HBAC

Группы служб HBAC могут содержать любое количество отдельных служб (так называемых "участников"). У каждой группы должно быть описание.

ПРИМЕРЫ:

 Добавить новую группу служб HBAC:
   ipa hbacsvcgroup-add --desc="login services" login

 Добавить участников в группу служб HBAC:
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login

 Показать сведения об именованной группе:
   ipa hbacsvcgroup-show login

  Удалить группу служб HBAC:
   ipa hbacsvcgroup-del login

Группы служб HBAC

Группы служб HBAC могут содержать любое количество отдельных служб (так называемых "участников"). У каждой группы должно быть описание.

ПРИМЕРЫ:

 Добавить новую группу служб HBAC:
   ipa hbacsvcgroup-add --desc="login services" login

 Добавить участников в группу служб HBAC:
   ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login

 Показать сведения об именованной группе:
   ipa hbacsvcgroup-show login

 Добавить новую группу в группу "login":
   ipa hbacsvcgroup-add --desc="switch users" login
   ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login

 Удалить группу служб HBAC:
   ipa hbacsvcgroup-del login

Службы HBAC

Службы PAM, доступом к которым управляет HBAC. Используемое здесь имя должно соответствовать имени службы, которую оценивает PAM.

ПРИМЕРЫ:

 Добавить новую службу HBAC:
   ipa hbacsvc-add tftp

 Изменить существующую службу HBAC:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Поиск служб HBAC. В этом примере будут возвращены два результата, служба FTP
 и добавленная выше служба tftp:
   ipa hbacsvc-find ftp

 Удалить службу HBAC:
   ipa hbacsvc-del tftp

Службы HBAC

Службы PAM, доступом к которым управляет HBAC. Используемое здесь имя должно соответствовать имени службы, которую оценивает PAM.

ПРИМЕРЫ:

 Добавить новую службу HBAC:
   ipa hbacsvc-add tftp

 Изменить существующую службу HBAC:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Поиск служб HBAC. В этом примере будут возвращены два результата, служба FTP
 и добавленная выше служба tftp:
   ipa hbacsvc-find ftp

 Удалить службу HBAC:
   ipa hbacsvc-del tftp

Управление доступом на основе узла

Управляйте тем, кто, на каких узлах и из каких узлов сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп на узле происхождения запроса, которые будут иметь доступ к определённой службе или группе служб на целевом узле.

Также можно указать категорию пользователей, целевых узлов и узлов происхождения запроса. В текущей версии доступен только вариант "all", но в будущих версиях, возможно, появятся и другие варианты.

Целевые узлы и узлы происхождения запроса в правилах HBAC должны быть узлами под управлением IPA.

Доступные службы и группы служб управляются, соответственно, с помощью подключаемых модулей hbacsvc и hbacsvcgroup.

ПРИМЕРЫ:

 Создать правило, "test1", которое предоставляет всем пользователям доступ на узел "server" отовсюду:
   ipa hbacrule-add --usercat=all --srchostcat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Показать свойства именованного правила HBAC:
   ipa hbacrule-show test1

 Создать правило для определённой службы. Это правило предоставит пользователю john доступ к службе sshd на любом компьютере с любого компьютера:
   ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Создать правило для новой группы служб. Это правило предоставит пользователю john доступ к службе FTP на любом компьютере с любого компьютера:
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers
   ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Отключить именованное правило HBAC:
   ipa hbacrule-disable test1

 Удалить именованное правило HBAC:
   ipa hbacrule-del allow_server

Управление доступом на основе узла

Управляйте тем, кто и на каких узлах сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп, которые будут иметь доступ к определённой службе или группе служб на целевом узле.

Также можно указать категорию пользователей и целевых узлов. В текущей версии доступен только вариант "all", но в будущих версиях, возможно, появятся и другие варианты.

Целевые узлы в правилах HBAC должны быть узлами под управлением IPA.

Доступные службы и группы служб управляются, соответственно, с помощью подключаемых модулей hbacsvc и hbacsvcgroup.

ПРИМЕРЫ:

 Создать правило, "test1", которое предоставляет всем пользователям доступ на узел "server" отовсюду:
   ipa hbacrule-add --usercat=all test1
   ipa hbacrule-add-host --hosts=server.example.com test1

 Показать свойства именованного правила HBAC:
   ipa hbacrule-show test1

 Создать правило для определённой службы. Это правило предоставит пользователю john доступ к службе sshd на любом компьютере с любого компьютера:
   ipa hbacrule-add --hostcat=all john_sshd
   ipa hbacrule-add-user --users=john john_sshd
   ipa hbacrule-add-service --hbacsvcs=sshd john_sshd

 Создать правило для новой группы служб. Это правило предоставит пользователю john доступ к службе FTP на любом компьютере с любого компьютера:
   ipa hbacsvcgroup-add ftpers
   ipa hbacsvc-add sftp
   ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers
   ipa hbacrule-add --hostcat=all john_ftp
   ipa hbacrule-add-user --users=john john_ftp
   ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp

 Отключить именованное правило HBAC:
   ipa hbacrule-disable test1

 Удалить именованное правило HBAC:
   ipa hbacrule-del allow_server

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом  
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом  
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

РЕГИСТРАЦИЯ:
Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

Узлу можно назначить роль только один раз. Если клиенту уже назначена роль и эту роль требуется изменить, запись узла должна быть удалена и создана повторно. Обратите внимание, что повторное создание записи узла приведет к удалению всех  служб узла и отзыву всех связанных с этими службами SSL-сертификатов.

В запись узла при необходимости можно включить данные о его расположении, типе используемой операционной системы и так далее.

ПРИМЕРЫ:

 Добавить новый узел:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Удалить узел:
   ipa host-del test.example.com

 Добавить новый узел с одноразовым паролем:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Добавить новый узел со случайным одноразовым паролем:
   ipa host-add --os='Fedora 12' --random test.example.com

 Изменить сведения об узле:
   ipa host-mod --os='Fedora 12' test.example.com

 Удалить открытые ключи SSH узла и обновить DNS для отображения изменений:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Отключить ключ Kerberos,  SSL-сертификат и все службы узла:
   ipa host-disable test.example.com

 Добавить узел, который может управлять таблицей ключей и сертификатом этого узла:
   ipa host-add-managedby --hosts=test2 test

Узлы/Компьютеры

Узел представляет собой отдельный компьютер. Термин может использоваться в нескольких контекстах:
- записи служб, связанные с определённым узлом  
- узел сохраняет учётную запись узла / службы
- узел может использоваться в правилах управления доступом на основе узла (Host-based Access Control, HBAC)
- каждый зарегистрированный клиент создаёт запись узла

РЕГИСТРАЦИЯ:
Существует три сценария регистрации нового клиента:

1. Вы регистрируетесь как администратор с полными правами. Запись узла может существовать или отсутствовать. Полноправный администратор выполняет роль hostadmin или является участником группы admins.
2. Вы регистрируетесь как администратор с ограниченными правами. Узел уже должен существовать. Администратор с ограниченными правами выполняет роль с привилегией Host Enrollment.
3. Узел создан с одноразовым паролем.

ПОВТОРНАЯ РЕГИСТРАЦИЯ

Если узел уже когда-то был зарегистрирован и затем утратил свою конфигурацию (например, была уничтожена виртуальная машина), его можно зарегистрировать повторно.

Дополнительные сведения доступны на страницах справочника по ipa-client-install.

В запись узла при необходимости можно включить данные о его расположении, типе используемой операционной системы и так далее.

ПРИМЕРЫ:

 Добавить новый узел:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Удалить узел:
   ipa host-del test.example.com

 Добавить новый узел с одноразовым паролем:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Добавить новый узел со случайным одноразовым паролем:
   ipa host-add --os='Fedora 12' --random test.example.com

 Изменить сведения об узле:
   ipa host-mod --os='Fedora 12' test.example.com

 Удалить открытые ключи SSH узла и обновить DNS для отображения изменений:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Отключить ключ Kerberos,  SSL-сертификат и все службы узла:
   ipa host-disable test.example.com

 Добавить узел, который может управлять таблицей ключей и сертификатом этого узла:
   ipa host-add-managedby --hosts=test2 test

 Разрешить пользователю создавать таблицу ключей:
   ipa host-allow-create-keytab test2 --users=tuser1

Представления идентификаторов

Управление представлениями идентификаторов

В IPA можно переопределять определённые свойства записей пользователей и групп для отдельных узлов. Эта возможность используется в основном для переноса данных из устаревших систем или других решений для управления идентификацией и учётными записями пользователей.

Операции с сертификатами IPA

Операции с сертификатами IPA 

Применение набора команд для управления сертификатами SSL-серверов.

Запросы сертификатов существуют в виде запроса подписи сертификата (Certificate Signing Request, CSR) в формате PEM.

Если используется бэкенд с самоподписанным сертификатом, субъект в CSR должен соответствовать субъекту, настроенному на сервере. Система выдачи сертификатов Dogtag Certificate System использует только значение CN в CSR и принудительно устанавливает остальные параметры субъекта.

Сертификат хранится в учётной записи службы, а учётной записи службы требуется узел.

Чтобы запросить сертификат:

* Должен существовать узел
* Должна существовать служба (либо следует использовать параметр --add для её автоматического добавления)

ПРИМЕРЫ:

 Запросить новый сертификат и добавить учётную запись:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Получить существующий сертификат:
   ipa cert-show 1032

 Отозвать сертификат (подробные сведения о причинах доступны в RFC 5280):
   ipa cert-revoke --revocation-reason=6 1032

 Удалить сертификат из списка отзыва:
   ipa cert-remove-hold 1032

 Проверить состояние запроса подписи:
   ipa cert-status 10

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

Поддерживаются следующие причины отзыва:

    * 0 - не указано
    * 1 - keyCompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
    * 10 - aACompromise

Обратите внимание, что код причины 7 не используется. Подробные сведения в RFC 5280:

http://www.ietf.org/rfc/rfc5280.txt

Операции с сертификатами IPA 

Применение набора команд для управления сертификатами SSL-серверов.

Запросы сертификатов существуют в виде запроса подписи сертификата (Certificate Signing Request, CSR) в формате PEM.

Система выдачи сертификатов Dogtag Certificate System использует только значение CN в CSR и принудительно устанавливает остальные параметры субъекта в соответствии со значениями, настроенными на сервере.

Сертификат хранится в учётной записи службы, а учётной записи службы требуется узел.

Чтобы запросить сертификат:

* Должен существовать узел
* Должна существовать служба (либо следует использовать параметр --add для её автоматического добавления)

ПОИСК:

Сертификаты можно искать по субъекту, серийному номеру, причине отзыва, датам действия и дате выдачи.

Если поиск выполняется по дате _с, используется сравнение >=, а если выполняется поиск  _до — сравнение <=. Сочетание обоих видов поиска приводит к поиску с логической операцией И.

Даты обрабатываются как даты по Гринвичскому времени, в соответствии с датами, определёнными в в сертификатах.

Формат даты:  ГГГГ-мм-дд.

ПРИМЕРЫ:

 Запросить новый сертификат и добавить учётную запись:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Получить существующий сертификат:
   ipa cert-show 1032

 Отозвать сертификат (подробные сведения о причинах доступны в RFC 5280):
   ipa cert-revoke --revocation-reason=6 1032

 Удалить сертификат из списка отзыва:
   ipa cert-remove-hold 1032

 Проверить состояние запроса подписи:
   ipa cert-status 10

 Поиск сертификатов по имени узла:
   ipa cert-find --subject=ipaserver.example.com

 Поиск отозванных сертификатов по причине отзыва:
   ipa cert-find --revocation-reason=5

 Поиск сертификатов по дате выдачи:
   ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

Поддерживаются следующие причины отзыва:

    * 0 - не указано
    * 1 - keyCompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
    * 10 - aACompromise

Обратите внимание, что код причины 7 не используется. Подробные сведения в RFC 5280:

http://www.ietf.org/rfc/rfc5280.txt

В текущей версии IPA немедленно выполняет (или отклоняет) все запросы сертификатов, следовательно, данные о состоянии запроса не являются полезными. Эти данные могут понадобиться в следующих версиях или в случае, если CA не сразу выдаёт сертификат.

расположения IPA

IPA предусматривает специальную привязку DN (binddn) для использования с Sudo:
uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

IPA предоставляет возможности настройки различных аспектов Sudo:
   Users: пользователь (пользователи) или группа (группы), которые могут вызывать Sudo.
   Hosts: узел (узлы) или группа (группы) узлов, пользователи которых могут вызывать Sudo.
   Allow Command: конкретная команда (команды), которые разрешены для выполнения с помощью Sudo.  
   Deny Command: конкретная команда (команды), которые запрещены для выполнения с помощью Sudo.
   RunAsUser: пользователь (пользователи) или группа (группы) пользователей, от имени которых Sudo будет выполнять команды.
   RunAsGroup: группа (группы), от имени которых  Sudo будет выполнять команды.
   Options: различные параметры sudoers (участники Sudo), которые могут изменить поведение Sudo.

Роли IPA-сервера

Данные IPA-сервера хранятся на LDAP-сервере в двух суффиксах:
* суффикс домена (domain), например, "dc=example,dc=com", содержит все связанные с доменом данные
* суффикс центра сертификации (ca), "o=ipaca", имеется только на серверах с установленным CA. Он содержит данные для компонента сервера сертификатов

IPA-серверы

IPA-серверы

Получение сведений об установленных IPA-серверах.

ПРИМЕРЫ:

  Найти все серверы:
    ipa server-find

  Показать определённый сервер:
    ipa server-show ipa.example.com

В IPA реализована поддержка использования токенов OTP для многофакторной аутентификации. Этот код позволяет управлять токенами OTP.

В IPA поддерживается использование внешнего прокси-сервера RADIUS для выполнения аутентификации с помощью одноразового пароля krb5. Эта поддержка обеспечивает значительную гибкость при интеграции со сторонними службами аутентификации.

В IPA предусмотрена поддержка использования сертификатов для аутентификации. Сертификаты могут храниться или в записи пользователя (весь сертификат в атрибуте usercertificate), или просто привязываться к записи пользователя путём сопоставления. С помощью этого кода можно управлять правилами, которые позволяют связывать сертификат с записью пользователя.

Применение набора команд для управления сертификатами SSL-серверов.

Чтобы запросить сертификат:

При работе с такими записями DNS может быть сложно не допустить ошибок и ввести корректное значение. Модуль DNS предоставляет в ваше распоряжение абстракцию над этими необработанными записями и позволяет управлять каждым из типов записей ресурсов с помощью определённых параметров. Для каждого из поддерживаемых типов записей ресурсов в модуле DNS предусмотрен стандартный параметр для работы с необработанными записями с помощью формата --<rrtype>-rec, например --mx-rec, и специальные параметры для каждой из частей структуры записи ресурса с помощью формата --<rrtype>-<partname>, например --mx-preference и --mx-exchanger.



Присоединение к домену IPA

Средства отчётности о состоянии функции пре-аутентификации (PKINIT) Kerberos.

Отчёт о том, включена или отключена пре-аутентификация (PKINIT) Kerberos на главных IPA-серверах 

ПРИМЕРЫ:
 Вывести список состояний PKINIT на всех главных серверах:
   ipa pkinit-status

 Проверить состояние PKINIT на "ipa.example.com":
   ipa pkinit-status --server ipa.example.com

 Вывести список всех главных IPA-серверов с отключённой PKINIT:
   ipa pkinit-status --status='disabled'

Дополнительные сведения о поддержке PKINIT:

https://www.freeipa.org/page/V4/Kerberos_PKINIT

Параметры команды pkinit Kerberos

Включить или отключить использование "анонимного пользователя" для пре-аутентификации с помощью сертификатов (pkinit) путём использования учётной записи WELLKNOWN/ANONYMOUS@REALM. Сервер должен быть установлен с поддержкой  pkinit.

ПРИМЕРЫ:

 Включить использование "анонимного пользователя" для pkinit:
  ipa pkinit-anonymous enable

 Включить использование "анонимного пользователя" для pkinit:
  ipa pkinit-anonymous disable

Более подробные сведения об использовании "анонимного пользователя" для pkinit:

http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit

Политика билетов Kerberos

В отношении билетов Kerberos предусмотрена единая политика. Она определяет максимальный срок жизни билета и максимальный срок обновления билета (период, в течение которого можно обновить билет).

Также можно создать политику билетов для пользователя, указав его логин.

Для применения изменений глобальной политики необходимо перезапустить службу KDC. Это можно сделать с помощью следующей команды:

service krb5kdc restart

Изменения политик для пользователей сразу же применяются в отношении новых запрашиваемых билетов (например, при следующем выполнении kinit пользователем).

ПРИМЕРЫ:

 Показать текущую политику билетов Kerberos:
  ipa krbtpolicy-show

 Восстановить политику по умолчанию:
  ipa krbtpolicy-reset

 Изменить политику, задав максимальный срок жизни билета 8 часов и максимальный срок обновления билета 1 день:
  ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400

 Показать действующую политику билетов Kerberos для пользователя "admin":
  ipa krbtpolicy-show admin

 Восстановить политику по умолчанию для пользователя "admin":
  ipa krbtpolicy-reset admin

 Изменить политику для пользователя "admin":
  ipa krbtpolicy-mod admin --maxlife=3600

Состояние блокировки учётной записи пользователя.

    Учётная запись может быть заблокирована, если в течение определённого периода времени слишком большое количество раз был введён неверный пароль (соответствующие ограничения регулируются политикой паролей). Запись блокируется временно, она может быть разблокирована администратором.

    Эта программа соединяется с каждым главным IPA-сервером и показывает состояние блокировки на каждом из них.

    Чтобы определить, заблокирована ли учётная запись на указанном сервере, потребуется сравнить количество неудачных попыток входа и время последней неудачной попытки с эталонными значениями. Для блокировки учётной записи количество неудачных попыток входа должно превысить значение maxfail в течение временного интервала failinterval в соответствии с политикой паролей, связанной с пользователем.

    Счётчик неудачных попыток изменяется только тогда, когда пользователь выполняет попытку войти, поэтому учётная запись может казаться заблокированной, но время, прошедшее с последней неудачной попытки входа, превышает время блокировки (lockouttime), установленное политикой паролей. Это означает, что пользователь может войти в систему снова.
    
Управление правилами CA ACL.

Этот подключаемый модуль используется для определения правил, которые управляют тем, какие службы сертификации и профили можно использовать для выдачи сертификатов конкретным учётным записям или группам учётных записей.

ОБЛАСТЬ ДЕЙСТВИЯ УЧЁТНОЙ ЗАПИСИ СУБЪЕКТА:

Чтобы разрешить запрос сертификата, учётная запись (записи), которая является субъектом запроса сертификата (это не обязательно должна быть та учётная запись, которая фактически запрашивает сертификат), должна быть включена в область действия ACL службы сертификации, которая также включает целевые службу сертификации и профиль.

Пользователей можно включить по имени, группе или категорией "все пользователи". Узлы можно включить по имени, группе узлов или категорией "все узлы". Службы можно включить по имени службы или категорией "все службы". ACL служб сертификации могут быть связаны с одним типом учётных записей или с несколькими типами.

ОБЛАСТЬ ДЕЙСТВИЯ СЛУЖБЫ СЕРТИФИКАЦИИ:

ACL службы сертификации может быть связана с одной или несколькими службами сертификации по имени или по категории "все CA". По соображениям совместимости ACL службы сертификации без привязки к службе сертификации считается связанной со службой сертификации "ipa" (и только с этой службой сертификации).

ОБЛАСТЬ ДЕЙСТВИЯ ПРОФИЛЯ:

ACL службы сертификации может быть связана с одним или несколькими профилями по идентификатору профиля. Идентификатор профиля — это строка без пробелов и знаков препинания, она начинается с буквы, за которой следуют другие буквы, цифры или символы подчёркивания ("_").

ПРИМЕРЫ:

    Создать ACL  службы сертификации "test", которая предоставляет всем пользователям доступ к профилю "UserCert":
    ipa caacl-add test --usercat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Показать свойства именованной ACL службы сертификации:
    ipa caacl-show test

  Создать ACL службы сертификации, чтобы разрешить пользователю "alice" использовать профиль "DNP3":
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Отключить ACL службы сертификации:
    ipa caacl-disable test

  Удалить ACL службы сертификации:
    ipa caacl-del test

Управление правилами CA ACL.

Этот подключаемый модуль используется для определения правил, которые управляют тем, для каких учётных записей разрешено выдавать сертификаты с помощью конкретного профиля сертификатов.

СИНТАКСИС ИДЕНТИФИКАТОРА ПРОФИЛЯ:

Идентификатор профиля — это строка без пробелов и знаков препинания, она начинается с буквы, за которой следуют другие буквы, цифры или символы подчёркивания ("_").

ПРИМЕРЫ:

    Создать ACL  службы сертификации "test", которая предоставляет всем пользователям доступ к профилю "UserCert":
    ipa caacl-add test --usercat=all
    ipa caacl-add-profile test --certprofiles UserCert

  Показать свойства именованной ACL службы сертификации:
    ipa caacl-show test

  Создать ACL службы сертификации, чтобы разрешить пользователю "alice" использовать профиль "DNP3":
    ipa caacl-add-profile alice_dnp3 --certprofiles DNP3
    ipa caacl-add-user alice_dnp3 --user=alice

  Отключить ACL службы сертификации:
    ipa caacl-disable test

  Удалить ACL службы сертификации:
    ipa caacl-del test

Управление службами сертификации

Управление конфигурацией и правилами сопоставления сертификатов с записями пользователей.

Управление профилями сертификатов

Профили сертификатов используются центром сертификации (Certificate Authority, CA) во время подписи сертификатов, чтобы определить, является ли приемлемым запрос подписи сертификата (Certificate Signing Request, CSR), и, если это так, определить, какие возможности и расширения будут предоставлены сертификатом.

Формат профиля сертификатов — это формат в виде списка свойств, который распознаётся Dogtag или системой сертификации центра сертификации Red Hat.

СИНТАКСИС ИДЕНТИФИКАТОРА ПРОФИЛЯ:

Идентификатор профиля — это строка без пробелов и знаков препинания, она начинается с буквы, за которой следуют другие буквы, цифры или символы подчёркивания ("_").

ПРИМЕРЫ:

  Импортировать профиль, в котором не будут храниться выданные сертификаты:
    ipa certprofile-import ShortLivedUserCert       --file UserCert.profile --desc "User Certificates"       --store=false

  Удалить профиль сертификатов:
    ipa certprofile-del ShortLivedUserCert

  Показать сведения о профиле:
    ipa certprofile-show ShortLivedUserCert

  Сохранить конфигурацию профиля в файл:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Поиск профилей, в которых не хранятся сертификаты:
    ipa certprofile-find --store=false

ФОРМАТ КОНФИГУРАЦИИ ПРОФИЛЯ:

Формат конфигурации профиля — это формат в виде необработанного списка свойств, который используется системой сертификации Dogtag Certificate System.  Поддержка формата XML не предусмотрена.

К профилям под управлением  IPA применяются следующие ограничения:

- При импорте профиля значение поля "profileId", если это поле имеется, должно совпадать с идентификатором, указанным в командной строке.

- Значением поля "classId" должно быть "caEnrollImpl".

- Значением поля "auth.instance_id" должно быть "raCertAuth".

- Должны использоваться входной класс "certReqInputImpl" и выходной класс "certOutputImpl".

Управление профилями сертификатов

Профили сертификатов используются центром сертификации (Certificate Authority, CA) во время подписи сертификатов, чтобы определить, является ли приемлемым запрос подписи сертификата (Certificate Signing Request, CSR), и, если это так, определить, какие возможности и расширения будут предоставлены сертификатом.

Формат профиля сертификатов — это формат в виде списка свойств, который распознаётся Dogtag или системой сертификации центра сертификации Red Hat.

СИНТАКСИС ИДЕНТИФИКАТОРА ПРОФИЛЯ:

Идентификатор профиля — это строка без пробелов и знаков препинания, она начинается с буквы, за которой следуют другие буквы, цифры или символы подчёркивания ("_").

ПРИМЕРЫ:

  Импортировать профиль, в котором не будут храниться выданные сертификаты:
    ipa certprofile-import ShortLivedUserCert
       --file UserCert.profile --desc "User Certificates"
       --store=false

  Удалить профиль сертификатов:
    ipa certprofile-del ShortLivedUserCert

  Показать сведения о профиле:
    ipa certprofile-show ShortLivedUserCert

  Сохранить конфигурацию профиля в файл:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Поиск профилей, в которых не хранятся сертификаты:
    ipa certprofile-find --store=false

ФОРМАТ КОНФИГУРАЦИИ ПРОФИЛЯ:

Формат конфигурации профиля — это формат в виде необработанного списка свойств, который используется системой сертификации Dogtag Certificate System.  Поддержка формата XML не предусмотрена.

К профилям под управлением  IPA применяются следующие ограничения:

- При импорте профиля значение поля "profileId", если это поле имеется, должно совпадать с идентификатором, указанным в командной строке.

- Значением поля "classId" должно быть "caEnrollImpl".

- Значением поля "auth.instance_id" должно быть "raCertAuth".

- Должны использоваться входной класс "certReqInputImpl" и выходной класс "certOutputImpl".

Управление записями зон и ресурсов DNS.

Управление токенами OTP.

Управление прокси-серверами RADIUS.

Управление токенами YubiKey.

Управление хранилищами.

Управляемые разрешения

Управлять расположениями DNS

Управлять конфигурацией DNS-сервера

Переход на IPA

Перенос пользователей и групп с LDAP-сервера на IPA.

Посылает запрос LDAP к удалённому серверу с целью поиска пользователей и групп в контейнере. Чтобы перенести пароли, следует выполнить привязку к серверу от имени пользователя, который может читать атрибут userPassword на удалённом сервере. Перечень таких пользователей обычно ограничен администраторами высшего уровня, в частности cn=Directory Manager на 389-ds (пользователь bind по умолчанию).

Контейнер пользователей по умолчанию: ou=People.

Контейнер групп по умолчанию: ou=Groups.

Записи пользователей и групп, которые уже существуют на IPA-сервере, будут пропущены.

Две схемы LDAP определяют, как хранятся записи участников группы: RFC2307 и
RFC2307bis. RFC2307bis использует атрибуты member и uniquemember для определения участников группы, а RFC2307 использует атрибут memberUid. По умолчанию используется схема RFC2307bis.

С помощью приложения compat IPA можно повторно форматировать данные для систем, в которых не предусмотрена поддержка RFC2307bis. Рекомендуется отключать это приложение во время переноса, чтобы уменьшить нагрузку на систему. Его можно включить снова после переноса. Чтобы перенести данные с включённым приложением, используйте параметр "--with-compat".

У перенесённых пользователей нет учётных данных Kerberos, только пароль LDAP. Для завершения процесса переноса пользователям следует открыть страницу http://ipa.example.com/ipa/migration и пройти аутентификацию с помощью пароля LDAP, чтобы создать свои записи учётных данных Kerberos.

По умолчанию перенос отключён. Чтобы включить его, используйте команду ipa config-mod:

 ipa config-mod --enable-migration=TRUE

Если базовое DN не будет предоставлено с помощью --basedn, IPA будет использовать значение defaultNamingContext, если оно установлено, или первое значение в наборе namingContexts в корневой папке удалённого LDAP-сервера.

Записи пользователей добавляются в группу пользователей по умолчанию. Процесс такого добавления может быть довольно длительным, поэтому при переносе он выполняется в пакетном режиме, пакетами по 100 пользователей. В результате возникнет определённый период, когда записи пользователей уже добавлены в IPA, но эти пользователи ещё не стали участниками группы пользователей по умолчанию.

ПРИМЕРЫ:

Простейший перенос, приняты все значения по умолчанию:
   ipa migrate-ds ldap://ds.example.com:389

Определение контейнеров пользователей и групп. Можно использовать для переноса данных пользователей и групп с сервера IPA версии 1:
   ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        ldap://ds.example.com:389

Так как на сервере IPA версии 2 уже предусмотрены предопределённые группы, которые могут совпадать с перенесёнными с сервера (IPA версии 1) группами (например, admins, ipausers), пользователи из таких групп могут быть перенесены в неизвестную группу (unknown) на новом сервере IPA версии 2.
Используйте параметр --group-overwrite-gid, чтобы перезаписать идентификатор группы (GID) уже созданных групп и предотвратить эту проблему:
    ipa migrate-ds --group-overwrite-gid         --user-container='cn=users,cn=accounts'         --group-container='cn=groups,cn=accounts'         ldap://ds.example.com:389

Перенесённые данные пользователей и групп могут содержать классы объектов и сопутствующие атрибуты, неизвестные серверу IPA версии 2. Эти классы объектов и атрибуты можно исключить из процедуры переноса данных:
     ipa migrate-ds --user-container='cn=users,cn=accounts'        --group-container='cn=groups,cn=accounts'        --user-ignore-objectclass=radiusprofile        --user-ignore-attribute=radiusgroupname        ldap://ds.example.com:389

ВЕДЕНИЕ ЖУРНАЛА

Во время переноса предупреждения и сообщения об ошибках будут добавляться в журнал ошибок Apache. После завершения переноса следует ознакомиться с соответствующим файлом, чтобы исправить или выяснить причины ошибок, которые могли произойти. 

Для каждого пакета из 100 перенесённых записей пользователей будет показано информационное сообщение, предназначенное для оценки прогресса обработки и определения её продолжительности. 

Если определён уровень ведения журнала debug путём установления debug = True в /etc/ipa/default.conf или в /etc/ipa/server.conf, для каждой перенесённой записи будет добавляться собственная запись, а также отчёт по каждому обновлению группы пользователей по умолчанию.

Переход на IPA

Перенос пользователей и групп с LDAP-сервера на IPA.

Посылает запрос LDAP к удалённому серверу с целью поиска пользователей и групп в контейнере. Чтобы перенести пароли, следует выполнить привязку к серверу от имени пользователя, который может читать атрибут userPassword на удалённом сервере. Перечень таких пользователей обычно ограничен администраторами высшего уровня, в частности cn=Directory Manager на 389-ds (пользователь bind по умолчанию).

Контейнер пользователей по умолчанию: ou=People.

Контейнер групп по умолчанию: ou=Groups.

Записи пользователей и групп, которые уже существуют на IPA-сервере, будут пропущены.

Две схемы LDAP определяют, как хранятся записи участников группы: RFC2307 и
RFC2307bis. RFC2307bis использует атрибуты member и uniquemember для определения участников группы, а RFC2307 использует атрибут memberUid. По умолчанию используется схема RFC2307bis.

С помощью приложения compat IPA можно повторно форматировать данные для систем, в которых не предусмотрена поддержка RFC2307bis. Рекомендуется отключать это приложение во время переноса, чтобы уменьшить нагрузку на систему. Его можно включить снова после переноса. Чтобы перенести данные с включённым приложением, используйте параметр "--with-compat".

У перенесённых пользователей нет учётных данных Kerberos, только пароль LDAP. Для завершения процесса переноса пользователям следует открыть страницу http://ipa.example.com/ipa/migration и пройти аутентификацию с помощью пароля LDAP, чтобы создать свои записи учётных данных Kerberos.

По умолчанию перенос отключён. Чтобы включить его, используйте команду ipa config-mod:

 ipa config-mod --enable-migration=TRUE

Если базовое DN не будет предоставлено с помощью --basedn, IPA будет использовать значение defaultNamingContext, если оно установлено, или первое значение в наборе namingContexts в корневой папке удалённого LDAP-сервера.

Записи пользователей добавляются в группу пользователей по умолчанию. Процесс такого добавления может быть довольно длительным, поэтому при переносе он выполняется в пакетном режиме, пакетами по 100 пользователей. В результате возникнет определённый период, когда записи пользователей уже добавлены в IPA, но эти пользователи ещё не стали участниками группы пользователей по умолчанию.

ПРИМЕРЫ:

Простейший перенос, приняты все значения по умолчанию:
   ipa migrate-ds ldap://ds.example.com:389

Определение контейнеров пользователей и групп. Можно использовать для переноса данных пользователей и групп с сервера IPA версии 1:
   ipa migrate-ds --user-container='cn=users,cn=accounts'
   --group-container='cn=groups,cn=accounts'
   ldap://ds.example.com:389

Так как на сервере IPA версии 2 уже предусмотрены предопределённые группы, которые могут совпадать с перенесёнными с сервера (IPA версии 1) группами (например, admins, ipausers), пользователи из таких групп могут быть перенесены в неизвестную группу (unknown) на новом сервере IPA версии 2.
Используйте параметр --group-overwrite-gid, чтобы перезаписать идентификатор группы (GID) уже созданных групп и предотвратить эту проблему:
    ipa migrate-ds --group-overwrite-gi
    --user-container='cn=users,cn=accounts'
    --group-container='cn=groups,cn=accounts'
    ldap://ds.example.com:389

Перенесённые данные пользователей и групп могут содержать классы объектов и сопутствующие атрибуты, неизвестные серверу IPA версии 2. Эти классы объектов и атрибуты можно исключить из процедуры переноса данных:
     ipa migrate-ds --user-container='cn=users,cn=accounts'
     --group-container='cn=groups,cn=accounts'
     --user-ignore-objectclass=radiusprofile
     --user-ignore-attribute=radiusgroupname
     ldap://ds.example.com:389

ВЕДЕНИЕ ЖУРНАЛА

Во время переноса предупреждения и сообщения об ошибках будут добавляться в журнал ошибок Apache. После завершения переноса следует ознакомиться с соответствующим файлом, чтобы исправить или выяснить причины ошибок, которые могли произойти. 

Для каждого пакета из 100 перенесённых записей пользователей будет показано информационное сообщение, предназначенное для оценки прогресса обработки и определения её продолжительности. 

Если определён уровень ведения журнала debug путём установления debug = True в /etc/ipa/default.conf или в /etc/ipa/server.conf, для каждой перенесённой записи будет добавляться собственная запись, а также отчёт по каждому обновлению группы пользователей по умолчанию.

Прочие подключаемые модули

Изменить диапазон идентификаторов.
   
=======    
ПРЕДУПРЕЖДЕНИЕ:

Подключаемый модуль DNA в 389-ds выделяет идентификаторы на основе диапазонов, настроенных для локального домена. В текущей версии сам подключаемый модуль DNA *нельзя* перенастраивать на основе локальных диапазонов, установленных с помощью этого семейства команд.

Для нового локального диапазона следует вручную изменить настройки конфигурации подключаемого модуля DNA. В частности, следует изменить атрибут dnaNextRange "cn=Posix
IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config" таким образом, чтобы он соответствовал новому диапазону.
=======
Изменить отношение доверия (для будущего использования).

    В текущей версии для изменения атрибутов LDAP доступен только параметр по умолчанию. В последующих версиях будут добавлены более специфичные параметры.
    
Сетевые группы

Сетевая группа — это группа, которая используется для проверки разрешений. Она может содержать как значения пользователей, так и значения узлов.

ПРИМЕРЫ:

 Добавить новую сетевую группу:
   ipa netgroup-add --desc="NFS admins" admins

 Добавить участников в сетевую группу:
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

Удалить участника из сетевой группы:
   ipa netgroup-remove-member --users=tuser2 admins

Показать сведения о сетевой группе:
   ipa netgroup-show admins

 Удалить сетевую группу:
   ipa netgroup-del admins

Сетевые группы

Сетевая группа — это группа, которая используется для проверки разрешений. Она может содержать как значения пользователей, так и значения узлов.

ПРИМЕРЫ:

 Добавить новую сетевую группу:
   ipa netgroup-add --desc="NFS admins" admins

 Добавить участников в сетевую группу:
   ipa netgroup-add-member --users=tuser1,tuser2 admins

Удалить участника из сетевой группы:
   ipa netgroup-remove-member --users=tuser2 admins

Показать сведения о сетевой группе:
   ipa netgroup-show admins

 Удалить сетевую группу:
   ipa netgroup-del admins

Обратите внимание, что код причины 7 не используется. Подробные сведения в RFC 5280:

Обратите внимание на разницу между атрибутами и записями. Разрешения являются независимыми, поэтому возможность добавить пользователя не означает возможность изменять запись добавленного пользователя.

Токены OTP

Токены OTP

Управление токенами OTP.

В IPA реализована поддержка использования токенов OTP для многофакторной аутентификации. Этот код позволяет управлять токенами OTP.

ПРИМЕРЫ:

 Добавить новый токен:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Проверить токен:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Изменить поставщика:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Удалить токен:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

Конфигурация одноразового пароля (OTP)

Управление значениями по умолчанию, которые используются для токенов  OTP в IPA.

ПРИМЕРЫ:

 Показать базовую конфигурацию OTP:
   ipa otpconfig-show

 Показать все параметры конфигурации OTP:
   ipa otpconfig-show --all

 Изменить максимальную продолжительность окна TOTP-аутентификации на 10 минут:
   ipa otpconfig-mod --totp-auth-window=600

 Изменить максимальную продолжительность окна TOTP-синхронизации на 12 часов:
   ipa otpconfig-mod --totp-sync-window=43200

 Изменить максимальную продолжительность окна HOTP-аутентификации на 5:
   ipa hotpconfig-mod --hotp-auth-window=5

 Изменить максимальную продолжительность окна HOTP-синхронизации на 50:
   ipa hotpconfig-mod --hotp-sync-window=50

Политика паролей

Политика паролей устанавливает ограничения для паролей IPA, включая максимальный срок действия, минимальный срок действия, количество паролей для сохранения в журнале, количество требуемых классов символов (для более надёжных паролей) и минимальную длину пароля.

По умолчанию имеется одна, глобальная политика для всех пользователей. Также можно создать политику паролей для применения к группе. К каждому пользователю применяется только одна политика паролей: групповая или глобальная. Групповая политика автономна, она не является супермножеством глобальной политики в сочетании с пользовательскими настройками.

Для каждой групповой политики паролей должно быть установлено уникальное значение приоритета. Если пользователь находится в нескольких группах, для которых имеются политики паролей, этот приоритет определит, какая политика паролей применяется. Чем меньше значение, тем выше приоритет политики.

Групповые политики паролей автоматически удаляются, когда удаляются группы, с которыми они связаны.

ПРИМЕРЫ:

 Изменить глобальную политику:
   ipa pwpolicy-mod --minlength=10

Добавить новую групповую политику паролей:
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Показать глобальную политику паролей:
   ipa pwpolicy-show

 Показать групповую политику паролей:
   ipa pwpolicy-show localadmins

 Показать политику, которая применяется к указанному пользователю:
   ipa pwpolicy-show --user=tuser1

 Изменить групповую политику паролей:
   ipa pwpolicy-mod --minclasses=2 localadmins

Разрешения

Разрешения

С помощью разрешений можно очень точно делегировать права доступа. Разрешение представляет собой удобную для восприятия форму 389-ds ACI (правила управления доступом).
Разрешение даёт право выполнять определённую задачу, например, добавлять пользователей, изменять группы и так далее.

Разрешение не может содержать другие разрешения.

* Разрешение даёт доступ для чтения, записи, добавления или удаления.
* Привилегия объединяет схожие разрешения (например, все разрешения, которые требуются для добавления пользователя).
* Роль даёт набор привилегий пользователям, группам, узлам или группам узлов.

Разрешение состоит из нескольких разных частей:

1. Имя разрешения.
2. Цель разрешения.
3. Права, предоставленные разрешением.

Права определяют, какие действия разрешены. Варианты прав (права могут сочетать в себе несколько вариантов):
1. write - записать один или несколько атрибутов.
2. read - прочитать один или несколько атрибутов.
3. add - добавить в дерево новую запись.
4. delete - удалить существующую запись.
5. all - предоставляются все разрешения.

По умолчанию доступ для чтения разрешён для большинства атрибутов, поэтому потребность в использовании этого разрешения вряд ли будет возникать часто.

Обратите внимание на разницу между атрибутами и записями. Разрешения являются независимыми, поэтому возможность добавить пользователя не означает возможность изменять запись добавленного пользователя.

Существует ряд разрешённых целей:
1. type: тип объекта (пользователь, группа и так далее).
2. memberof: участник группы или группы узлов.
3. filter: фильтр LDAP.
4. subtree: фильтр LDAP, определяющий часть LDAP DIT. Это супермножество цели "type".
5. targetgroup: предоставление доступа для изменения определённой группы (например, предоставление прав доступа для управления участием в группе).

ПРИМЕРЫ:

 Добавить разрешение на создание пользователей:
   ipa permission-add --type=user --permissions=add "Add Users"

 Добавить разрешение на управление участием в группе:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Разрешения

С помощью разрешений можно очень точно делегировать права доступа. Разрешение представляет собой удобную для восприятия форму 389-ds ACI (правила управления доступом).
Разрешение даёт право выполнять определённую задачу, например, добавлять пользователей, изменять группы и так далее.

Разрешение не может содержать другие разрешения.

* Разрешение даёт доступ для чтения, записи, добавления, удаления, чтения, поиска или сравнения.
* Привилегия объединяет схожие разрешения (например, все разрешения, которые требуются для добавления пользователя).
* Роль даёт набор привилегий пользователям, группам, узлам или группам узлов.

Разрешение состоит из нескольких разных частей:

1. Имя разрешения.
2. Цель разрешения.
3. Права, предоставленные разрешением.

Права определяют, какие действия разрешены. Варианты прав (права могут сочетать в себе несколько вариантов):
1. write - записать один или несколько атрибутов.
2. read - прочитать один или несколько атрибутов.
3. search - поиск по одному или нескольким атрибутам.
4. compare - сравнить один или несколько атрибутов.
5. add - добавить в дерево новую запись.
6. delete - удалить существующую запись.
7. all - предоставляются все разрешения.

Обратите внимание на разницу между атрибутами и записями. Разрешения являются независимыми, поэтому возможность добавить пользователя не означает возможность изменять запись добавленного пользователя.

Существует ряд разрешённых целей:
1. subtree: DN; разрешение применяется к поддереву под этим DN.
2. target filter: фильтр LDAP.
3. target: DN с возможными подстановочными знаками, определяет записи, к которым применяется разрешение.

Кроме того, имеются следующие удобные параметры. Установка одного из них установит соответствующий атрибут (атрибуты).
1. type: тип объекта (пользователь, группа и так далее); устанавливает поддерево и фильтр целей.
2. memberof: применить к участникам группы; устанавливает фильтр целей.
3. targetgroup: предоставить доступ для изменения определённой группы (например, предоставить права доступа для управления участием в группе); устанавливает цель.

Управляемые разрешения

Разрешения, которые по умолчанию поставляются с IPA, можно называть "управляемыми". Имеется заданный по умолчанию набор атрибутов, к которым они применяются, но администратор может добавлять в набор или удалять из него отдельные атрибуты.

Запрещено удалять или переименовывать управляемое разрешение, а также изменять его цель.
 
ПРИМЕРЫ:

 Добавить разрешение на создание пользователей:
   ipa permission-add --type=user --permissions=add "Add Users"

 Добавить разрешение на управление участием в группе:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Разрешения, которые по умолчанию поставляются с IPA, можно называть "управляемыми". Имеется заданный по умолчанию набор атрибутов, к которым они применяются, но администратор может добавлять в набор или удалять из него отдельные атрибуты.

Проверить связь с удалённым IPA-сервером, чтобы убедиться, что он работает.

Команда ping отправляет эхо-запрос на IPA-сервер. Сервер возвращает сведения о своей версии. Эти данные используются клиентом IPA для подтверждения того, что сервер доступен и принимает запросы.

Сервер из xmlrpc_uri in /etc/ipa/default.conf проверяется первым.
Если он не отвечает, клиент пытается установить связь с любым сервером, указанным в записях SRV ldap в DNS.

ПРИМЕРЫ:

 Проверить связь с IPA-сервером:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Проверить связь с IPA-сервером и получить подробные данные:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Проверить связь с удалённым IPA-сервером, чтобы убедиться, что он работает.

Команда ping отправляет эхо-запрос на IPA-сервер. Сервер возвращает сведения о своей версии. Эти данные используются клиентом IPA для подтверждения того, что сервер доступен и принимает запросы.

Сервер из xmlrpc_uri in /etc/ipa/default.conf проверяется первым.
Если он не отвечает, клиент пытается установить связь с любым сервером, указанным в записях SRV ldap в DNS.

ПРИМЕРЫ:

 Проверить связь с IPA-сервером:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Проверить связь с IPA-сервером и получить подробные данные:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Подключаемый модуль для выполнения нескольких вызовов ipa с помощью одного удалённого вызова процедур 

Чтобы запустить этот код на легком сервере (lite-server), выполните следующие команды:

curl   -H "Content-Type:application/json"          -H "Accept:application/json" -H "Accept-Language:en"        --negotiate -u :          --cacert /etc/ipa/ca.crt           -d  @batch_request.json -X POST       http://localhost:8888/ipa/json

где содержимое файла batch_request.json соответствует следующему примеру

{"method":"batch","params":[[
        {"method":"group_find","params":[[],{}]},
        {"method":"user_find","params":[[],{"whoami":"true","all":"true"}]},
        {"method":"user_show","params":[["admin"],{"all":true}]}
        ],{}],"id":1}

Формат ответа точно так же распределяется по уровням вложенности. На верхнем уровне:
  "error": null,
    "id": 1,
    "result": {
        "count": 3,
            "results": [


а далее находится вложенный ответ для каждого метода команды IPA, отправленного в запросе

Подключаемый модуль для выполнения нескольких вызовов ipa с помощью одного удалённого вызова процедур 

Чтобы запустить этот код на легком сервере (lite-server), выполните следующие команды:

curl   -H "Content-Type:application/json"          -H "Accept:application/json" -H "Accept-Language:en"        --negotiate -u :          --cacert /etc/ipa/ca.crt           -d  @batch_request.json -X POST       http://localhost:8888/ipa/json

где содержимое файла batch_request.json соответствует следующему примеру

{"method":"batch","params":[[
        {"method":"group_find","params":[[],{}]},
        {"method":"user_find","params":[[],{"whoami":"true","all":"true"}]},
        {"method":"user_show","params":[["admin"],{"all":true}]}
        ],{}],"id":1}

Формат ответа точно так же распределяется по уровням вложенности. На верхнем уровне:
  "error": null,
    "id": 1,
    "result": {
        "count": 3,
            "results": [


а далее находится вложенный ответ для каждого метода команды IPA, отправленного в запросе

Интерфейс командной строки не позволяет получить прямой доступ к подключаемым модулям, команды используются для внутренней обработки

Привилегии

Привилегия объединяет разрешения в логическую задачу. Разрешение предоставляет права на выполнение отдельной задачи. Для успешного выполнения некоторых операций IPA требуется несколько разрешений. Привилегия — это объединение разрешений для выполнения определённой задачи.

Например, для добавления пользователя необходимы следующие разрешения:
 * Создание новой записи пользователя
 * Сброс пароля пользователя
 * Добавление нового пользователя в группу пользователей IPA по умолчанию

Объединение этих трёх низкоуровневых задач в задачу более высокого уровня в виде привилегии с именем "Add User" облегчает управление ролями.

Привилегия не может содержать другие привилегии.

Дополнительные сведения доступны в разделах справки о ролях и разрешениях.

Предоставляет возможности самоанализа API.

Прокси-серверы RADIUS

Прокси-серверы RADIUS

Управление прокси-серверами RADIUS.

В IPA поддерживается использование внешнего прокси-сервера RADIUS для выполнения аутентификации с помощью одноразового пароля krb5. Эта поддержка обеспечивает значительную гибкость при интеграции со сторонними службами аутентификации.

ПРИМЕРЫ:

 Добавить новый сервер:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Найти все серверы, записи которых содержат строку "example.com":
   ipa radiusproxy-find example.com

 Проверить конфигурацию:
   ipa radiusproxy-show MyRADIUS

 Изменить секрет:
   ipa radiusproxy-mod MyRADIUS --secret

 Удалить конфигурацию:
   ipa radiusproxy-del MyRADIUS

ПОВТОРНАЯ РЕГИСТРАЦИЯ

Если узел уже когда-то был зарегистрирован и затем утратил свою конфигурацию (например, была уничтожена виртуальная машина), его можно зарегистрировать повторно.

Дополнительные сведения доступны на страницах справочника по ipa-client-install.

В запись узла при необходимости можно включить данные о его расположении, типе используемой операционной системы и так далее.

Повысить уровень домена IPA.

Домены области

Управление списком доменов, связанных с областью (realm) IPA.

ПРИМЕРЫ:

 Показать текущий список доменов области:
   ipa realmdomains-show

 Заменить список доменов области:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Добавить домен в список доменов области:
   ipa realmdomains-mod --add-domain=newdomain.com

 Удалить домен из списка доменов области:
   ipa realmdomains-mod --del-domain=olddomain.com

Домены области

Управление списком доменов, связанных с областью (realm) IPA.

Этот список используется контроллерами доменов из других областей (realms), у которых установлено отношение доверия с этой областью (realm) IPA. Им необходимы сведения о том, какой запрос следует перенаправить в центр распространения ключей (KDC) этой области (realm) IPA.

При автоматическом управлении: домен автоматически добавляется в список доменов области (realm) при создании новой зоны DNS под управлением IPA. То же самое относится и к удалению.

При внешнем управлении DNS: домены, которые не управляются в DNS IPA-сервера, необходимо вручную добавить в список с помощью команды ipa realmdomains-mod.

ПРИМЕРЫ:

 Показать текущий список доменов области:
   ipa realmdomains-show

 Заменить список доменов области:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Добавить домен в список доменов области:
   ipa realmdomains-mod --add-domain=newdomain.com

 Удалить домен из списка доменов области:
   ipa realmdomains-mod --del-domain=olddomain.com

Удаление "%(hostname)s" приводит к отключению топологии в суффиксе "%(suffix)s":
%(errors)s
Топология репликация в суффиксе "%(suffix)s" отключена:
%(errors)s
Возврат сведений о текущем прошедшем аутентификацию профиле  

Команда определения профиля возвращает сведения о том, как получить больше данных о профиле, прошедшем аутентификацию для этого запроса. Данные включают:

 * тип объекта
 * команду для получения сведений об объекте
 * аргументы и параметры, которые следует передать команде

Сведения возвращаются в виде словаря. Ниже в качестве примера приведён вывод в формате "ключ: значение".

ПРИМЕРЫ:

 Поиск от имени пользователя IPA:
   kinit admin
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: user
   command: user_show/1
   arguments: admin
   ------------------------------------------

 Поиск от имени пользователя из доверенного домена:
   kinit user@AD.DOMAIN
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: idoverrideuser
   command: idoverrideuser_show/1
   arguments: ('default trust view', 'user@ad.domain')
   ------------------------------------------

 Поиск от имени узла:
   kinit -k
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: host
   command: host_show/1
   arguments: ipa.example.com
   ------------------------------------------

 Поиск от имени службы Kerberos:
   kinit -k -t /path/to/keytab HTTP/ipa.example.com
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: service
   command: service_show/1
   arguments: HTTP/ipa.example.com

Права определяют, какие действия разрешены. Варианты прав (права могут сочетать в себе несколько вариантов):
1. write - записать один или несколько атрибутов.
2. read - прочитать один или несколько атрибутов.
3. search - поиск по одному или нескольким атрибутам.
4. compare - сравнить один или несколько атрибутов.
5. add - добавить в дерево новую запись.
6. delete - удалить существующую запись.
7. all - предоставляются все разрешения.

Роли

Роль используется для точного делегирования прав доступа. Разрешение даёт право выполнять указанные низкоуровневые задачи (добавлять пользователей, изменять группы и так далее). Привилегия содержит одно или несколько разрешений, что даёт полномочия более высокого уровня, например, администратора пользователей (useradmin). Имея привилегию useradmin, можно добавлять, удалять и изменять записи пользователей.

Привилегии назначаются ролям.

Пользователи, группы, узлы и группы узлов могут быть участниками роли.

Роли не могут содержать другие роли.

ПРИМЕРЫ:

 Добавить новую роль:
   ipa role-add --desc="Junior-level admin" junioradmin

 Добавить несколько привилегий к этой роли:
   ipa role-add-privilege --privileges=addusers junioradmin
   ipa role-add-privilege --privileges=change_password junioradmin
   ipa role-add-privilege --privileges=add_user_to_default_group junioradmin

 Добавить группу пользователей к этой роли:
   ipa group-add --desc="User admins" useradmins
   ipa role-add-member --groups=useradmins junioradmin

 Показать сведения о роли:
   ipa role-show junioradmin

 Результатом выполнения этих команд станет то, что все пользователи из группы "junioradmin" смогут добавлять записи пользователей, сбрасывать пароли или добавлять пользователя в группу пользователей IPA по умолчанию.

ПОИСК:

Сопоставление пользователей SELinux

Сопоставить пользователей IPA с пользователями SELinux по узлу.

Узлы, группы узлов, пользователи и группы можно либо определить внутри правила, либо установить в правиле ссылку на существующее правило HBAC rule. При использовании параметра --hbacrule для selinuxusermap-find задаётся точное соответствие имени правила HBAC, поэтому будет возращена только одна запись или ноль записей.

ПРИМЕРЫ:

 Создать правило, "test1", которое устанавливает всех пользователей в xguest_u:s0 на узле "server":
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

Создать правило, "test2", которое устанавливает всех пользователей в guest_u:s0 и использует существующее правило HBAC для пользователей и узлов:
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2

 Показать свойства правила:
   ipa selinuxusermap-show test2

 Создать правило для определённого пользователя. Оно устанавливает для пользователя "john" SELinux-контекст unconfined_u:s0-s0:c0.c1023 на любом компьютере:
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Отключить правило:
   ipa selinuxusermap-disable test1

 Включить правило:
   ipa selinuxusermap-enable test1

 Найти правило, ссылающееся на определённое правило HBAC:
   ipa selinuxusermap-find --hbacrule=allow_some

 Удалить правило:
   ipa selinuxusermap-del john_unconfined

СМОТРИТЕ ТАКЖЕ:

 С помощью команды config-show можно вывести список, который определяет порядок применения списка пользователей SELinux, а также показать пользователя SELinux по умолчанию.

ПОДДЕРЖИВАЕМЫЕ ТИПЫ ЗОН

 * Главная зона (dnszone-*), содержит надёжные данные.
 * Зона перенаправления (dnsforwardzone-*), перенаправляет запросы на настроенные перенаправители
 (набор DNS-серверов).

Поиск записей ACI.

    Возвращает список записей ACI.

    ПРИМЕРЫ:

     Чтобы найти все записи ACI, которые применяются непосредственно к участникам группы ipausers:
       ipa aci-find --memberof=ipausers

     Чтобы найти все записи ACI, которые предоставляют доступ для добавления (add):
       ipa aci-find --permissions=add

    Следует учитывать, что с помощью команды find выполняется только поиск указанного текста в наборе записей ACI; при поиске записи ACI не оцениваются по критерию применимости.
    Например, при поиске по тексту memberof=ipausers будут найдены все записи ACI, в которых memberof содержат ipausers. Но могут иметься другие записи ACI, которые применяются к участникам этой группы опосредованно.
    
Разрешения самообслуживания

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Разрешение самообслуживания определяет, что объект может изменять в своей собственной записи.


ПРИМЕРЫ:

 Добавить правило самообслуживания, чтобы разрешить пользователям управлять своим адресом (с использованием выражения Bash в фигурных скобках):
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address"

 В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить telephoneNumber в список (с использованием выражения Bash в фигурных скобках):
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address"

 Показать обновлённое правило:
   ipa selfservice-show "Users manage their own address"

 Удалить правило:
   ipa selfservice-del "Users manage their own address"

Разрешения самообслуживания

С помощью разрешений самообслуживания можно очень точно делегировать разрешения. Правила или инструкции управления доступом (ACI) предоставляют разрешениям разрешение на выполнение конкретных задач, таких как добавление пользователя, изменение группы и так далее.

Разрешение самообслуживания определяет, что объект может изменять в своей собственной записи.


ПРИМЕРЫ:

 Добавить правило самообслуживания, чтобы разрешить пользователям управлять своим адресом:
   ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address"

 В список атрибутов необходимо включить все атрибуты, в том числе уже существующие. Добавить telephoneNumber в список:
   ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address"

 Показать обновлённое правило:
   ipa selfservice-show "Users manage their own address"

 Удалить правило:
   ipa selfservice-del "Users manage their own address"

Конфигурация сервера

Управление значениями по умолчанию, которые используются IPA, и некоторыми параметрами их настройки.

ПРИМЕЧАНИЯ:

Здесь хранится значение уведомления о пароле (--pwdexpnotify), поэтому оно будет реплицировано. В текущей версии оно не используется для заблаговременного уведомления пользователей об окончании срока действия пароля.

Некоторые атрибуты предоставлены в ознакомительных целях и доступны только для чтения. Среди них:

Основа субъекта сертификата: настроенная основа субъекта сертификата, например O=EXAMPLE.COM. Настраивается только во время установки.
Возможности подключаемого модуля паролей: в текущей версии он определяет дополнительные хеши, которые создаются на основе пароля (могут быть и другие условия).

При установке приоритета сопоставления пользователей SELinux, возможно, потребуется взять значение в кавычки, чтобы оно не обрабатывалось оболочкой.

ПРИМЕРЫ:

 Показать базовую конфигурацию сервера:
   ipa config-show

 Показать все параметры конфигурации:
   ipa config-show --all

 Изменить максимальную длину имени пользователя на 99 символов:
   ipa config-mod --maxusername=99

 Увеличить установленные по умолчанию ограничения времени и размера поиска IPA-сервера:
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Указать почтовый домен пользователей по умолчанию:
   ipa config-mod --emaildomain=example.com

 Включить режим миграции, чтобы сделать работоспособной команду "ipa migrate-ds":
   ipa config-mod --enable-migration=TRUE

 Определить порядок списка пользователей SELinux:
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Конфигурация сервера

Управление значениями по умолчанию, которые используются IPA, и некоторыми параметрами их настройки.

ПРИМЕЧАНИЯ:

Здесь хранится значение уведомления о пароле (--pwdexpnotify), поэтому оно будет реплицировано. В текущей версии оно не используется для заблаговременного уведомления пользователей об окончании срока действия пароля.

Некоторые атрибуты предоставлены в ознакомительных целях и доступны только для чтения. Среди них:

Основа субъекта сертификата: настроенная основа субъекта сертификата, например O=EXAMPLE.COM. Настраивается только во время установки.
Возможности подключаемого модуля паролей: в текущей версии он определяет дополнительные хеши, которые создаются на основе пароля (могут быть и другие условия).

При установке приоритета сопоставления пользователей SELinux, возможно, потребуется взять значение в кавычки, чтобы оно не обрабатывалось оболочкой.

Максимальная длина имени узла в Linux управляется параметром ядра MAXHOSTNAMELEN и по умолчанию составляет 64 символа. В некоторых других операционных системах, например, в Solaris, разрешены имена узлов длиной вплоть до 255.
Этот параметр позволяет регулировать длину, но по умолчанию ограничен максимальной длиной для Linux.

ПРИМЕРЫ:

 Показать базовую конфигурацию сервера:
   ipa config-show

 Показать все параметры конфигурации:
   ipa config-show --all

 Изменить максимальную длину имени пользователя на 99 символов:
   ipa config-mod --maxusername=99

 Изменить максимальную длину имени узла на 255 символов:¶
   ipa config-mod --maxhostname=255¶

 Увеличить установленные по умолчанию ограничения времени и размера поиска IPA-сервера:
   ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000

 Указать почтовый домен пользователей по умолчанию:
   ipa config-mod --emaildomain=example.com

 Включить режим миграции, чтобы сделать работоспособной команду "ipa migrate-ds":
   ipa config-mod --enable-migration=TRUE

 Определить порядок списка пользователей SELinux:
   ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023'

Ограниченное делегирование служб

Управление правилами, с помощью которых можно ограничить делегирование учётных данных таким образом, что служба сможет выполнять олицетворение пользователя при обмене данными с другой службой без необходимости для пользователя самом деле перенаправлять билет для получения билета (TGT). Такой метод делегирования учётных данных значительно лучше, так как предотвращает раскрытие краткосрочного  секрета пользователя.

В соответствии с соглашением об именовании к имени соответствующего правила добавляется слово "target" или "targets". Такая схема имён не является обязательной, но она помогает концептуально связать правила и их назначения.

Правило состоит из двух компонентов:
  - Список целей (назначений), к которым применяется правило
  - Список memberPrincipals, которым разрешено делегирование для этих целей 

Цель состоит из списка учётных записей, которые можно делегировать.

Если проще, правило утверждает, что определённую учетную запись можно делегировать как указанный список учётных записей, согласно заданному списку целей.

ПРИМЕРЫ:

 Добавить новое правило ограниченного делегирования:
   ipa servicedelegationrule-add ftp-delegation

 Добавить новую цель ограниченного делегирования:
   ipa servicedelegationtarget-add ftp-delegation-target

 Добавить учётную запись в правило:
   ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com       ftp-delegation

 Добавить цель в правило:
   ipa servicedelegationrule-add-target       --servicedelegationtargets=ftp-delegation-target ftp-delegation

 Добавить учётную запись в цель:
   ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com       ftp-delegation-target

 Показать сведения об именованном правиле делегирования и цели:
   ipa servicedelegationrule_show ftp-delegation
   ipa servicedelegationtarget_show ftp-delegation-target

 Удалить ограниченное делегирование:
   ipa servicedelegationrule-del ftp-delegation-target
   ipa servicedelegationtarget-del ftp-delegation

В этом примере служба ftp может получать билет для получения билета для службы ldap от имени связанного пользователя.

Настоятельно не рекомендуется изменять делегирования, которые поставляются с IPA, ipa-http-delegation и его цели ipa-cifs-delegation-targets и Ipa-ldap-delegation-targets. Неправильная настройка может привести к потере возможности делегирования, что повлечет неработоспособность всей системы.

Службы

Служба IPA — это служба, которая выполняется на узле. В записи службы IPA могут храниться данные учётной записи Kerberos, SSL-сертификата или оба набора данных.

Службой IPA можно управлять непосредственно с компьютера, если системе этого компьютера предоставлены соответствующие права доступа. Это касается даже компьютеров, отличных от тех, с которыми связана эта служба. Например, запрос SSL-сертификата  с помощью учётных данных учётной записи службы узла. Чтобы управлять службой с помощью учётных данных узла, следует запустить команду kinit от имени узла:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Добавление службы IPA позволяет связанной службе запрашивать SSL-сертификаты и таблицы ключей, но создание самих запросов является отдельным шагом: соответствующие данные не создаются в результате простого добавления службы.

В записи службы хранятся только открытые данные сертификата; закрытый ключ не сохраняется.

ПРИМЕРЫ:

 Добавить новую службу IPA:
   ipa service-add HTTP/web.example.com

 Разрешить узлу управлять сертификатом службы IPA:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Переопределить список по умолчанию, который содержит поддерживаемые типы PAC для службы:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

Такое переопределение типа PAC необходимо, например, для работы NFS. В текущей версии соответствующий код в ядре Linux может работать только с билетами Kerberos, размер которых не превышает максимально заданного. Так как данные PAC могут быть довольно объёмными, для служб NFS рекомендуется установить --pac-type=NONE.

 Удалить службу IPA:
   ipa service-del HTTP/web.example.com

 Найти все службы IPA, связанные с узлом:
   ipa service-find web.example.com

 Найти все службы HTTP:
   ipa service-find HTTP

 Отключить ключ Kerberos и SSL-сертификат службы:
   ipa service-disable HTTP/web.example.com

 Запросить сертификат для службы IPA:
   ipa cert-request --principal=HTTP/web.example.com example.csr


Службы

Служба IPA — это служба, которая выполняется на узле. В записи службы IPA могут храниться данные учётной записи Kerberos, SSL-сертификата или оба набора данных.

Службой IPA можно управлять непосредственно с компьютера, если системе этого компьютера предоставлены соответствующие права доступа. Это касается даже компьютеров, отличных от тех, с которыми связана эта служба. Например, запрос SSL-сертификата  с помощью учётных данных учётной записи службы узла. Чтобы управлять службой с помощью учётных данных узла, следует запустить команду kinit от имени узла:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Добавление службы IPA позволяет связанной службе запрашивать SSL-сертификаты и таблицы ключей, но создание самих запросов является отдельным шагом: соответствующие данные не создаются в результате простого добавления службы.

В записи службы хранятся только открытые данные сертификата; закрытый ключ не сохраняется.

ПРИМЕРЫ:

 Добавить новую службу IPA:
   ipa service-add HTTP/web.example.com

 Разрешить узлу управлять сертификатом службы IPA:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Переопределить список по умолчанию, который содержит поддерживаемые типы PAC для службы:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

Такое переопределение типа PAC необходимо, например, для работы NFS. В текущей версии соответствующий код в ядре Linux может работать только с билетами Kerberos, размер которых не превышает максимально заданного. Так как данные PAC могут быть довольно объёмными, для служб NFS рекомендуется установить --pac-type=NONE.

 Удалить службу IPA:
   ipa service-del HTTP/web.example.com

 Найти все службы IPA, связанные с узлом:
   ipa service-find web.example.com

 Найти все службы HTTP:
   ipa service-find HTTP

 Отключить ключ Kerberos и SSL-сертификат службы:
   ipa service-disable HTTP/web.example.com

 Запросить сертификат для службы IPA:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Разрешить пользователю создавать таблицу ключей:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 Создать и получить таблицу ключей для службы IPA:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Службы

Служба IPA — это служба, которая выполняется на узле. В записи службы IPA могут храниться данные учётной записи Kerberos, SSL-сертификата или оба набора данных.

Службой IPA можно управлять непосредственно с компьютера, если системе этого компьютера предоставлены соответствующие права доступа. Это касается даже компьютеров, отличных от тех, с которыми связана эта служба. Например, запрос SSL-сертификата  с помощью учётных данных учётной записи службы узла. Чтобы управлять службой с помощью учётных данных узла, следует запустить команду kinit от имени узла:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Добавление службы IPA позволяет связанной службе запрашивать SSL-сертификаты и таблицы ключей, но создание самих запросов является отдельным шагом: соответствующие данные не создаются в результате простого добавления службы.

В записи службы хранятся только открытые данные сертификата; закрытый ключ не сохраняется.

ПРИМЕРЫ:

 Добавить новую службу IPA:
   ipa service-add HTTP/web.example.com

 Разрешить узлу управлять сертификатом службы IPA:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Переопределить список по умолчанию, который содержит поддерживаемые типы PAC для службы:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

 Удалить службу IPA:
   ipa service-del HTTP/web.example.com

 Найти все службы IPA, связанные с узлом:
   ipa service-find web.example.com

 Найти все службы HTTP:
   ipa service-find HTTP

 Отключить ключ Kerberos и SSL-сертификат службы:
   ipa service-disable HTTP/web.example.com

 Запросить сертификат для службы IPA:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Создать и получить таблицу ключей для службы IPA:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Сеансовая поддержка для IPA

Сеансовая поддержка для IPA
John Dennis <jdennis@redhat.com>

Задачи
=====

Обеспечить кэширование данных сеансов отдельных пользователей в течение времени между последовательными запросами. Желаемые возможности:

* Беспроблемная интеграция с минимальным влиянием на существующую инфраструктуру.

* Обеспечение максимальной безопасности с одновременным сохранением приемлемого быстродействия.

* Возможность отзыва (очистки данных) сеансов.

* Гибкость и простота в использовании для разработчиков.

* Максимальное использование существующих технологий и кода для предотвращения необходимости повторной разработки, сокращения времени внедрения и использования стабильных компонентов, которые широко используются сообществом свободного программного обеспечения.

* Поддержка работы с несколькими независимыми процессами, которые совместно используют данные сеанса.

* Система должна работать должным образом как с данными сеанса, так и без них. 

* Высокая производительность.

* Отсутствие привязки к конкретным веб-серверам или браузерам. Обеспечение интеграции с выбранной моделью WSGI.

Проблемы
======

Cookie-файлы
-------

Большинство реализаций сеансов основано на использовании cookie-файлов. С этим связаны определённые проблемы.

* Пользователь может отключить использование cookie-файлов.

* Хранение cookie-файлов на стороне пользователя не является безопасным. Эту проблему можно исправить установкой флажков, обозначающих использование cookie-файлов только для HTTP-подключений с SSL-защитой, для определённых сетевых ресурсов, и ограничение срока действия cookie-файлов сроком работы сеанса. В большинстве современных браузеров эти настройки устанавливаются принудительно.

Где хранить данные сеанса?
----------------------------

Данные сеанса можно хранить на стороне клиента или на стороне сервера. Хранение данных сеанса на стороне клиента решает проблему доступности данных сеанса при обслуживании запросов независимыми веб-серверами, потому что данные сеанса отправляются вместе с запросом. Но имеются ограничения размера данных. Хранение данных сеанса на стороне клиента также ведёт к опасности несанкционированного доступа к конфиденциальным данным, но эту проблему можно решить путём шифрования данных сеанса таким образом, чтобы их мог расшифровать только сервер.

Более распространённый подход: привязать данные сеанса к уникальному имени, идентификатору сеанса. Идентификатор сеанса передаётся клиенту и данные сеанса сопоставляются идентификатору сеанса в банке ассоциативных данных на сервере. Сервер получает данные сеанса путём использования идентификатора сеанса при получении запроса. Таким образом исключается возможность несанкционированного доступа к конфиденциальным данным на стороне клиента и снимается вопрос ограничения размера данных. Но возникает проблема доступности данных сеанса при обслуживании запросов более чем одним серверным процессом.

Доступность данных сеанса для нескольких процессов
---------------------------------------

Apache (и другие веб-серверы) разветвляют дочерние процессы для параллельной обработки запросов. Кроме того, веб-серверы могут быть развёрнуты на ферме, где путём циклического перебора выполняется балансировка нагрузки между разными узлами. В обоих случаях данные сеанса нельзя хранить в памяти серверного процесса, потому что они не будут доступны другим процессам: либо таким же дочерним процессам главного серверного процесса, либо серверным процессам на определённых узлах.

Обычно эта проблема решается путём хранения данных сеанса в базе данных SQL. Когда серверный процесс получает запрос, содержащий идентификатор сеанса в своих данных cookie, этот идентификатор сеанса используется для создания запроса к базе данных SQL, а результат запроса приобщается к самому запросу в ходе его движения по конвейеру обработки запросов. Естественно, это влечёт проблемы обеспечения непротиворечивости данных.

В IPA нежелательно внедрение зависимости от базы данных SQL, этого рекомендуется избегать.

Данные сеанса можно предоставить в совместное использование независимых процессов, если хранить их в файлах.

В последнее время всё чаще используется альтернативное решение: использование сервера кэширования на основе быстрой памяти. Данные хранятся в памяти одного процесса, по ним можно отправлять запросы и их можно изменять с помощью простого протокола с использованием стандартных механизмов работы с сокетами. Примером является memcached. Обычно это решение используется для оптимизации обработки SQL-запросов путём хранения результатов SQL-запросов в общем кэше памяти, что позволяет избежать потребления значительного количества ресурсов при работе с базой данных SQL. Но кэш памяти имеет преимущества также и в средах без SQL.

Возможные реализации для использования в IPA
=======================================

Сеансы Apache
---------------

В Apache версии 2.3 реализована сеансовая поддержка с помощью следующих модулей:

  mod_session
    Общая сеансовая поддержка на основе cookie-файлов.

    Подробнее: http://httpd.apache.org/docs/2.3/mod/mod_session.html

  mod_session_cookie
    Сохраняет данные сеанса на стороне клиента.

    Подробнее: http://httpd.apache.org/docs/2.3/mod/mod_session_cookie.html

  mod_session_crypto
    Шифрует данные сеанса для обеспечения безопасности. Ключ шифрования является общим параметром конфигурации, виден всем процессам Apache и хранится в файле конфигурации. 

    Подробнее: http://httpd.apache.org/docs/2.3/mod/mod_session_crypto.html

  mod_session_dbd
    Сохраняет данные сеанса в базе данных SQL, что позволяет нескольким процессам осуществлять доступ к одним и тем же данным сеанса и совместно использовать их.

    Подробнее: http://httpd.apache.org/docs/2.3/mod/mod_session_dbd.html

Проблемы, связанные с сеансами Apache
~~~~~~~~~~~~~~~~~~~~~~~~~~~

Хотя в Apache реализована общая сеансовая поддержка и предпочтительно использование именно веб-сервера Apache, он создаёт проблемы в работе с IPA.

  * Сеансовая поддержка доступна только в httpd >= 2.3. На момент написания данного текста существует только бета-релиз из основной ветки разработки. Текущей версией в нашем дистрибутиве является httpd 2.2. То же касается и других дистрибутивов.

  * Мы могли бы создать пакеты и поставлять модули для работы с сеансами как временные пакеты в средах с httpd 2.2, но это будет иметь такие последствия:

      - Придётся выполнять обратное портирование кода, в httpd 2.3 немного изменился API по сравнению с httpd 2.2. Обратное портирование не так уж сложно выполнить, проверка концепции была реализована.

      - Нам пришлось бы паковать и сопровождать специальный пакет Apache. Это работа по сопровождению кода и его упаковке для дистрибутивов. И того, и другого желательно было бы избежать.

  * Концепция построения модулей для работы с сеансами Apache такова, что управлять этими модулями можно только из других модулей Apache. Возможности потребителей данных сеанса по управлению данными чрезмерно упрощены, ограничены и статичны во время обработки запроса. Обработчики запросов, не являющиеся собственными модулями Apache (например, IPA через WSGI), могут только изучать данные сеанса с помощью заголовков запросов и сбрасывать эти данные в заголовках ответов.

  * Общий доступ к данным сеанса доступен только с помощью SQL.

Впрочем, использование модулей для работы с сеансами Apache 2.3 предоставило бы нам надёжную сеансовую поддержку, реализованную на языке C на основе стандартизированных и широко используемых интерфейсов Apache.

Платформы для разработки веб-приложений на языке Python 
---------------------

Практически все платформы для разработки веб-приложений на Python поддерживают сеансы на основе cookie-файлов, например, Django, Twisted, Zope, Turbogears и так далее. На ранних этапах разработки IPA мы решили не использовать эти платформы. Попытка заимствовать только часть этих платформ, чтобы просто получить сеансовую поддержку, привела бы к проблемам, так как код не будет работать вне соответствующей платформы.

Сеансы, реализованные средствами IPA
------------------------

Сначала нам казалось, что проще всего будет воспользоваться готовой сеансовой поддержкой; скорее всего, той, которая реализована в Apache. Впрочем, оказалось, что в собственных пакетах Python и других стандартных пакетах имеется достаточное количество базовых модульных компонентов, которые позволяют выполнить указанные выше требования при сравнительно незначительных затратах на реализацию. Поскольку мы используем имеющиеся компоненты, сложности с реализацией должны быть нивелированы использованием компонентов, которые уже проверены и поддерживаются сообществом. Это довольно взвешенная стратегия.

Предлагаемое решение
=================

Наш интерфейс веб-сервера работает с помощью WSGI (стандарт взаимодействия между Python-программой и самим веб-сервером), который выполняет обратный вызов для каждого запроса и передаёт нам контекст среды для запроса. В дальнейшем мы будем называть обратной вызов WSGI "application()"; это правильное название в пределах синтаксиса WSGI. 

Обработку общих данных сеансов будет осуществлять memcached. Мы будем создавать на каждом серверном узле один экземпляр memcached, предназначенный исключительно для IPA. Обмен данными с memcached будет осуществляться с помощью сокета UNIX, расположенного в файловой системе по адресу /var/run/ipa_memcached. Сокет будет защищён правами доступа файловой системы и, если нужно, правилом SELinux.

В application() мы изучаем cookie-файлы запроса и, если имеется cookie-файл сеанса IPA с идентификатором сеанса, получаем данные сеанса с нашего экземпляра memcached. 

Данные сеанса будут являться словарём (dict) Python. Компоненты IPA будут читать или записывать свои сведения о сеансе путём использования предварительно согласованного имени (например, ключа) в dict. Это очень гибкая система, соответствующая тому, как мы передаём данные в большинстве частей IPA.

Если данные сеанса недоступны, будет создан пустой словарь данных сеанса.

Как эти данные сеанса перемещаются вместе с запросом по конвейеру IPA? В IPA мы используем HTTP-запрос/-ответ для реализации RPC. В
application() мы преобразуем запрос в вызов процедуры, передавая её аргументы, полученные из HTTP-запроса. Переданные параметры зависят от конкретного вызванного метода RPC. Контекст, в котором исполняется вызов RPC, не передаётся как параметр RPC. 

Каким образом данные сеанса, представляющие собой контекстную информацию, привязываются к запросу и, следовательно, вызову RPC?

В IPA при подготовке вызова RPC из запроса мы признаём, что серийная обработка будет выполняться только одним потоком Python. Для каждого потока выделяется локальный по отношению к потоку словарь, который называется "context". Этот контекстный словарь очищается между запросами (например, вызовами метода RPC). Соответствующий потоку контекстный словарь заполняется данными во время срока работы запроса и используется в качестве глобальной структуры данных, уникальной для запроса и доступной компонентам IPA для чтения и записи при гарантии уникальности данных для текущего запроса и/или вызова метода.

Словарь данных сеанса записывается в контекстный словарь с сеансовым ключом до начала выполнения метода RPC. Поэтому любой компонент IPA может выполнить чтение и запись данных путём доступа к "context.session".

По завершении выполнения метода RPC данные сеанса, привязанные к запросу/методу, извлекаются из контекста и записываются обратно в экземпляр memcached. Идентификатор сеанса указывается в отправленном клиенту ответе, в заголовке "Set-Cookie", вместе с флажками, управляющими его использованием.

Проблемы и подробности
------------------

Код IPA не может зависеть от факта наличия данных сеанса, но он всегда должен обновлять данные сеанса из расчёта на их доступность в будущем. Данные сеанса могут быть недоступны по следующим причинам:

  * Это первый запрос от пользователя, данные сеанса ещё не созданы.

  * На стороне пользователя отключены cookie-файлы.

  * Данные сеанса могли быть сброшены. memcached работает с фиксированным выделением памяти и очищает наиболее давно использовавшиеся записи; как и любой другой кэш, он не гарантирует сохраняемость.

    Кроме того, мы можем намеренно сделать данные сеанса недействительными или удалить их (об этом далее).

Управление сookie-файлами выполняется с помощью стандартного модуля Cookie на Python.

Сookie-файлы сеанса будут существовать столько, сколько длится сеанс браузера. Они будут помечены таким образом, чтобы браузер возвращал идентификатор сессии только для HTTP-запросов с SSL-защитой. Они не будут видны для Javascript в браузере.

Идентификаторы сеанса будут создаваться с помощью 48-битных случайных данных и преобразовываться в 12 шестнадцатиричных цифр. Вновь создаваемые идентификаторы сеанса будут проверяться на предыдущее существование, чтобы избежать маловероятного случая повтора случайного числа.

memcached будет работать значительно быстрее, чем основанное на хранении данных в SQL или файлах решение. Коммуникация эффективно выполняется через канал (сокет UNIX) с помощью очень простого протокола, а данные полностью содержатся в памяти процесса. Также memcached легко масштабировать; просто добавить дополнительные процессы memcached и распределить нагрузку между ними. На данный момент мы не видим необходимости в использовании этой возможности.

У модуля memcached на Python есть удобная особенность: когда элемент данных записывается в кэш, это выполняется с помощью стандартной сериализации Python (сериализация представляет собой стандартный механизм Python для упаковки и распаковки объектов Python). В целях обеспечения соответствия применяемым нами подходам к обработке данных: записанный в кэш объект будет являться словарём. Код сериализации будет рекурсивно обрабатывать вложенные объекты в словаре. Использование стандартных структур данных Python обеспечивает гибкость при хранении и получении наших данных сеанса без необходимости написания и отладки кода для упаковки и распаковки данных (что понадобилось бы при использовании другого механизма хранения). Это большой плюс реализации. Конечно, следует разумно подходить к выбору того, что следует записывать в кэш сеанса, учитывая, что процессы осуществляют общий доступ к данным и что их размер не должен быть слишком велик (настраиваемый параметр).

Мы можем установить срок действия записей memcached. Это можно сделать в целях принудительного периодического обновления данных сеанса. Например, мы нам может быть нужно, чтобы клиент периодически предоставлял свежие учётные данные, даже если хранящиеся в кэше учётные данные ещё действительны.

Мы можем явно удалить данные сеанса, если по какой-либо причины считаем их устаревшими, недействительными или скомпрометированными.

Процесс memcached также предоставляет нам определённые возможности по предотвращению состояния гонки между разными процессами, использующими кэш. Например, можно проверить, была ли запись изменена с момента последнего прочтения, или использовать семантику CAS
(Check And Set (проверить и установить)). Что именно следует защитить в целях обеспечения согласованности кэша, вероятно, придётся определять по мере использования сеансовой поддержки и добавления разных элементов данных в кэш. Это сильно зависит от данных и контекста. К счастью, операции memcached являются атомарными.

Управление процессом memcached 
---------------------------------

Нам нужен механизм запуска процесса memcached и обеспечения его безопасности (чтобы доступ к процессу был только у компонентов IPA).

Хотя memcached поставляется с файлами блоков initscript и systemd, они предназначены для экземпляров универсального типа. А нам нужен экземпляр memcached, предназначенный исключительно для использования с IPA. Чтобы достичь этой цели, нам следовало бы установить файл блока systemd или SysV initscript для управления предназначенной для IPA службой memcached. Команду ipactl было бы необходимо расширить, включив сведения об этой дополнительной службе. Возможности cgroup блока systemd предоставили бы нам дополнительные механизмы для интеграции службы memcached IPA в большую группу процессов IPA.

Защита данных memcached выполнялась бы с помощью разрешений файлов (и, если нужно, политики SELinux) на сокете домена Unix. Хотя последние реализации memcached поддерживают аутентификацию с помощью SASL, это делает работу менее производительной и более сложной, что неоправдано, когда кэш предназначается для использования только нами и доступ к нему управляется механизмами ОС.  

Обычно защита управляющих программ выполняется путём назначения им системного идентификатора uid и/или идентификатора группы gid. Управляющая программа, запущенная с правами суперпользователя ("root") утратит свои привилегии, приняв назначенный ей эффективный uid:gid. ОС управляет доступом к файловой системе с помощью эффективного идентификатора, на основе которого также можно создать политику SELinux. Таким образом, memcached на сокете UNIX был бы защищён наличием владельца (определённого системного пользователя) и/или участием в ограниченной системной группе (если на время забыть о SELinux).

К сожалению, сейчас у нас нет идентификатора uid для IPA, с которым бы работали наши процессы, а также нет системной группы IPA. IPA не управляет набором связанных процессов (управляющие программы), исторически сложилось, что каждому из них назначается свой собственный uid. Когда эти несвязанные процессы общаются, они взаимно аутентифицируются через другие механизмы. Мы редко использовали объекты файловой системы с общим доступом через идентификаторы. Когда файловые объекты создаются, им обычно назначается идентификатор управляющей программы, которой требуется доступ к объекту, и другие управляющие программы не осуществляют к ним доступ, или они имеют идентификатор "root".

Когда наше приложение WSGI выполняется в Apache, оно выполняется как управляющая программа WSGI. Это означает, что при запуске Apache она отделяет процессы WSGI и позволяет нам не зависеть от других процессов Apache. Когда WSGI выполняется в этом режиме, можно установить uid:gid ведущего процесса WSGI, но на данный момент мы не используем эту возможность. WSGI также может выполняться в других режимах, но только в режиме управляющей программы можно установить uid:gid независимо от остального Apache. Всем процессам, которые запускает Apache, можно установить общий uid:gid, указанный в глобальной конфигурации Apache, по умолчанию это: apache:apache. Теперь наш код IPA выполняется как apache:apache.

Чтобы обеспечить защиту memcached на сокете UNIX, мы можем выбрать один из следующих двух вариантов:

1. Назначить для него uid:gid apache:apache. Это ограничит доступ к кэшу только процессами, выполняющимися под httpd. Это обеспечит некоторую защиту, но является далеко не идеальным решением. Любой выполняемый на веб-сервере код потенциально может получить доступ к нашему кэшу. Сложно управлять тем, что выполняется на веб-сервере, и администраторы могут не понимать последствий настройки httpd для обслуживания других вещей кроме IPA.

2. Создать uid:gid специально для IPA, например: ipa:ipa. Затем настроить наше приложение WSGI application для выполнения в качестве ipa:ipa пользователя и группы. Мы также настроим наш экземпляр memcached для выполнения в качестве ipa:ipa пользователя и группы. При такой конфигурации мы полностью защищены, чтение и запись в memcached на сокете UNIX может выполнять только наш код WSGI.

Но при конвертации нашего кода для выполнения отличным от apache:apache образом могут возникнуть непредвиденные проблемы. Необходимы исследования и тестирование. 

IPA зависит от других системных управляющих программ, в частности, от сервера каталогов (Directory Server (ds)) и сервера сертификатов (Certificate Server (cs)). На данный момент мы настраиваем ds для выполнения под dirsrv:dirsrv пользователя и группы, это созданный нами идентификатор. Мы разрешаем cs использовать установленный по умолчанию идентификатор pkiuser:pkiuser пользователя и группы. Должны ли другие работающие совместно управляющие службы также выполняться под общими идентификаторами ipa:ipa пользователя и группы? На первый взгляд объединение всех идентификаторов процессов под общим идентификатором пользователя и группы IPA кажется удачным решением. Но эти другие процессы не зависят от разрешений пользователя и группы при работе с внешними агентами, процессами и так далее. Они, скорее, предназначены для того, чтобы использоваться в качестве отдельных сетевых служб, которые выполняют аутентификацию своих клиентов с помощью других механизмов. Они зависят от разрешений пользователя и группы при управлении своими собственными объектами файловой системы. Если пользователь и / или группа ipa были скомпрометированы или под идентификатором ipa был выполнен вредоносный код, то преимущество заключается в "отгораживании" работающих совместно процессов под их собственными идентификаторами; это обеспечивает дополнительную защиту. (Обратите внимание, что эти работающие совместно управляющие программы могут даже не находиться на одном и том же узле; в таком случае проблема становится неактуальной.)

Поведение сокета UNIX (ldapi) по отношению к серверу каталогов:

  * Владелец сокета: root:root

  * Разрешения сокета: 0666

  * При подключении с помощью ldapi необходимо аутентифицироваться так же, как и при использовании сокета TCP, исключая следующие случаи:

  * Если включена функция autobind, доступна установка uid:gid с помощью
    SO_PEERCRED и uid:gid можно найти в наборе пользователей, известных серверу каталогов, то это подключение будет привязано как такой пользователь.

  * В ином случае будет выполнена анонимная привязка.

Поведение memcached на сокете UNIX:

  * memcached можно вызвать аргументом пользователя, группа может быть не указана. Эффективный uid — это uid аргумента пользователя, а эффективный gid — это основная группа пользователя, назовём это так: euid:egid

  * Владелец сокета: euid:egid

  * Разрешения сокета по умолчанию: 0700, но это можно изменить аргументом командной строки -a mask (устанавливает umask (по умолчанию 0700)).

Обзор аутентификации в IPA
=================================

Здесь приведено описание текущей реализации аутентификации и того, как мы планируем повысить производительность аутентификации. Начнём с определений.

Имеется 4 основных участника:

  1. клиент
  2. mod_auth_kerb (в процессе Apache)
  3. wsgi handler (в процессе wsgi python IPA)
  4. ds (сервер каталогов)

Имеется несколько ресурсов:

  1. /ipa/ui (незащищённое, статические ресурсы веб-интерфейса)
  2. /ipa/xml (защищённое, xmlrpc RPC используется клиентами командной строки)
  3. /ipa/json (защищённое, json RPC используется javascript в веб-интерфейсе)
  4. ds (защищённое, wsgi действует в качестве прокси, наш LDAP-сервер)

Текущая модель
-------------

Здесь приведено описание работы нашей существующей системы с веб-интерфейсом.

  1. Клиент запрашивает /ipa/ui, это незащищённое, статическое соединение, которое не содержит конфиденциальную информацию. Apache отвечает с помощью html и
     javascript. javascript запрашивает /ipa/json.

  2. Клиент отправляет запрос типа post на /ipa/json.

  3. mod_auth_kerb настроен для защиты /ipa/json, отвечает 401
     authenticate negotiate.

  4. Клиент выполняет повторную отправку вместе с учётными данными

  5. mod_auth_kerb проверяет учётные данные

     a. если они недействительны, отвечает 403 access denied (остановка)

     b. если они действительны, создаёт временный кэш учётных данных, добавляет KRB5CCNAME в заголовки запроса

  6. Запрос передаётся обработчику wsgi

     a. проверяет запрос: должны иметься KRB5CCNAME, источник ссылки и так далее

     b. кэш учётных данных сохраняется и используется для привязки к серверу каталогов

     c. направляет в указанный обработчик RPC

  7. Обработчик wsgi отвечает клиенту

Предлагаемая оптимизация на основе сеансов
---------------------------------------

Круговое согласование и проверка учётных данных на этапах 3, 4, 5 требовательны к ресурсам. Эту проблему можно решить, если кэшировать учётные данные клиента. При работе с сеансами клиента можно хранить учётные данные клиента в сеансе, связанном с клиентом.

Несколько замечаний о реализации сеансов.

  * они основаны на cookie-файлах сеанса, поэтому использование сookie-файлов должно быть включено.

  * cookie-файл сеанса является защищённым, передаётся по безопасным соединениям и только нашему ресурсу URL-адреса, никогда не виден для javascript клиента и так далее.

  * у cookie-файла сеанса есть идентификатор сеанса, который обработчик wsgi использует для получения данных сеанса клиента из общего многозадачного кэша.

Изменения защиты ресурсов Apache
---------------------------------------

  * Ресурс /ipa/json больше не защищён mod_auth_kerb. Это необходимо, чтобы избежать расхода ресурсов на согласование на приведённых выше этапах 3, 4, 5. Вместо этого ресурс /ipa/json будет защищён в нашем обработчике wsgi с помощью cookie-файла сеанса.

  * Появляется новый защищенный универсальный код ресурса (URI), /ipa/login. Этот ресурс не обслуживает данные и используется исключительно для аутентификации.

Новая последовательность:

  1. Клиент запрашивает /ipa/ui, это незащищённое соединение. Apache отвечает с помощью
     html и javascript. javascript запрашивает /ipa/json.

  2. Клиент отправляет запрос типа post на /ipa/json, это незащищённое соединение.

  3. Обработчик wsgi получает данные сеанса из cookie-файла сеанса.

     a. если кэш учётных данных присутствует в данных сеанса и действителен

        - выполняется дальнейшая проверка запроса

        - устанавливается кэш учётных данных для привязки к серверу каталогов

        - запрос направляется на обработчик RPC

        - обработчик wsgi в итоге отвечает клиенту

     b. если кэш учётных данных не присутствует или недействителен, обработка продолжается...

  4. обработчик wsgi отвечает 401 Unauthorized

  5. клиент отправляет запрос на /ipa/login для получения учётных данных сеанса

  6. mod_auth_kerb отвечает 401 negotiate на /ipa/login

  7. клиент отправляет учётные данные на /ipa/login

  8. mod_auth_kerb проверяет учётные данные

     a. если они действительны

        - mod_auth_kerb разрешает доступ на /ipa/login. Вызывается обработчик wsgi, который выполняет следующее:

          * устанавливает сеанс для клиента

          * получает кэш учётных данных из KRB5CCNAME и хранит его

     b. если они недействительны

        - mod_auth_kerb отправляет 403 access denied (обработка останавливается)

  9. клиент снова отправляет те же самые данные на /ipa/json, включая cookie-файл сеанса. Обработка повторно запускается с этапа 2, и, так как данные сеанса теперь содержат действительный кэш учётных данных, выполняется этап 3a, клиенту отправляется сообщение об успешном выполнении.

Клиент командной строки, использующий xmlrpc
--------------------------------

Выше приведено описание веб-интерфейса, использующего механизм json RPC. Средства командной строки IPA используют механизм xmlrpc RPC на том же самом HTTP-сервере. Доступ к xmlrpc осуществляется через URI /ipa/xml. У json и xmlrpc одинаковые API, они отличаются только тем, как упаковываются и распаковываются их вызовы процедур.

При новой схеме /ipa/xml всегда остаётся защищённым Kerberos. mod_auth_kerb Apache продолжит запрашивать у клиента действительные учётные данные Kerberos.

Когда обработчик WSGI направляет запрос на /ipa/xml, из переменной среды KRB5CCNAME, предоставленной модулем mod_auth_kerb, извлекаются учётные данные Kerberos. Всё остальное не меняется.


Установка пароля пользователя

Если пароль пользователя изменяет кто-то кроме самого пользователя (например, его сбрасывает служба технической поддержки), пароль потребуется изменить при первом использовании. Это делается для того, чтобы пароль знал только конечный пользователь.

Политика паролей IPA управляет частотой смены пароля, требованиями к надёжности пароля и размером журнала паролей.

ПРИМЕРЫ:

 Чтобы сбросить свой собственный пароль:
   ipa passwd

 Чтобы изменить пароль другого пользователя:
   ipa passwd tuser1

Имитация использования управления доступом на основе узла

Правила HBAC управляют тем, кто, на каких узлах и из каких узлов сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп, которые будут иметь доступ к определённой службе или группе служб на целевом узле. 

Так как применение правил HBAC подразумевает использование рабочей среды, этот подключаемый модуль предназначен для обеспечения имитации оценки правил HBAC при отсутствии доступа к рабочей среде.

 Проверка тестового пользователя, который обращается к службе на именованном узле, на соответствие существующим включённым правилам.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--srchost= ] [--sizelimit= ]

 Параметры --user, --host и --service являются обязательными, остальные можно не указывать.

 Если указан параметр --rules, имитировать включение указанных правил и проверить возможность входа пользователя в случае использования только этих правил.

 Если указан параметр --enabled, добавить все включённые правила HBAC к имитации.

 Если указан параметр --disabled, добавить все отключённые правила HBAC к имитации.

 Если указан параметр --nodetail, не возвращать данные о соответствующих или не соответствующих правилах.

 Если одновременно указаны параметры --rules и --enabled, выполнить имитацию --rules _и_
 всех включённых правил IPA.

 Если не указан параметр --rules, выполнить имитацию всех включённых правил IPA.
 По умолчанию в IPA имеется общее ограничение количества извлекаемых записей, его можно изменить с помощью параметра --sizelimit.

 Если указан параметр --srchost, он будет проигнорирован. Он сохранён только для обеспечения совместимости.

ПРИМЕРЫ:

    1. Использовать все включённые правила HBAC в базе данных IPA:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      не соответствует: my-second-rule
      не соответствует: my-third-rule
      не соответствует: myrule
      соответствует: allow_all

    2. Отключить подробный отчёт о применении правил:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Доступ предоставлен: Да
    --------------------

    3. Проверить явно указанные правила HBAC:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      не соответствует: my-second-rule
      не соответствует: myrule

    4. Использовать все включённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule --enabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      не соответствует: my-second-rule
      не соответствует: my-third-rule
      не соответствует: myrule
      соответствует: allow_all

    5. Проверить все отключённые правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      не соответствует: new-rule

    6. Проверить все отключённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --rules=my-second-rule,myrule --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      не соответствует: my-second-rule
      не соответствует: my-third-rule
      не соответствует: myrule

    7. Проверить все (включённые и отключённые) правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd           --enabled --disabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      не соответствует: my-second-rule
      не соответствует: my-third-rule
      не соответствует: myrule
      не соответствует: new-rule
      соответствует: allow_all

Имитация использования управления доступом на основе узла

Правила HBAC управляют тем, кто и на каких узлах сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп, которые будут иметь доступ к определённой службе или группе служб на целевом узле. 

Так как применение правил HBAC подразумевает использование рабочей среды, этот подключаемый модуль предназначен для обеспечения имитации оценки правил HBAC при отсутствии доступа к рабочей среде.

 Проверка тестового пользователя, который обращается к службе на именованном узле, на соответствие существующим включённым правилам.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--sizelimit= ]

 Параметры --user, --host и --service являются обязательными, остальные можно не указывать.

 Если указан параметр --rules, имитировать включение указанных правил и проверить возможность входа пользователя в случае использования только этих правил.

 Если указан параметр --enabled, добавить все включённые правила HBAC к имитации.

 Если указан параметр --disabled, добавить все отключённые правила HBAC к имитации.

 Если указан параметр --nodetail, не возвращать данные о соответствующих или не соответствующих правилах.

 Если одновременно указаны параметры --rules и --enabled, выполнить имитацию --rules _и_
 всех включённых правил IPA.

 Если не указан параметр --rules, выполнить имитацию всех включённых правил IPA.
 По умолчанию в IPA имеется общее ограничение количества извлекаемых записей, его можно изменить с помощью параметра --sizelimit.

 ПРИМЕРЫ:

    1. Использовать все включённые правила HBAC в базе данных IPA:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Соответствующие правила: allow_all

    2. Отключить подробный отчёт о применении правил:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Доступ предоставлен: Да
    --------------------

    3. Проверить явно указанные правила HBAC:
    $ ipa hbactest --user=a1a --host=bar --service=sshd
           --rules=myrule --rules=my-second-rule
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: myrule

    4. Использовать все включённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd
           --rules=myrule --rules=my-second-rule --enabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Соответствующие правила: allow_all

    5. Проверить все отключённые правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: new-rule

    6. Проверить все отключённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd
           --rules=myrule --rules=my-second-rule --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule

    7. Проверить все (включённые и отключённые) правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd
           --enabled --disabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Несоответствующие правила: new-rule
      Соответствующие правила: allow_all


HBACTEST И ДОВЕРЕННЫЕ ДОМЕНЫ

Если в IPA настроен внешний доверенный домен, правила HBAC также применяются к пользователям, которые выполняют доступ к ресурсам IPA из доверенного домена. Пользователи и группы доверенного домена (и их SID) затем могут быть привязаны к внешним группам, которые могут быть участниками POSIX-групп в IPA. Такие привязки можно использовать в правилах HBAC, тем самым разрешая доступ к ресурсам, которые защищены системой HBAC.

Подключаемый модуль hbactest позволяет проверять доступ как для локальных пользователей IPA, так и для пользователей из доверенных доменов, как с полным именем пользователя, так и по SID пользователей. В таких именах пользователей должен быть указан доверенный домен в краткой форме (DOMAIN\Administrator) или имя учётной записи пользователя (UPN), Administrator@ad.test.

Обратите внимание, что выполнять hbactest с аргументом пользователя доверенного домена в параметре --user могут только участники группы "trust admins".

ПРИМЕРЫ:

    1. Проверить, соответствует ли пользователь из доверенного домена, указанный по краткому имени, какому-либо правилу:

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    2. Проверить, соответствует ли пользователь из доверенного домена, указанный по  имени домена, какому-либо правилу:

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    3. Проверить, соответствует ли пользователь из доверенного домена, указанный по SID, какому-либо правилу:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500
             --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    4. Проверить, соответствует ли другой пользователь из доверенного домена, указанный по SID, какому-либо правилу:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203
             --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Несоответствующие правила: can_login

   5. Проверить, соответствует ли другой пользователь из доверенного домена, указанный по краткому имени, какому-либо правилу:

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Несоответствующие правила: can_login


Имитация использования управления доступом на основе узла

Правила HBAC управляют тем, кто и на каких узлах сможет получать доступ к определённым службам. Вы можете воспользоваться HBAC для определения тех пользователей и групп, которые будут иметь доступ к определённой службе или группе служб на целевом узле. 

Так как применение правил HBAC подразумевает использование рабочей среды, этот подключаемый модуль предназначен для обеспечения имитации оценки правил HBAC при отсутствии доступа к рабочей среде.

 Проверка тестового пользователя, который обращается к службе на именованном узле, на соответствие существующим включённым правилам.

 ipa hbactest --user= --host= --service=
              [--rules=rules-list] [--nodetail] [--enabled] [--disabled]
              [--sizelimit= ]

 Параметры --user, --host и --service являются обязательными, остальные можно не указывать.

 Если указан параметр --rules, имитировать включение указанных правил и проверить возможность входа пользователя в случае использования только этих правил.

 Если указан параметр --enabled, добавить все включённые правила HBAC к имитации.

 Если указан параметр --disabled, добавить все отключённые правила HBAC к имитации.

 Если указан параметр --nodetail, не возвращать данные о соответствующих или не соответствующих правилах.

 Если одновременно указаны параметры --rules и --enabled, выполнить имитацию --rules _и_
 всех включённых правил IPA.

 Если не указан параметр --rules, выполнить имитацию всех включённых правил IPA.
 По умолчанию в IPA имеется общее ограничение количества извлекаемых записей, его можно изменить с помощью параметра --sizelimit.

 ПРИМЕРЫ:

    1. Использовать все включённые правила HBAC в базе данных IPA:
    $ ipa  hbactest --user=a1a --host=bar --service=sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Соответствующие правила: allow_all

    2. Отключить подробный отчёт о применении правил:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail
    --------------------
    Доступ предоставлен: Да
    --------------------

    3. Проверить явно указанные правила HBAC:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
           --rules=myrule --rules=my-second-rule
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: myrule

    4. Использовать все включённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
           --rules=myrule --rules=my-second-rule --enabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Соответствующие правила: allow_all

    5. Проверить все отключённые правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: new-rule

    6. Проверить все отключённые правила HBAC в базе данных IPA + явно указанные правила:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
           --rules=myrule --rules=my-second-rule --disabled
    ---------------------
    Доступ предоставлен: Нет
    ---------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule

    7. Проверить все (включённые и отключённые) правила HBAC в базе данных IPA:
    $ ipa hbactest --user=a1a --host=bar --service=sshd \\
           --enabled --disabled
    --------------------
    Доступ предоставлен: Да
    --------------------
      Несоответствующие правила: my-second-rule
      Несоответствующие правила: my-third-rule
      Несоответствующие правила: myrule
      Несоответствующие правила: new-rule
      Соответствующие правила: allow_all


HBACTEST И ДОВЕРЕННЫЕ ДОМЕНЫ

Если в IPA настроен внешний доверенный домен, правила HBAC также применяются к пользователям, которые выполняют доступ к ресурсам IPA из доверенного домена. Пользователи и группы доверенного домена (и их SID) затем могут быть привязаны к внешним группам, которые могут быть участниками POSIX-групп в IPA. Такие привязки можно использовать в правилах HBAC, тем самым разрешая доступ к ресурсам, которые защищены системой HBAC.

Подключаемый модуль hbactest позволяет проверять доступ как для локальных пользователей IPA, так и для пользователей из доверенных доменов, как с полным именем пользователя, так и по SID пользователей. В таких именах пользователей должен быть указан доверенный домен в краткой форме (DOMAIN\Administrator) или имя учётной записи пользователя (UPN), Administrator@ad.test.

Обратите внимание, что выполнять hbactest с аргументом пользователя доверенного домена в параметре --user могут только участники группы "trust admins".

ПРИМЕРЫ:

    1. Проверить, соответствует ли пользователь из доверенного домена, указанный по краткому имени, какому-либо правилу:

    $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    2. Проверить, соответствует ли пользователь из доверенного домена, указанный по  имени домена, какому-либо правилу:

    $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    3. Проверить, соответствует ли пользователь из доверенного домена, указанный по SID, какому-либо правилу:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \\
             --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Соответствующие правила: can_login

    4. Проверить, соответствует ли другой пользователь из доверенного домена, указанный по SID, какому-либо правилу:

    $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \\
             --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Несоответствующие правила: can_login

   5. Проверить, соответствует ли другой пользователь из доверенного домена, указанный по краткому имени, какому-либо правилу:

    $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd
    --------------------
    Доступ предоставлен: Да
    --------------------
      Соответствующие правила: allow_all
      Несоответствующие правила: can_login

Неподтверждённые пользователи

Управление записями неподтверждённых пользователей.

Записи неподтверждённых пользователей находятся непосредственно в контейнере: "cn=stage users,
cn=accounts, cn=provisioning, SUFFIX". Пользователь не может проходить аутентификацию с помощью этих записей (даже если они содержат учётные данные), они являются кандидатами на преобразование в активные записи. 

Активные записи пользователей являются пользователями Posix, находящимися непосредственно в  контейнере: "cn=accounts, SUFFIX". Пользователь может проходить аутентификацию с помощью активных записей, если они содержат учётные данные.

Удалённые записи пользователей являются пользователями Posix,  находящимися непосредственно в  контейнере: "cn=deleted users, cn=accounts, cn=provisioning, SUFFIX". Пользователь не может проходить аутентификацию с помощью этих записей (даже если они содержат учётные данные).

Контейнер неподтверждённых пользователей содержит записи:
    - созданные с помощью команд "stageuser-add", которые являются пользователями Posix
    - созданные с помощью внешней системы подготовки 

Корректная запись неподтверждённого пользователя ДОЛЖНА отвечать следующим требованиям:
    - RDN записи имеет значение "uid"
    - ipaUniqueID имеет значение "autogenerate"

IPA поддерживает широкий спектр форматов имён пользователей, но следует учитывать те ограничения, которые могут существовать в конкретной среде. Например, имена пользователей, которые начинаются с цифры или превышают определённую длину, могут  привести к проблемам в некоторых системах UNIX.
Используйте команду "ipa config-mod" для изменения формата имени пользователя, разрешённого средствами IPA.


ПРИМЕРЫ:

 Добавить нового неподтверждённого пользователя:
   ipa stageuser-add --first=Tim --last=User --password tuser1

 Добавить неподтверждённого пользователя из контейнера Delete:
   ipa stageuser-add  --first=Tim --last=User --from-delete tuser1

В стандартном хранилище для передачи и хранения секрета используются безопасные механизмы. Секрет могут получить только те пользователи, у которых есть доступ к хранилищу.


Подчинённые службы сертификации (Sub-CA) можно добавлять для выпуска с заданной областью сертификатов X.509.

Sudo (su "do") позволяет системному администратору делегировать полномочия, чтобы дать определённым пользователям (или группам пользователей) возможность выполнять некоторые (или все) команды от имени пользователя "root" или другого пользователя, вместе с тем предоставляя журнал аудита команд и их аргументов.

Команды Sudo 

Команды, которые используются в качестве строительных блоков для Sudo

ПРИМЕРЫ:

 Создать новую команду
   ipa sudocmd-add --desc='Чтение файлов в журнале' /usr/bin/less

 Удалить команду
   ipa sudocmd-del /usr/bin/less

Команды Sudo 

Команды, которые используются в качестве строительных блоков для Sudo

ПРИМЕРЫ:

 Создать новую команду
   ipa sudocmd-add --desc='Чтение файлов в журнале' /usr/bin/less

 Удалить команду
   ipa sudocmd-del /usr/bin/less


Правила Sudo

Симметричное хранилище похоже на стандартное хранилище, но в нём секрет перед передачей предварительно шифруется с помощью пароля. Секрет можно получить только с помощью этого пароля.

Команду automember-rebuild можно использовать, чтобы задним числом применить правила автоучастия в отношении уже существующих записей; это перестроит их участие.

Формат даты:  ГГГГ-мм-дд.

Система выдачи сертификатов Dogtag Certificate System использует только значение CN в CSR и принудительно устанавливает остальные параметры субъекта в соответствии со значениями, настроенными на сервере.

Поддерживаются следующие причины отзыва:

Роль может находиться в одном из следующих состояний: включена, настроена или отсутствует.

Существует ряд разрешённых целей:
1. subtree: DN; разрешение применяется к поддереву под этим DN.
2. target filter: фильтр LDAP.
3. target: DN с возможными подстановочными знаками, определяет записи, к которым применяется разрешение.

Существует много структурированных типов записей ресурсов DNS, для которых данные DNS, хранящиеся на сервере LDAP, являются не просто скалярным значением, например IP-адрес или имя домена, а структурой данных, которая часто может быть сложной. Примером может быть запись LOC [RFC1876], которая состоит из многих обязательных и необязательных частей (градусов, минут, секунд широты и долготы, высоты и погрешности).

Этот код является расширением подключаемого модуля otptoken и предоставляет поддержку прямого чтения или записи токенов YubiKey.

Чтобы включить binddn, выполните следующую команду для установки пароля:
LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -H ldap://ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com

Чтобы проверить, что ни один сервер не отключается в топологии указанного суффикса, используйте эту команду:
  ipa topologysuffix-verify $suffix

Топология

Управление топологией репликации на уровне домена 1.

Топология

Управление топологией репликации на уровне домена 1.

Данные IPA-сервера хранятся на LDAP-сервере в двух суффиксах:
* суффикс домена (domain), например, "dc=example,dc=com", содержит все связанные с доменом данные
* суффикс центра сертификации (ca), "o=ipaca", имеется только на серверах с установленным CA. Он содержит данные для компонента сервера сертификатов

Данные, которые хранятся на IPA-серверах, реплицируются на другие IPA-серверы. Способ репликации определяется соглашениями о репликации. Соглашения о репликации необходимо устанавливать для каждого из суффиксов отдельно. На уровне домена 0 управление ими выполняется с помощью средств ipa-replica-manage и ipa-csreplica-manage. На уровне домена 1 управление выполняется централизованно с помощью команд "ipa topology*".

Соглашения представляются сегментами топологии. По умолчанию сегмент топологии представляет 2 соглашения о репликации: по одному для каждого направления, например, от A до B и от B до A. Создание однонаправленных сегментов запрещено.

Чтобы проверить, что ни один сервер не отключается в топологии указанного суффикса, используйте эту команду:
  ipa topologysuffix-verify $suffix


Примеры:
  Найти все IPA-серверы:
    ipa server-find

  Найти все суффиксы:
    ipa topologysuffix-find

  Добавить сегмент топологии в суффикс "domain":
    ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B

  Добавить сегмент топологии в суффикс "ca":
    ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B

  Вывести список всех сегментов топологии в суффиксе "domain":
    ipa topologysegment-find domain

  Вывести список всех сегментов топологии в суффиксе "ca":
    ipa topologysegment-find ca

  Удалить сегмент топологии в суффиксе "domain":
    ipa topologysegment-del domain segment_name

  Удалить сегмент топологии в суффиксе "ca":
    ipa topologysegment-del ca segment_name

  Проверить топологию суффикса "domain":
    ipa topologysuffix-verify domain

  Проверить топологию суффикса "ca":
    ipa topologysuffix-verify ca

Топология

Управление топологией репликации.

Требуется уровень домена не ниже 1.

ИСПОЛЬЗОВАНИЕ СТРУКТУРИРОВАННЫХ ПАРАМЕТРОВ ДЛЯ ОТДЕЛЬНЫХ ТИПОВ

Разблокировка учётной записи пользователя.
    
Учётная запись может быть заблокирована, если в течение определённого периода времени слишком большое количество раз был введён неверный пароль (соответствующие ограничения регулируются политикой паролей). Запись блокируется временно, она может быть разблокирована администратором.
Хранилища пользователей — это хранилища, владельцем которых является конкретный пользователь. Личными являются хранилища, владельцем которых является текущий пользователь. Владельцем хранилища службы является определённая служба. Хранилища совместного использования принадлежат администратору, но могут использоваться другими пользователями или службами.

Пользователи

Управление записями пользователей. Все пользователи являются POSIX-пользователями.

IPA поддерживает широкий спектр форматов имён пользователей, но следует учитывать те ограничения, которые могут существовать в конкретной среде. Например, имена пользователей, которые начинаются с цифры или превышают определённую длину, могут  привести к проблемам в некоторых системах UNIX.
Используйте команду "ipa config-mod" для изменения формата имени пользователя, разрешённого средствами IPA.

Отключение учётной записи пользователя сделает невозможным получение таким пользователем новых учётных данных Kerberos. Это не сделает недействительными те учётные данные, которые уже были предоставлены.

Управление паролями не входит в этот модуль. Дополнительные сведения можно получить с помощью команды ipa help passwd

Блокировка учётной записи при ошибке пароля выполняется на одном из главных IPA-серверов. Чтобы определить, на каком главном сервере заблокирован пользователь,  можно использовать команду user-status.
На этом главном сервере администратор должен разблокировать пользователя:

ПРИМЕРЫ:

 Добавить нового пользователя:
   ipa user-add --first=Tim --last=User --password tuser1

 Найти всех пользователей, записи которых содержат строку "Tim":
   ipa user-find Tim

 Найти всех пользователей, в записях "Tim" является именем:
   ipa user-find --first=Tim

 Отключить учётную запись пользователя:
   ipa user-disable tuser1

 Включить учётную запись пользователя:
   ipa user-enable tuser1

 Удалить пользователя:
   ipa user-del tuser1

Хранилище — это безопасное место для хранения секрета. В одном хранилище может храниться только один секрет. При архивировании секрета в хранилище существующий секрет (если имеется) будет перезаписан.

Хранилища

Хранилища

Управление хранилищами.

Хранилище — это безопасное место для хранения секрета.

В зависимости от владения хранилища подразделяются на три категории:
* хранилища пользователей или личные хранилища
* хранилища служб
* хранилища совместного использования

Хранилища пользователей — это хранилища, владельцем которых является конкретный пользователь. Личными являются хранилища, владельцем которых является текущий пользователь. Владельцем хранилища службы является определённая служба. Хранилища совместного использования принадлежат администратору, но могут использоваться другими пользователями или службами.

В зависимости от механизма обеспечения безопасности выделяют три типа хранилищ:
* стандартные хранилища
* симметричные хранилища
* асимметричные хранилища

В стандартном хранилище для передачи и хранения секрета используются безопасные механизмы. Секрет могут получить только те пользователи, у которых есть доступ к хранилищу.

Симметричное хранилище похоже на стандартное хранилище, но в нём секрет перед передачей предварительно шифруется с помощью пароля. Секрет можно получить только с помощью этого пароля.

Асимметричное хранилище похоже на стандартное хранилище, но в нём секрет перед передачей предварительно шифруется с помощью открытого ключа. Секрет можно получить только с помощью закрытого ключа.

ПРИМЕРЫ:

 Вывести список хранилищ:
   ipa vault-find
       [--user <пользователь>|--service <служба>|--shared]

 Добавить стандартное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type standard

 Добавить симметричное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type symmetric --password-file password.txt

 Добавить асимметричное хранилище:
   ipa vault-add <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type asymmetric --public-key-file public.pem

 Показать хранилище:
   ipa vault-show <имя>
       [--user <пользователь>|--service <служба>|--shared]

 Изменить описание хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --desc <описание>

 Изменить тип хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --type <тип>
       [старый пароль / закрытый ключ]
       [новый пароль / открытый ключ]

 Изменить пароль симметричного хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --change-password
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --old-password <старый пароль>
       --new-password <новый пароль>
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --old-password-file <файл старого пароля>
       --new-password-file <файл нового пароля>

 Изменить ключи асимметричного хранилища:
   ipa vault-mod <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --private-key-file <файл старого закрытого ключа>
       --public-key-file <файл нового открытого ключа>

 Удалить хранилище:
   ipa vault-del <имя>
       [--user <пользователь>|--service <служба>|--shared]

 Показать конфигурацию хранилища:
   ipa vaultconfig-show

 Архивировать данные в стандартное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>

 Архивировать данные в симметричное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>
       --password-file password.txt

 Архивировать данные в асимметричное хранилище:
   ipa vault-archive <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --in <файл входных данных>

 Получить данные из стандартного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных>

 Получить данные из симметричного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных>
       --password-file password.txt

 Получить данные из асимметричного хранилища:
   ipa vault-retrieve <имя>
       [--user <пользователь>|--service <служба>|--shared]
       --out <файл выходных данных> --private-key-file private.pem

 Добавить владельцев хранилища:
   ipa vault-add-owner <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>]  [--groups <группы>] [--services <службы>]

 Удалить владельцев хранилища:
   ipa vault-remove-owner <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

 Добавить участников хранилища:
   ipa vault-add-member <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

 Удалить участников хранилища:
   ipa vault-remove-member <имя>
       [--user <пользователь>|--service <служба>|--shared]
       [--users <пользователи>] [--groups <группы>] [--services <службы>]

Проверка топологии репликации для суффикса.

Проверки, которые выполняются:
  1. проверка того, не отключена ли топология (иначе говоря, имеются ли пути репликации между всеми серверами).
  2. проверка того, не превышено ли рекомендованное количество соглашений о репликации между серверами.
 

Проверка топологии репликации для суффикса.

Проверки, которые выполняются:
  1. проверка того, не отключена ли топология (иначе говоря, имеются ли пути репликации между всеми серверами).
  2. проверка того, не превышено ли рекомендованное количество соглашений о репликации между серверами.  
    

При добавлении записи можно воспользоваться параметрами, специально предназначенными для записей ресурсов, или стандартным параметром для необработанного значения (сочетать эти варианты в одном действии по добавлению нельзя). При внесении изменений в существующую запись можно воспользоваться для изменения одной части записи DNS новыми специальными параметрами записей ресурсов, причём для определения изменённого значения будет использован стандартный вариант необработанного значения. В приведенном ниже примере показано изменение приоритета записи MX с 0 на 1 в записи без внесения изменений в обменник:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

Если поиск выполняется по дате _с, используется сравнение >=, а если выполняется поиск  _до — сравнение <=. Сочетание обоих видов поиска приводит к поиску с логической операцией И.

Токены YubiKey

Токены YubiKey

Управление токенами YubiKey.

Этот код является расширением подключаемого модуля otptoken и предоставляет поддержку прямого чтения или записи токенов YubiKey.

ПРИМЕРЫ:

 Добавить новый токен:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

http://www.ietf.org/rfc/rfc5280.txt

    * 0 - не указана
    * 1 - keyCompromise
    * 10 - aACompromise
    * 2 - cACompromise
    * 3 - affiliationChanged
    * 4 - superseded
    * 5 - cessationOfOperation
    * 6 - certificateHold
    * 8 - removeFromCRL
    * 9 - privilegeWithdrawn
  ipa <команда> --help -8 '${cn}' Кроме того, выполнить эту команду могут следующие серверы: %(masters)s"%s" не является корректным типом разрешения"%s" не является типом объектаИмеется сертификатов: ${count}Добавлено записей: ${count}Удалено записей: ${count}Отключено записей: ${count}Включено записей: ${count}Удалено записей: ${count}Удалено параметров: ${count}Активировано пользователей: ${count}Восстановлено пользователей: ${count}Пользователей, сделанных неподтверждёнными: ${count}Параметры ${primary_key} ${entity}Обновлено ${primary_key} ${entity}Успешно добавлено ${entity}${primary_key} применяется к:${primary_key} является участником:${primary_key} управляется:Участники ${primary_key}:${primary_key} переопределяет:${product}, версия: ${version}%(attr)s не содержит "%(value)s"%(attr)s: неправильный синтаксис.%(attr)s: допустимо только одно значение.%(command_name)s: %(oname)s не найденПоиск LDAP в %(container)s не вернул никаких результатов (основа поиска: %(search_base)s, класс объектов: %(objectclass)s)Пропущена %(count)d %(type)s запись. Одновременно можно изменить только одно значение на тип записи DNS.Пропущено %(count)d %(type)s записей. Одновременно можно изменить только одно значение на тип записи DNS.Пропущено %(count)d %(type)s записей. Одновременно можно изменить только одно значение на тип записи DNS.установлено соответствие %(count)d ACIустановлено соответствие %(count)d ACIустановлено соответствие %(count)d ACIустановлено соответствие %(count)d CA ACLустановлено соответствие %(count)d CA ACLустановлено соответствие %(count)d CA ACLустановлено соответствие %(count)d CAустановлено соответствие %(count)d CAустановлено соответствие %(count)d CAустановлено соответствие %(count)d правила сопоставления сертификатов с записями пользователейустановлено соответствие %(count)d правил сопоставления сертификатов с записями пользователейустановлено соответствие %(count)d правил сопоставления сертификатов с записями пользователейустановлено соответствие %(count)d DNS-сервераустановлено соответствие %(count)d DNS-серверовустановлено соответствие %(count)d DNS-серверовустановлено соответствие %(count)d переопределения ID группыустановлено соответствие %(count)d переопределений ID группыустановлено соответствие %(count)d переопределений ID группыустановлено соответствие %(count)d правила HBACустановлено соответствие %(count)d правил HBACустановлено соответствие %(count)d правил HBACустановлено соответствие %(count)d группы служб HBACустановлено соответствие %(count)d групп служб HBACустановлено соответствие %(count)d групп служб HBACустановлено соответствие %(count)d службы HBACустановлено соответствие %(count)d служб HBACустановлено соответствие %(count)d служб HBACустановлено соответствие %(count)d представления IDустановлено соответствие %(count)d представлений IDустановлено соответствие %(count)d представлений IDустановлено соответствие %(count)d переопределения IDустановлено соответствие %(count)d переопределений IDустановлено соответствие %(count)d переопределений IDустановлено соответствие %(count)d расположения IPAустановлено соответствие %(count)d расположений IPAустановлено соответствие %(count)d расположений IPAустановлено соответствие %(count)d IPA-сервераустановлено соответствие %(count)d IPA-серверовустановлено соответствие %(count)d IPA-серверовустановлено соответствие %(count)d токена OTPустановлено соответствие %(count)d токенов OTPустановлено соответствие %(count)d токенов OTPустановлено соответствие %(count)d прокси-сервера RADIUSустановлено соответствие %(count)d прокси-серверов RADIUSустановлено соответствие %(count)d прокси-серверов RADIUSустановлено соответствие %(count)d списка пользователей SELinuxустановлено соответствие %(count)d списков пользователей SELinuxустановлено соответствие %(count)d списков пользователей SELinuxустановлено соответствие %(count)d группы команд Sudoустановлено соответствие %(count)d групп команд Sudoустановлено соответствие %(count)d групп команд Sudoустановлено соответствие %(count)d команды Sudoустановлено соответствие %(count)d команд Sudoустановлено соответствие %(count)d команд Sudoустановлено соответствие %(count)d правила Sudoустановлено соответствие %(count)d правил Sudoустановлено соответствие %(count)d правил Sudoустановлено соответствие %(count)d переопределения ID пользователяустановлено соответствие %(count)d переопределений ID пользователяустановлено соответствие %(count)d переопределений ID пользователяустановлено соответствие %(count)d ключа автомонтированияустановлено соответствие %(count)d ключей автомонтированияустановлено соответствие %(count)d ключей автомонтированияустановлено соответствие %(count)d расположения автомонтированияустановлено соответствие %(count)d расположений автомонтированияустановлено соответствие %(count)d расположений автомонтированияустановлено соответствие %(count)d списка соответствия автомонтированияустановлено соответствие %(count)d списков соответствия автомонтированияустановлено соответствие %(count)d списков соответствия автомонтированияустановлено соответствие %(count)d сертификатаустановлено соответствие %(count)d сертификатовустановлено соответствие %(count)d сертификатовустановлено соответствие %(count)d делегированияустановлено соответствие %(count)d делегированийустановлено соответствие %(count)d делегированийустановлено соответствие %(count)d группыустановлено соответствие %(count)d группустановлено соответствие %(count)d группустановлено соответствие %(count)d узелаустановлено соответствие %(count)d узловустановлено соответствие %(count)d узловустановлено соответствие %(count)d группы узловустановлено соответствие %(count)d групп узловустановлено соответствие %(count)d групп узловустановлено соответствие %(count)d сетевой группыустановлено соответствие %(count)d сетевых группустановлено соответствие %(count)d сетевых группустановлено соответствие %(count)d разрешенияустановлено соответствие %(count)d разрешенийустановлено соответствие %(count)d разрешенийзагружен %(count)d подключаемый модульзагружено %(count)d подключаемых модулязагружено %(count)d подключаемых модулейустановлено соответствие %(count)d привилегииустановлено соответствие %(count)d привилегийустановлено соответствие %(count)d привилегийустановлено соответствие %(count)d профиляустановлено соответствие %(count)d профилейустановлено соответствие %(count)d профилейустановлено соответствие %(count)d диапазонаустановлено соответствие %(count)d диапазоновустановлено соответствие %(count)d диапазоновустановлено соответствие %(count)d ролиустановлено соответствие %(count)d ролейустановлено соответствие %(count)d ролейустановлено соответствие %(count)d правилаустановлено соответствие %(count)d правилустановлено соответствие %(count)d правилустановлено соответствие %(count)d сегментаустановлено соответствие %(count)d сегментовустановлено соответствие %(count)d сегментовустановлено соответствие %(count)d самообслуживанияустановлено соответствие %(count)d самообслуживанийустановлено соответствие %(count)d самообслуживанийустановлено соответствие %(count)d правила делегирования службустановлено соответствие %(count)d правил делегирования службустановлено соответствие %(count)d правил делегирования службустановлено соответствие %(count)d цели делегирования службустановлено соответствие %(count)d целей делегирования службустановлено соответствие %(count)d целей делегирования службустановлено соответствие %(count)d службыустановлено соответствие %(count)d службустановлено соответствие %(count)d службустановлено соответствие %(count)d суффикса топологииустановлено соответствие %(count)d суффиксов топологииустановлено соответствие %(count)d суффиксов топологииустановлено соответствие %(count)d отношения доверияустановлено соответствие %(count)d отношений доверияустановлено соответствие %(count)d отношений доверияустановлено соответствие %(count)d пользователяустановлено соответствие %(count)d пользователейустановлено соответствие %(count)d пользователей%(count)d переменныхустановлено соответствие %(count)d хранилищаустановлено соответствие %(count)d хранилищустановлено соответствие %(count)d хранилищустановлено соответствие %(count)s сервераустановлено соответствие %(count)s серверовустановлено соответствие %(count)s серверовустановлено соответствие %(count)s роли сервераустановлено соответствие %(count)s ролей сервераустановлено соответствие %(count)s ролей сервераустановлено соответствие %(count)s пользователяустановлено соответствие %(count)s пользователейустановлено соответствие %(count)s пользователей%(cver)s версия клиента несовместима с %(sver)s версией сервера "%(server)s"%(desc)s: %(info)s%(exception)s%(filename)s: файл не найденОшибка %(host)sОшибка %(host)s: %(error)s%(info)s%(key)s невозможно удалить, так как он нужен для %(label)s %(dependent)s%(key)s не может быть удалён или отключён, потому что является последним в %(label)s %(container)s%(label)s %(key)s не может быть удалён или изменён: %(reason)s%(line)s%(metaobject)s: %(oname)s не найденСертификат %(name)s недействителенАтрибут %(obj)s по умолчанию, %(attr)s, не будет разрешён!%(oname)s с именем "%(pkey)s" уже существует%(operation)s не поддерживается для учётных записей %(principal_type)s %(otype)s "%(oname)s" не найден(а)%(parent)s: %(oname)s не найден%(pkey)s: %(oname)s не найден%(port)s не является допустимым портом%(reason)s%(subject)s: неверно сформированный сертификат. %(reason)sПревышение времени ожидания завершения задачи LDAP %(task)s, DN задачи: "%(task_dn)s"для категории %(type)s нельзя установить значение "all", когда имеются разрешённые %(objects)s%(user)s не является POSIX-пользователем%(value)sДобавлена %i CA.Удалена %i CA.Добавлено CA: %i.Удалено CA: %i.Добавлен %i узел или группа узлов.Удалён %i узел или группа узлов.Добавлено узлов или групп узлов: %i.Удалено узлов или групп узлов: %i.Добавлен %i профиль.Удалён %i профиль.Добавлено профилей: %i.Удалено профилей: %i.Добавлена %i служба.Удалена %i служба.Добавлено служб: %i.Удалено служб: %i.Добавлен %i пользователь или группа.Удалён %i пользователь или группа.Добавлено пользователей или групп: %i.Удалено пользователей или групп: %i.%sЗапись %s%s неправильный атрибутзапись %s%s для добавления%s для исключения из миграции%s для удаления%s: прокси-сервер RADIUS не найден%s: группа не найдена%s: пользователь уже хранится'${port}' не является допустимым портом"%(attr)s" уже содержит одно или несколько значений"%(command)s" не поддерживается. %(additional_info)s"%(entry)s" не содержит сертификат.следует указать "%(name)s"Параметр "%(option)s" не поддерживается. %(additional_info)s"%(required)s" не должно быть пустым, если указано "%(name)s""%s" является обязательной частью записи DNSпараметр "add"(больше не поддерживается)(подробности доступны в RFC %s). Проверьте идентификатор существующей группы. Используйте параметр --group-overwrite-gid для перезаписи идентификатора группы7 — неверная причина отзыва сертификата<все серверы DNS IPA><h1>Настройка Kerberos для браузера</h1>

<h1>Перенос пароля</h1><p>Если вас направил на эту страницу ваш системный администратор, это означает, что ваши личные данные переносятся в новую систему управления идентификацией и учётными записями пользователей (IPA).</p><p>Пожалуйста, введите ваши учётные данные в форму, чтобы завершить этот процесс. После успешного выполнения входа ваша учётная запись Kerberos будет активирована.</p><h1>Не удалось проверить ваши учётные данные Kerberos</h1>
<p>
            Убедитесь, что у вас имеются действительные билеты (их можно получить через <strong>kinit</strong>) и правильно настроен браузер.
</p>

<h2>Конфигурация браузера</h2>

<div id="first-time">
<p>
                Если вы используете веб-интерфейс впервые, пожалуйста, <a href="ssbrowser.html">настройте ваш браузер</a>.
</p>
</div>
<h2>Chrome</h2>

<p>
            Можно настроить Chrome на использование Kerberos для единого входа. Приведённые далее инструкции помогут настроить веб-браузер для отправки ваших учётных данных Kerberos подходящему центру распространения ключей, что позволит выполнять единый вход.
</p>

<h2>Firefox</h2>

<p>
            Можно настроить Firefox на использование Kerberos для единого входа. Приведённые далее инструкции помогут настроить веб-браузер для отправки ваших учётных данных Kerberos подходящему центру распространения ключей, что позволит выполнять единый вход.
</p>

<h2>Internet Explorer</h2>
<p><strong>ПРЕДУПРЕЖДЕНИЕ:</strong> браузер Internet Explorer больше не поддерживается.</p>
<p>
            После входа в систему на рабочей станции с вашим ключом Kerberos вы сможете использовать этот билет в Internet Explorer.
</p>
<p>
<h3>Импортировать сертификат центра сертификации</h3>
<ol>
<li>
                Загрузите <a href="ca.crt">сертификат центра сертификации</a>. Либо используйте сертификат /etc/ipa/ca.crt., если узел также является клиентом управления учётными данными.
</li>
<li>
                Нажмите кнопку меню с подсказкой <em>Настройка и управление Google Chrome</em> (по умолчанию она расположена в правом верхнем углу Chrome) и выберите пункт <em>Настройки</em>.
</li>
<li>
                Затем нажмите кнопку <em>Показать дополнительные настройки</em>, чтобы просмотреть дополнительные параметры, и нажмите кнопку <em>Настроить сертификаты</em>, которая расположена под заголовком HTTPS/SSL.
</li>
<li>
                На вкладке <em>Доверенные корневые центры сертификации</em> нажмите кнопку <em>Импорт...</em>, которая расположена в нижней части окна.
</li>
<li>Выберите файл сертификата центра сертификации, который был загружен вами ранее.</li>
</ol>

<i class="fa fa-info-circle"></i> Чтобы войти с помощью <strong>Kerberos</strong>, убедитесь, что у вас имеются действительные билеты (получить их можно через kinit) и правильно <a href='${protocol}//${host}/ipa/config/ssbrowser.html'>настроен</a> браузер, затем нажмите кнопку "Войти".<i class="fa fa-info-circle"></i> Чтобы войти с помощью <strong>сертификата</strong>, убедитесь, что у вас имеется действительный личный сертификат. <i class="fa fa-info-circle"></i> Чтобы войти с помощью <strong>имени пользователя и пароля</strong>, введите их в соответствующие поля, затем нажмите кнопку "Войти".<ol> <li>Создать базу данных сертификатов или использовать существующую. Чтобы создать новую базу данных, выполните команду:<br/> <code># certutil -N -d &lt;путь к базе данных&gt;</code> </li> <li>Создайте CSR с субъектом <em>CN=&lt;${cn_name}&gt;,O=&lt;область (realm)&gt;</em>, например:<br/> <code># certutil -R -d &lt;путь к базе данных&gt; -a -g &lt;размер ключа&gt; -s 'CN=${cn},O=${realm}'${san}</code> </li> <li> Скопируйте и вставьте CSR (от <em>-----BEGIN NEW CERTIFICATE REQUEST-----</em> до <em>-----END NEW CERTIFICATE REQUEST-----</em>) в расположенную ниже область для ввода текста: </li> </ol><p>Если метод не выбран, будет использован неявный метод (пароль).</p><p><strong>Пароль + двухфакторная аутентификация: </strong>в LDAP и Kerberos предусмотрена аутентификация по одному из этих типов аутентификации, но Kerberos использует метод предварительной аутентификации,  который требует использования armor ccache.</p><p><strong>RADIUS с другим типом:</strong> в Kerberos всегда используется RADIUS, а в LDAP он не используется никогда. LDAP распознаёт только варианты аутентификации по паролю и двухфакторной аутентификации.</p><p>Параметр для отдельных пользователей переопределяет общее значение, если будет выбран один из вариантов.</p><p><strong>Пароль + двухфакторная аутентификация: </strong>в LDAP и Kerberos предусмотрена аутентификация по одному из этих типов аутентификации, но Kerberos использует метод предварительной аутентификации,  который требует использования armor ccache.</p><p><strong>RADIUS с другим типом:</strong> в Kerberos всегда используется RADIUS, а в LDAP он не используется никогда. LDAP распознаёт только варианты аутентификации по паролю и двухфакторной аутентификации.</p><strong>Войдите на компьютер под управлением Windows с помощью учётной записи вашей области (realm) Kerberos (административный домен)</strong>
</p>
<p>
<strong>В Internet Explorer: выберите в меню "Инструменты" пункт "Параметры Интернета".</strong>
</p>
<div>
<ol>
<li>Откройте вкладку "Безопасность"</li>
<li>Выберите пункт "Местная интрасеть"</li>
<li>Нажмите кнопку "Узлы..." </li>
<li>Нажмите кнопку "Дополнительно" </li>
<li>Добавьте ваш домен в список</li>
</ol>
<ol>
<li>Откройте вкладку "Безопасность"</li>
<li>Выберите пункт "Местная интрасеть"</li>
<li>Нажмите кнопку "Другой..."</li>
<li>Выберите пункт "Автоматический вход в сеть только в зоне интрасети"</li>
</ol>

<ol>
<li> Посетите веб-сайт, который использует Kerberos, с помощью IE (в URL-адресе необходимо  использовать полное имя домена)</li>
<li><strong> Всё готово.</strong></li>
</ol>
</div>

Создать обратную запись AIP-адресРазрешение SYSTEM не может быть изменено или удаленоРазделённый запятыми список полей, по которым следует выполнять поиск при поиске группРазделённый запятыми список полей, по которым следует выполнять поиск при поиске пользователейОписание этого прокси-сервера RADIUSОписание этого правила автоучастияОписание этой командыОписание этого узлаОписание этой группы узловОписание группы этой роли Словарь, соответствующий записи LDAPГруппа не может входить в состав самой себяГруппа не может быть добавлена сама в себяУзел, который может работать как обменник ключейУзел, который может работать как почтовый обменникИмя узла, на который указывает этот псевдоним узлаСписок значений ACIСписок записей LDAPОжидается список пользователей SELinux, с разделителем $Список глобальных перенаправителей. Для каждого перенаправителя можно указать отдельный порт с помощью стандартного формата "IP_АДРЕС port ПОРТ"Список перенаправителей для отдельных зон. Для каждого перенаправителя можно указать отдельный порт с помощью стандартного формата "IP_АДРЕС port ПОРТ"Управляемая группа не может иметь политику паролей.Ошибка при проверке того, что все участники были %(verb)s: %(exc)sЗаписьРазделённый пробелами список атрибутов, которые удалены из обновлений репликацииСтрока, поиск которой выполняется во всех соответствующих атрибутах объектаДанные записи A6Запись A6Компрометация AAСоздать обратную запись AAAAIP-адрес AAAAЗапись AAAAACIИмя ACIОбъект ACI.ACI разрешения %s не найденаПрефикс ACIСледует указать префикс ACIACI с именем "%s" не найденаACIИмя ACLDC AD не удалось получить доступ к контроллерам домена IPA. Скорее всего, проблема связана с DNS или брандмауэромНастройка отношений доверия ADКонтроллер домена ADКонтроллер домена AD сообщает о непоследовательности команд установления связи. Это может означать, например, рассинхронизацию времени между компьютерами, которые обмениваются даннымиИмя узла AFSDBПодтип AFSDBЗапись AFSDBНавигатор API Не отправлен номер версии программного интерфейса (API), совместимость с новейшими версиями не гарантируется. Предполагается следующая версия API сервера: %(server_version)sЗапись APLО программеОтказано в доступеДоступ предоставленДоступ предоставлен: %sПолучить доступ к узлуВремя доступаПолучение доступаУчётная записьПараметры учётной записиСостояние учётной записиУчётная запись отключенаУчётная запись отключена: %(disabled)sДействияАктивироватьАктивировать неподтверждённого пользователя "%(value)s"Активировать неподтверждённого пользователя.Домен Active DirectoryАдминистратор домена Active DirectoryПароль администратора домена Active Directoryдиапазон доменов Active DirectoryДомен Active Directory с атрибутами POSIXДиапазон доверия Active Directory с атрибутами POSIXwinsync Active DirectoryПароль администратора домена Active DirectoryАктивные пользователиАктивная зонаДобавитьДобавить CA ACLДобавить CA в CA ACL.Добавить центры сертификации в CA ACL '${primary_key}'Добавить запись класса обслуживанияДобавить пользовательский атрибутДобавить пользовательский идентификатор аутентификацииДобавить зону перенаправления DNSДобавить запись ресурса DNSДобавить зону DNSДобавить правило HBACДобавить службу HBACДобавить службу HBAC '${primary_key}' в группы служб HBACДобавить группу служб HBACДобавить группы служб HBAC в правило HBAC '${primary_key}'Добавить службы HBAC в правило HBAC '${primary_key}'Добавить службы HBAC в группу служб HBAC '${primary_key}'Добавить диапазон идентификаторовДобавить представление IDДобавить расположение IPAДобавить IPA-сервер в расположение IPA '${primary_key}'Добавить псевдоним учётной записи KerberosДобавить многоДобавить токен OTPДобавить сервер RADIUSДобавить группы запуска от имени в правило Sudo '${primary_key}'Добавить группы пользователей запуска от имени в правило Sudo '${primary_key}'Добавить пользователей запуска от имени в правило Sudo '${primary_key}'Добавить список пользователей SELinuxДобавить руководителя в запись неподтверждённого пользователя.Добавить руководителя в запись пользователя.Добавить новый DNS-сервер.Добавить новое переопределение ID группы.Добавить новую группу служб HBAC.Добавить новую службу HBAC.Добавить новое представление ID.Добавить новое переопределение ID.Добавить новую запись расположения IPA.Добавить новую службу IPA.Добавить новую службу IPA.Добавить новый токен OTP.Добавить новый прокси-сервер RADIUS.Добавить новую службу SMB.Добавить новое переопределение ID пользователя.Добавить новый токен OTP YubiKey.Добавить новое делегирование.Добавить новую групповую политику паролей.Добавить новый узел.Добавить новую группу узлов.Добавить новую сетевую группу.Добавить новое разрешение.Добавить новую привилегию.Добавить новую роль.Добавить новый сегмент.Добавить новое разрешение самообслуживания.Добавить нового неподтверждённого пользователя.Добавить новый суффикс топологии, которым следует управлять.Добавить нового пользователя.Добавить разрешение для делегирования прав доступа для отдельных зон перенаправления.Добавить разрешение для делегирования прав доступа для отдельных зон.Добавить разрешение на доступ к системе без использования ACIДобавить разрешение на доступ к системе без использования ACI (внутренняя команда).Добавить хранилище.Добавить группы разрешённых команд Sudo в правило Sudo '${primary_key}'Добавить разрешённые команды Sudo в правило Sudo '${primary_key}'Добавить пару атрибут/значение. Формат: атрибут=значение. Атрибут
должен быть частью схемы.Добавить правило автоучастия.Добавить параметр в правило Sudo.Добавить и добавить ещёДобавить и закрытьДобавить и изменитьДобавить ключ автомонтированияДобавить расположение автомонтированияДобавить список соответствия автомонтированияДобавить центр сертификацииДобавить правило сопоставления сертификатов с записями пользователейДобавить данные сопоставления сертификатаДобавить профили сертификатов в CA ACL '${primary_key}'Добавить сертификаты в запись узлаДобавить команды и группы команд Sudo, которых касается правило Sudo.Добавить условия в правило автоучастия.Добавить пользовательское значениеДобавить делегированиеДобавить группы запрещённых команд Sudo в правило Sudo '${primary_key}'Добавить запрещённые команды Sudo в правило Sudo '${primary_key}'Добавить доменДобавить исключающее условие в '${primary_key}'Добавить запись перенаправления для сервера имён, расположенного в созданной зонеДобавить переопределение ID группыДобавить группу для выполнения Sudo от её имени.Добавить узелДобавить узел '${primary_key}' в правила HBACДобавить узел '${primary_key}' в группы узловДобавить узел '${primary_key}' в сетевые группыДобавить узел '${primary_key}' в ролиДобавить узел '${primary_key}' в правила SudoДобавить группу узловДобавить группу узлов '${primary_key}' в правила HBACДобавить группу узлов '${primary_key}' в группы узловДобавить группу узлов '${primary_key}' в сетевые группыДобавить группу узлов '${primary_key}' в правила SudoДобавить группы узлов в CA ACL '${primary_key}'Добавить группы узлов в правило HBAC '${primary_key}'Добавить группы узлов в список пользователей SELinux '${primary_key}'Добавить группы узлов в группу узлов '${primary_key}'Добавить группы узлов в сетевую группу '${primary_key}'Добавить группы узлов в роль '${primary_key}'Добавить группы узлов в правило Sudo '${primary_key}'Добавить узлы и группы узлов, которых касается правило Sudo.Добавить узлы в CA ACL '${primary_key}'Добавить узлы в правило HBAC '${primary_key}'Добавить узлы в список пользователей SELinux '${primary_key}'Добавить узлы в группу узлов '${primary_key}'Добавить узлы в сетевую группу '${primary_key}'Добавить узлы в роль '${primary_key}'Добавить узлы в правило Sudo '${primary_key}'Добавить узлы, которые управляют узлом '${primary_key}'Добавить узлы, которые управляют службой '${primary_key}'Добавить узлы, которые могут управлять этим узлом.Добавить узлы, которые могут управлять этой службой.Добавить включающее условие в '${primary_key}'Добавить участника в именованное правило делегирования служб.Добавить участника в именованную цель делегирования служб.Добавить участников в группу команд Sudo.Добавить участников в группу.Добавить участников в группу узлов.Добавить участников в сетевую группу.Добавить участников в разрешение.Добавить участников в привилегию.Добавить участников в роль.Добавить участников в хранилище.Добавить участников в группу служб HBAC.Добавить перенесённые записи пользователей без группы в группу по умолчанию (значение по умолчанию: true)Добавить сетевую группуДобавить сетевую группу '${primary_key}' в сетевые группыДобавить сетевые группы в сетевую группу '${primary_key}'Добавить новую запись ресурса DNS.Добавить новые сертификаты в запись службы.Добавить новый псевдоним учётной записи в запись службы.Добавить новый псевдоним учётной записи в запись узла.Добавить новый псевдоним учётной записи в запись неподтверждённого пользователя.Добавить новый псевдоним учётной записи в запись пользователя.Добавить одно или несколько сопоставлений сертификатов в запись неподтверждённого пользователя.Добавить одно или несколько сопоставлений сертификатов в запись пользователя.Добавить один или несколько сертификатов в запись  idoverrideuser.Добавить один или несколько сертификатов в запись неподтверждённого пользователя.Добавить один или несколько сертификатов в запись пользователя.Добавить владельцев в контейнер хранилищ.Добавить владельцев в хранилище.Добавить политику паролейДобавить разрешениеДобавить разрешения в привилегию.Добавить учётную записьДобавить привилегиюДобавить привилегию '${primary_key}' в разрешенияДобавить привилегии в разрешение '${primary_key}'Добавить привилегии в роль.Добавить профили в CA ACL.Добавить рольДобавить роль '${primary_key}' в привилегииДобавить роли в привилегию '${primary_key}'Добавить правилоДобавить разрешение самообслуживанияДобавить службуДобавить службу '${primary_key}' в ролиДобавить службы в CA ACL '${primary_key}'Добавить службы в участники хранилища '${primary_key}'Добавить службы во владельцы хранилища '${primary_key}'Добавить службы в роль '${primary_key}'Добавить службы в группу пользователей '${primary_key}'Добавить службы в CA ACL.Добавить службы в правило HBAC.Добавить узлы-источники и группы узлов из правила HBAC.Добавить узлы-источники и группы узлов в правило HBAC.Добавить неподтверждённого пользователяДобавить команду SudoДобавить команду Sudo '${primary_key}' в группы команд SudoДобавить группу команд SudoДобавить команды Sudo в группу команд Sudo '${primary_key}'Добавить параметр SudoДобавить правило SudoДобавить целевые узлы или группы узлов в CA ACL.Добавить целевые узлы и группы узлов в правило HBAC.Добавить целевые узлы и группы узлов в правило списка пользователей SELinux.Добавить цель в именованное правило делегирования служб.Добавить цель в именованное делегирование служб.Добавить узел в DNS с этим IP-адресомДобавить в группу по умолчаниюДобавить сегмент топологииДобавить отношение доверияДобавить пользователяДобавить пользователя '${primary_key}' в правила HBACДобавить пользователя '${primary_key}' в сетевые группыДобавить пользователя '${primary_key}' в ролиДобавить пользователя '${primary_key}' в правила SudoДобавить пользователя '${primary_key}' в группы пользователейДобавить переопределение ID пользователяДобавить группу пользователейДобавить группу пользователей '${primary_key}' в правила HBACДобавить группу пользователей '${primary_key}' в сетевые группыДобавить группу пользователей '${primary_key}' в ролиДобавить группу пользователей '${primary_key}' в правила SudoДобавить группу пользователей '${primary_key}' в группы пользователейДобавить группы пользователей в CA ACL '${primary_key}'Добавить группы пользователей в правило HBAC '${primary_key}'Добавить группы пользователей в список пользователей SELinux '${primary_key}'Добавить группы пользователей в участники хранилища '${primary_key}'Добавить группы пользователей в сетевую группу '${primary_key}'Добавить группы пользователей во владельцы хранилища '${primary_key}'Добавить группы пользователей в роль '${primary_key}'Добавить группы пользователей в правило Sudo '${primary_key}'Добавить группы пользователей в группу пользователей '${primary_key}'Добавить пользователей и группы, которых касается правило Sudo.Добавить пользователей и группы для выполнения Sudo от их имени.Добавить пользователей и группы в CA ACL.Добавить пользователей и группы в правило HBAC.Добавить пользователей и группы в правило списка пользователей SELinux.Добавить пользователей в CA ACL '${primary_key}'Добавить пользователей в правило HBAC '${primary_key}'Добавить пользователей в список пользователей SELinux '${primary_key}'Добавить пользователей в участники хранилища '${primary_key}'Добавить пользователей в сетевую группу '${primary_key}'Добавить пользователей во владельцы хранилища '${primary_key}'Добавить пользователей в роль '${primary_key}'Добавить пользователей в правило Sudo '${primary_key}'Добавить пользователей в группу пользователей '${primary_key}'Добавить пользователей, которые управляют токеном OTP '${primary_key}'Добавить пользователей, которые могут управлять этим токеном.Добавить хранилищеДобавлено %(map)sДобавлено %(src)s в %(dst)sДобавлено отношение доверия Active Directory для области (realm) "%(value)s"Добавлена CA ACL "%(value)s"Добавлено правило сопоставления сертификатов с записями пользователей "%(value)s"Добавлено переопределение ID группы "%(value)s"Добавлено правило HBAC "%(value)s"Добавлена служба HBAC "%(value)s"Добавлена группа служб HBAC "%(value)s"Добавлено представление ID "%(value)s"Добавлено переопределение ID "%(value)s"Добавлен диапазон идентификаторов "%(value)s"Добавлена запись расположения IPA "%(value)s"Добавлен токен OTP "%(value)s"Добавлен прокси-сервер RADIUS "%(value)s"Добавлен список пользователей SELinux "%(value)s"Добавлена команда Sudo "%(value)s"Добавлена группа команд Sudo "%(value)s"Добавлено правило Sudo "%(value)s"Добавлено переопределение ID пользователя "%(value)s"Добавлено правило автоучастия "%(value)s"Добавлен непрямой список соответствия автомонтирования "%(value)s"Добавлен ключ автомонтирования "%(value)s"Добавлено расположение автомонтирования "%(value)s"Добавлен список соответствия автомонтирования "%(value)s"Добавлены сопоставления сертификатов в запись пользователя "%(value)s"Добавлены сертификаты в запись узла "%(value)s"Добавлены сертификаты в запись idoverrideuser "%(value)s"Добавлены сертификаты в учётную запись службы "%(value)s"Добавлены сертификаты в запись неподтверждённого пользователя "%(value)s"Добавлены сертификаты в запись пользователя "%(value)s"Добавлено условие (условия) в "%(value)s"Добавлено делегирование "%(value)s"Добавлена группа "%(value)s"Добавлен узел "%(value)s"Добавлена группа узлов "%(value)s"Добавлена сетевая группа "%(value)s"Добавлен новый DNS-сервер "%(value)s"Добавлены новые псевдонимы в запись узла "%(value)s"Добавлены новые псевдонимы в запись неподтверждённого пользователя "%(value)s"Добавлены новые псевдонимы в учётную запись службы "%(value)s"Добавлены новые псевдонимы в запись пользователя "%(value)s"В правило Sudo "%(rule)s" добавлен параметр "%(option)s"Добавлено разрешение "%(value)s"Добавлена привилегия "%(value)s"Добавлена роль "%(value)s"Добавлен сегмент "%(value)s"Добавлено самообслуживание "%(value)s"Добавлена служба "%(value)s"Добавлено правило делегирования служб "%(value)s"Добавлена цель делегирования служб "%(value)s"Добавлен неподтверждённый пользователь "%(value)s"Добавлено системное разрешение "%(value)s"Добавлен суффикс топологии "%(value)s"Добавлен пользователь "%(value)s"Добавлено хранилище "%(value)s"Дополнительные инструкции:Адрес недействителен, перенаправление невозможноУчётная запись администратораАдрес электронной почты администратораСообщено серверамиИзменение принадлежностиСоглашения удаленыАлгоритмВсеВсе атрибуты, к которым применяется разрешениеВсе команды должны выводить результатНи один сервер имён не ответил на запрос обратной зоны DNS %(revdns)sВсе фильтры целей, включая те, которые применяются по type и memberofРазрешитьРазрешить PTR-синхронизациюРазрешить доступ из доверенного домена.Разрешить добавление внешних не IPA-участников из доверенных доменовРазрешить динамические обновленияРазрешить переход к резервному варианту LDAP DC AD при определении адресов доверенных объектов AD. Только для двусторонних отношений доверия.Разрешить группам узлов создавать таблицу ключей '${primary_key}'Разрешить группам узлов получать таблицу ключей '${primary_key}'Разрешить узлам создавать таблицу ключей '${primary_key}'Разрешить узлам получать таблицу ключей '${primary_key}'Разрешить линейную подпись DNSSECРазрешить линейную подпись DNSSEC записей в зонеРазрешить запросРазрешить синхронизацию прямых (A, AAAA) и обратных (PTR) записейРазрешить синхронизацию прямых (A, AAAA) и обратных (PTR) записей в зонеРазрешить переносРазрешить использование ресурсов IPA доменом отношения доверия.Разрешить группам пользователей создавать таблицу ключей '${primary_key}'Разрешить группам пользователей получать таблицу ключей '${primary_key}'Разрешить пользователям создавать таблицу ключей '${primary_key}'Разрешить пользователям получать таблицу ключей '${primary_key}'Разрешить пользователям, группам, узлам или группам узлов создавать таблицу ключей этого узла.Разрешить пользователям, группам, узлам или группам узлов создавать таблицу ключей этой службы.Разрешить пользователям, группам, узлам или группам узлов получать таблицу ключей этого узла.Разрешить пользователям, группам, узлам или группам узлов получать таблицу ключей этой службы.Допустимая цельРазрешено олицетворятьРазрешено создавать таблицу ключейРазрешено получать таблицу ключейРазрешает миграцию несмотря на использование подключаемого модуля совместимостиУже зарегистрированоАльтернативные суффиксы UPNВысота над уровнем моряВсегда спрашиватьНеоднозначные параметры поиска: не указан домен пользователяГлавный IPA-сервер не может быть удалён или отключёнПроизошла ошибка (${error})Ошибка при получении данных зон DNS.Для этого отношения доверия уже существует диапазон идентификаторов. Следует либо удалить старый диапазон, либо исключить из команды параметры --base-id/--range-size.Интервал между регулярными опросами сервера имён о новых зонах DNSНе удалось определить привязку "%(anchor)s".Привязка, которую следует переопределитьЛюбой CAЛюбая командаЛюбая группаЛюбой узелЛюбой профильЛюбая службаЛюбойПрименено к узламПрименяет представление ID к указанным узлам или текущим участникам указанных групп узлов. Если к узлу применяется другое представление ID, оно будет переопределено.Применяет представление ID к указанным узлам или текущим участникам указанных групп узлов. Если к узлу применяется другое представление ID, оно будет переопределено.ПрименитьПрименить ACI к своей собственной записи (self)Применить представление ID '${primary_key}' к узламПрименить представление ID '${primary_key}' к узлам групп узловПрименить к группам узловПрименить к узламОбязательная строка, которая идентифицирует сегментАрхивировать данные в хранилище.Данные архивированы в хранилище "%(value)s"Вы действительно хотите ${action} пользователя?<br/>Изменения вступят в силу немедленно.Вы действительно хотите активировать ${object}?Вы действительно хотите активировать выбранные записи пользователей?Вы действительно хотите добавить разрешение для зоны DNS ${object}?Вы действительно хотите удалить ${object}?Вы действительно хотите удалить выбранные записи?Вы действительно хотите отключить ${object}?Вы действительно хотите отключить выбранные записи?Вы действительно хотите включить ${object}?Вы действительно хотите включить выбранные записи?Вы действительно хотите выполнить это действие?Вы действительно хотите удалить разрешение для зоны DNS ${object}?Вы действительно хотите восстановить ${object}?Вы действительно хотите восстановить выбранные записи пользователей?Вы действительно хотите разместить ${object} на хранение?Вы действительно хотите сделать выбранных пользователей неподтверждёнными?Вы действительно хотите отменить применение представления ID к выбранным записям?Вы действительно хотите разблокировать пользователя ${object}?Вы действительно хотите отменить подготовку этого узла?Вы действительно хотите отменить подготовку этой службы?Аргументы функции для получения сведенийВ качествеЗапросить неслучайный пароль, который следует использовать для учётной записиНазначенное представление IDНазначенный руководитель токена (значение по умолчанию: self)Назначенный пользователь токена (значение по умолчанию: self)АсимметричноеСледует указать хотя бы домен или IP-адресАтрибутКлюч атрибутаРазбивка по атрибутамАтрибут для фильтрации с помощью регулярных выражений. Например, полное имя для узла или руководитель для пользователя.АтрибутыАтрибуты для общего обновленияАтрибуты, которые не реплицируются на сервер-потребитель при частичном обновлении. Например, `(objectclass=*) $ EXCLUDE accountlockout memberofАтрибуты, которые не реплицируются на сервер-потребитель при общем обновлении. Например, (objectclass=*) $ EXCLUDE accountlockout memberofАтрибуты, которые следует игнорировать для записей групп в DSАтрибуты, которые следует игнорировать для записей пользователей в DSАтрибуты, которые следует реплицироватьАтрибуты, которые следует убратьАтрибуты, к которым применяется делегированиеАтрибуты, к которым применяется разрешениеАтрибуты, к которым по умолчанию применяется разрешениеАтрибуты, к которым применяется разрешение.АудитАутентификацияАутентификацияИндикаторы аутентификацииИндикатор аутентификацииИндикаторы аутентификацииНе удалось выполнить аутентификацию с KerberosНе удалось выполнить аутентификацию с личным сертификатомПолномочный сервер имёнИзменение полномочного сервера имёнИмя домена полномочного сервера имёнID центраПравило автоучастияАвтоучастие не настроеноПравило автоучастия: %s не найдено!Созданные автоматическиНе удалось автоматически обновить системные записи DNS. Повторно запустите обновление системных записей вручную, чтобы получить список отсутствующих записей.АвтоучастникПравило автоучастияЗавершена задача по перестройке записей автоучастияВыполняется задача по перестройке записей автоучастияАвтомонтированиеКлюч автомонтированияКлючи автомонтированияРасположение автомонтированияПараметры расположения автомонтированияРасположения автомонтированияСписок соответствия автомонтированияСписки соответствия автомонтированияИмя ключа автомонтированияОбъект ключа автомонтирования.Имя расположения автомонтированияИмя списка соответствия автомонтированияГлавный файл автомонтирования.ДоступноПолитика обновления BINDНазадК началуНеверный формат кэша учётных данных Недопустимый или неподдерживаемый тип соли.
Неверный фильтр поискаНеверный фильтр поиска %(info)sБазовое DNБазовое DN на удалённом LDAP-сервереОсновной IDОснова для субъектов сертификатов (OU=Test,O=Example)Base-64 шифрованный сертификатBase-64 шифрованный сертификат узлаBase-64 шифрованный сертификат сервераBase-64 шифрованный сертификат службыBase-64 шифрованный сертификат пользователяНе удалось выполнить декодирование Base64: %(reason)sДвоичные данные, которые следует архивироватьПривязка DNПривязка пароля уже предоставлена (-w).
При использовании DN привязки (-w или -W) необходима привязка пароля.
Тип правила привязкиКраткое описание этого профиляЦентр сертификации (CA)CA "%s" отключёнCA ACLCA ACLКомпрометация центра сертификации (CA)Категория CAдля категории CA нельзя установить значение "all", когда имеются разрешённые CAКатегория CA, к которой применяется ACLСертификат CACA не настроенCAневозможно добавить CA, когда категория CA="all"Алгоритм CERTТип сертификата CERTСертификат или список отзыва сертификатов (CRL) CERTТег ключа CERTЗапись CERTОбъект учётных данных CIFSВаши регистрационные данные отклонены сервером CIFS %(host)sОшибка обмена данными с сервером CIFS: код "%(num)s", сообщение "%(message)s" (оба значения могут быть "None")Ваши регистрационные данные отклонены сервером CIFSМетапеременная CLIИмя CLIИмя узла CNAMEЗапись CNAMEЗапись CNAME нельзя использовать вместе с любыми другими записями (RFC 1034, раздел 3.6.2)Запрос подписи сертификатаОтменитьНе удалось создать обратную запись для "%(value)s": %(exc)sНе удалось расшифровать файл "%(filename)s": %(exc)sНе удалось установить соединение LSA с %(host)s. Сервер CIFS работает?Невозможно установить отношение доверия с AD, развёрнутой в том же домене, что и IPA. Поддержка такой настройки не предусмотрена.Не удалось найти домен или сервер с указанным именемНе удалось скрыть мастер обновления CA.Не удалось скрыть мастер ключей DNSSec.Не удалось скрыть последний включённый сервер %(name)s.Невозможно выполнить проверку SID без установленной поддержки Samba 4. Убедитесь, что на сервере установлен субпакет IPA server-trust-adНевозможно выполнить проверку внешнего участника без установленной поддержки Samba 4. Убедитесь, что на сервере установлен субпакет IPA server-trust-adБез настройки собственного домена нельзя выполнять операцию присоединения. Убедитесь, что на IPA-сервере запущена команда ipa-adtrust-installНевозможно выполнить выбранную команду без настройки экземпляра Samba 4 на этом компьютере. Убедитесь, что на этом сервере запущена команда ipa-adtrust-install.Невозможно выполнить выбранную команду без установленной поддержки Samba 4. Убедитесь, что субпакет IPA server-trust-ad установлен.Не удалось отправить запрос средству управления каталогом (Directory Manager) с помощью программного интерфейсаНе удалось прочитать файл "%(filename)s": %(exc)sНе удалось определить KDC для запрошенной области (realm)Не удалось получить список сборщиков мусора (GC) доверенного доменаБез настройки собственного домена нельзя выполнять поиск в доверенных доменах. Убедитесь, что на IPA-сервере запущена команда ipa-adtrust-installНевозможно одновременно указать механизм SASL и DN привязки
Невозможно одновременно указать сервер и адрес LDAP
Не удалось сохранить ACI разрешения в %sНевозможно использовать %(old_name)s с %(new_name)sНомер автомобиляСертификатДанные сопоставления сертификата Центры сертификацииЦентр сертификацииДанные сертификатаСертификат для соответствияПриостановка действия сертификатаПриостановка действия сертификата отмененаГлобальная конфигурация сопоставления сертификатов с записями пользователейПравило сопоставления сертификатов с записями пользователейОписание правила сопоставления сертификатов с записями пользователейИмя правила сопоставления сертификатов с записями пользователейПравила сопоставления сертификатов с записями пользователейПараметры конфигурации сопоставления сертификатов с записями пользователейСоответствие сопоставления сертификатаПрофиль сертификатовСертификат профиля, который следует использоватьПрофили сертификатовПрофили сертификатов, которые следует добавитьПрофили сертификатов, которые следует удалитьСертификат отозванОснова субъекта сертификатаТип сертификатаИспользование сертификатаЦепочка сертификатовСертификат для ${primary_key} ${entity}Ошибка формата сертификата: %(error)sСертификат в формате base64 или PEMДанные сопоставления сертификатаНе удалось завершить операцию с сертификатом: %(error)sПрофили сертификатов невозможно переименоватьОтправлен запрос сертификатаСертификат с серийным номером %(serial)s, выданный CA "%(ca)s", не найденСертификат (сертификаты), которые хранятся в файле "%(file)s"Сертификат или список отзыва сертификатов (CRL)СертификатыПрекращение действияИзменить текущий уровень домена.Изменить парольИзменение на POSIX-группуИзменение на внешнюю группуИзменён пароль "%(value)s"Изменено состояние сервера "%(value)s".Классы символовПроверить DNSПроверить связь с удалённым IPA-сервером.Проверить состояние запроса подписи сертификата.Проверка существования записи.Проверяет, включена ли служба CA на каких-либо серверах.Проверяет, включена ли служба DNS на каких-либо серверах.Проверяет, включена ли служба KRA на каких-либо серверах.ГородКлассОбъект класса обслуживания, который используется для связывания политик с группамиОчиститьОчистить все поля на странице.Очищает представление ID для указанных узлов или текущих участников указанных групп узлов.Щёлкните, чтобы ${action}Учётные данные клиента можно делегировать службеКлиент не настроен. Выполните команду ipa-client-install.Версия клиента. Используется для определения того, примет ли сервер запрос.Временной интервалСмещение времениЗакрытьНе удалось закрыть файл таблицы ключей
Свернуть всеСписок типов шифрования, разделённых запятымиРазделённый запятыми список атрибутовРазделённый запятыми список атрибутов, которые следует игнорировать для записей групп в DSРазделённый запятыми список атрибутов, которые следует игнорировать для записей пользователей в DSРазделённый запятыми список классов объектов, которые следует игнорировать для записей групп в DSРазделённый запятыми список классов объектов, которые следует игнорировать для записей пользователей в DSРазделённый запятыми список классов объектов, использованных для поиска записей групп в DSРазделённый запятыми список классов объектов, использованных для поиска записей пользователей в DSРазделённый запятыми список разрешений, которые следует предоставить (read, write). По умолчанию предоставляется разрешение "write" (запись).Разделённый запятыми список разрешений, которые следует предоставить (read, write, add, delete, all)Разделённый запятыми список необработанных записей AРазделённый запятыми список необработанных записей A6Разделённый запятыми список необработанных записей AAAAРазделённый запятыми список необработанных записей AFSDBРазделённый запятыми список необработанных записей APLРазделённый запятыми список необработанных записей CERTРазделённый запятыми список необработанных записей CNAMEРазделённый запятыми список необработанных записей DHCIDРазделённый запятыми список необработанных записей DLVРазделённый запятыми список необработанных записей DNAMEРазделённый запятыми список необработанных записей DNSKEYРазделённый запятыми список необработанных записей DSРазделённый запятыми список необработанных записей HIPРазделённый запятыми список необработанных записей IPSECKEYРазделённый запятыми список необработанных записей KEYРазделённый запятыми список необработанных записей KXРазделённый запятыми список необработанных записей LOCРазделённый запятыми список необработанных записей MXРазделённый запятыми список необработанных записей NAPTRРазделённый запятыми список необработанных записей NSРазделённый запятыми список необработанных записей NSECРазделённый запятыми список необработанных записей NSEC3Разделённый запятыми список необработанных записей NSEC3PARAMРазделённый запятыми список необработанных записей PTRРазделённый запятыми список необработанных записей RPРазделённый запятыми список необработанных записей RRSIGРазделённый запятыми список необработанных записей SIGРазделённый запятыми список необработанных записей SPFРазделённый запятыми список необработанных записей SRVРазделённый запятыми список необработанных записей SSHFPРазделённый запятыми список необработанных записей TAРазделённый запятыми список необработанных записей TKEYРазделённый запятыми список необработанных записей TSIGРазделённый запятыми список необработанных записей TXTКоманда "%(name)s" больше не поддерживаетсяКатегория командКатегория команд, к которой применяется правилоИмя командыКоманда не поддерживаетсяКомандыОбщее имяУсловия, которые не удалось добавитьУсловия, которые не удалось удалитьКонфигурацияСтрока конфигурацииНастройте ваш токенНастройте ваш токен,  отсканировав расположенный ниже QR-код. Щёлкните по QR-коду, если видите правильные данные на устройстве, которое вы хотите настроить.Превышено заданное ограничение административного сервераПревышено заданное ограничение по размеруПревышено заданное ограничение по времени Подтвердить (пароль)ПодтверждениеВозможность подключенияКоличество последовательных ошибок до блокировкиИспользовать право.Параметры контактаУстановить связь с указанным KDC-серверомСодержимое "стандартных" хранилищ могут просматривать пользователи с более высоким уровнем привилегий (администраторы).ПродолжитьПерейти на следующую страницуРежим непрерывной работы: не останавливаться в случае ошибокНепрерывный режим работы. Сообщения об ошибках выводятся, но процесс продолжается.Непрерывный режим работы. Сообщения об ошибках выводятся, но процесс продолжается.Преобразовывать на сервереНе удалось получить %(name)s в интерактивном режимеНе удалось прочитать фильтр происхождения (originfilter) определения личной группы пользователя (UPG Definition). Проверьте ваши разрешения.СчётчикНа основе счётчика (HOTP)Создать неподтверждённого пользователя на основе удалённого пользователяСоздать запись CA.Создать новую запись CA ACL.Создать новое правило сопоставления сертификатов с записями пользователей.Создать новое правило HBAC.Создать новый список пользователей SELinux.Создать новый ключ автомонтирования.Создать новое расположение автомонтирования.Создать новый список соответствия автомонтирования.Создать новую группу.Создать новую непрямую точку монтирования.Создать новое правило делегирования служб.Создать новую цель делегирования служб.Создать новое хранилище.Создать как не-POSIX-группу Создать запись DNSСоздать новую запись ACI.Создать новую зону перенаправления DNS.Создать новую зону DNS (запись SOA).Создать новую группу команд Sudo.Создать новую команду Sudo.Создать новое правило Sudo.Создать обратную записьСоздать обратную запись для этого IP-адресаСоздана ACI "%(value)s"Создана запись CA "%(value)s"Создание записи.Учётные данныеНеправильные права доступа к кэшу учётных данныхОтношения доверия между областями (realm) не настроены. Убедитесь, что на IPA-сервере запущена команда ipa-adtrust-installТекущее содержание записи DNS:
Текущий парольТекущий уровень домена:Следует указать текущий парольПользовательское значениеНастройкаЗапись DHCIDАлгоритм DLVДайджест DLVТип дайджеста DLVТег ключа DLVЗапись DLVВ commonName DN не соответствует имени пользователяВ emailAddress DN не соответствует ни одному адресу электронной почты пользователяDN контейнера для групп в DS относительно базового DNDN контейнера для пользователей в DS относительно базового DNDN запущенной задачиDN, к которому следует установить привязку, если не используется KerberosЦель DNAMEЗапись DNAMEDNSЗона перенаправления DNSЗоны перенаправления DNSГлобальная конфигурация DNSВ подключаемом модуле bind-dyndb-ldap не предусмотрена поддержка типа записи ресурсов DNS "%s"Запись ресурса DNSЗаписи ресурсов DNSDNS-серверИмя DNS-сервераDNS-серверыЗона DNSПараметры зоны DNSЗоны DNSНе удалось выполнить проверку DNS: ожидалось {%(expected)s}, получено {%(got)s}Класс DNSПараметры конфигурации DNSзона перенаправления DNSзоны перенаправления DNSDNS-перенаправительС выходом IPA 4.0 изменилась семантика DNS-перенаправителя.
Рекомендуется перейти на использование зон перенаправления (dnsforwardzone-*).
Подробные сведения содержатся в документации.DNS не настроеноDNS-метка не может быть длиннее 63 символовДлина DNS-метки не может быть больше 63 символовЗапись DNS была удалена, так как не содержала данные.Не удалось удалить DNS-запись (записи) узла %(host)s. (%(reason)s)Записи DNS можно обновлять только по однойзапись ресурса DNSТип записи ресурса DNSзаписи ресурсов DNSОбратная зона DNS %(revzone)s для IP-адреса %(addr)s не управляется этим серверомDNS-серверDNS-сервер %(server)s не поддерживает DNSSEC: %(error)s.
Если на IPA-сервере (серверах) включена проверка DNSSEC, отключите её.DNS-сервер %(server)s не поддерживает EDNS0 (RFC 6891): %(error)s.
Если на IPA-сервере (серверах) включена проверка DNSSEC, отключите её.DNS-сервер %(server)s: %(error)s.DNS-серверызона DNSЗона DNS %(zone)s не найденаЗапись зоны DNS для каждого realmdomain должна содержать записи SOA или NS. Для %s такие записи не найдены.Невозможно переименовать корневую запись зоны DNSзоны DNSЗапись DNSKEYЭкспериментальная поддержка DNSSEC.
%(additional_info)sСбой проверки DNSSEC: %(error)s.
Проверьте конфигурацию DNSSEC или отключите проверку DNSSEC на всех IPA-серверах.Мастер ключей DNSecАлгоритм DSДайджест DSТип дайджеста DSТег ключа DSЗапись DSзапись DS не должна находиться в начале зоны (RFC 4035, раздел 2.4)запись DS должна использоваться вместе с записью NS (RFC 4592, раздел 4.6, RFC 4035, раздел 2.4)ДанныеОтладочный выводПо умолчаниюГруппа по умолчанию (резервная)Группа по умолчанию (резервная) для размещения записейТипы PAC по умолчаниюПользователь SELinux по умолчаниюПользователь SELinux по умолчанию, когда в правиле списка SELinux не найдено соответствиеПредставление отношений доверия по умолчанию невозможно применить к узламПредставление отношений доверия по умолчанию не может содержать пользователей IPAАтрибуты по умолчаниюПочтовый домен по умолчаниюПо умолчанию сГруппа по умолчанию для размещения записейГруппа по умолчанию для новых пользователейГруппа по умолчанию для новых пользователей не является POSIX-группойГруппа по умолчанию для новых пользователей не найденаКлассы объектов для групп по умолчаниюКлассы объектов для групп по умолчанию (через запятую)Группа узлов по умолчаниюРасположение домашних каталогов по умолчаниюОболочка по умолчаниюОболочка по умолчанию для новых пользователейНе удалось прочитать политику билетов по умолчаниюСрок жизни по умолчаниюТипы PAC по умолчанию, которые поддерживаются для службСтандартные типы поддерживаемой аутентификации пользователейСтандартные типы аутентификации пользователейГруппа пользователей по умолчаниюКлассы объектов для пользователей по умолчаниюКлассы объектов для пользователей по умолчанию (через запятую)Группа пользователей по умолчаниюГрадусы широтыГрадусы долготыДелегированиеИмя делегированияДелегированияУдалитьУдалить значения "%(value)s" %(name)s?Удалить запись ACI.Удалить запись класса обслуживанияУдалить зону перенаправления DNS.Удалить пункт записи DNS.Удалить запись ресурса DNS.Удалить зону DNS (запись SOA).Удалить IPA-сервер.Удалить ключ, отменить подготовку к работеУдалить серверУдалить группу команд Sudo.Удалить команду Sudo.Удалить правило Sudo.Удалить CA ACL.Удалить правило сопоставления сертификатов с записями пользователей.Удалить профиль сертификатов.Удалить DNS-серверУдалить прокси-сервер RADIUS.Удалить список пользователей SELinux.Удалить делегирование.Удалить групповую политику паролей.Удалить узел.Удалить группу узлов.Удалить сетевую группу.Удалить разрешение.Удалить привилегию.Удалить роль.Удалить сегмент.Удалить разрешение самообслуживания.Удалить неподтверждённого пользователя.Удалить суффикс топологии.Удалить отношение доверия.Удалить пользователяУдалить пользователя, сохраняя запись доступной для будущего использованияУдалить пользователя.Удалить контейнер хранилищ.Удалить хранилище.Удалить все связанные записиУдалить все?Удалить переопределение ID группы.Удалить правило HBAC.Удалить группу служб HBAC.Удалить представление ID.Удалить переопределение ID.Удалить диапазон идентификаторов.Удалить запись расположения IPA.Удалить службу IPA.Удалить токен OTP.Удалить переопределение ID пользователя.Удалить пару атрибут/значение. Параметр будет использован последним, после всех установок и добавлений.Удалить правило автоучастия.Удалить ключ автомонтирования.Удалить расположение автомонтирования.Удалить список соответствия автомонтирования.Удалить существующую службу HBAC.Удалить доменУдалить группу.Режим удаленияУдалить цель делегирования служб.Удалить делегирование служб.Удалена ACI "%(value)s"Удалена запись CA "%(value)s"Удалена CA ACL "%(value)s"Удалено правило сопоставления сертификатов с записями пользователей "%(value)s"Удалена зона перенаправления DNS "%(value)s"Удалён DNS-сервер "%(value)s"Удалена зона DNS "%(value)s"Удалено переопределение ID группы "%(value)s"Удалено правило HBAC "%(value)s"Удалена служба HBAC "%(value)s"Удалена группа служб HBAC "%(value)s"Удалено представление ID "%(value)s"Удалено переопределение ID "%(value)s"Удалён диапазон идентификаторов "%(value)s"Удалена запись расположения IPA "%(value)s"Удалён IPA-сервер "%(value)s"Удалён токен OTP "%(value)s"Удалён прокси-сервер RADIUS "%(value)s"Удалён список пользователей SELinux "%(value)s"Удалена команда Sudo "%(value)s"Удалена группа команд Sudo "%(value)s"Удалено правило Sudo "%(value)s"Удалено переопределение ID пользователя "%(value)s"Удалено правило автоучастия "%(value)s"Удалён ключ автомонтирования "%(value)s"Удаление расположения автомонтирования. "%(value)s"Удалён список соответствия автомонтирования "%(value)s"Удалено делегирование "%(value)s"Удалена группа "%(value)s"Удалён узел "%(value)s"Удалена группа узлов "%(value)s"Удалена сетевая группа "%(value)s"Удалено разрешение "%(value)s"Удалена привилегия "%(value)s"Удалён профиль "%(value)s"Удалена запись "%(value)s"Удалена роль "%(value)s"Удалён сегмент "%(value)s"Удалено самообслуживание "%(value)s"Удалена служба "%(value)s"Удалено делегирование служб "%(value)s"Удалена цель делегирования служб "%(value)s"Удалён неподтверждённый пользователь "%(value)s"Удалён суффикс топологии "%(value)s"Удалено отношение доверия "%(value)s"Удален пользователь "%(value)s"Удалено хранилище "%(value)s"Удалён контейнер хранилищУдаление управляемой группы запрещено. Сначала её необходимо отключить.Удаление сервера приводит к его необратимому удалению из топологии. Это действие нельзя отменить.Удаление этой записи сервера запрещено, так как это оставило бы вашу установленную систему без CA.Удаление этой записи сервера запрещено, так как это оставило бы вашу установленную систему без KRA.Удаление этой записи сервера оставит вашу установленную систему без DNS.ЗапретитьНомер отделаНеподдерживаемые опцииБольше не поддерживается; используйте %sБольше не поддерживается; используйте extratargetfilterБольше не поддерживается; используйте ipapermlocationБольше не поддерживается; используйте ipapermrightПоказать описание текущего прошедшего аутентификацию профиля.ОписаниеОписание предназначения CAОтсоединить управляемую группу от пользователя.Отсоединена группа "%(value)s" от пользователя "%(value)s"ОпределитьОпределить, настроен ли подключаемый модуль совместимости схем (Schema Compatibility) для обслуживания пользователей и групп доверенных доменов.Определить, запущена ли в этой системе команда ipa-adtrust-install.Определить, запущена ли команда ipa-adtrust-install с задачей sidgen.Словарь переведённых сообщений (I18N)Словарь команд IPA, зашифрованных JSONСловарь методов IPA, зашифрованных JSONСловарь объектов IPA, зашифрованных JSONСловарь, сопоставляющий имена подключаемых модулей с базовымиСловарь, сопоставляющий имя переменной со значениемДайджестТип дайджестаЦифрыПрямойПрямое участиеНаправление широтыНаправление долготыНаправление репликации между левым и правым узлами репликацииОтключитьОтключить зону перенаправления DNS.Отключить зону DNS.Отключить CA ACL.Отключить службу сертификации.Отключить правило сопоставления сертификатов с записями пользователей.Отключить правило Sudo.Отключить учётную запись пользователя.Отключить правило HBAC.Отключить правило списка пользователей SELinux.Отключить переопределение на уровне пользователяОтключить ключ Kerberos и SSL-сертификат службы.Отключить ключ Kerberos, SSL-сертификат и все службы узла.Отключить токенОтключить использование ресурсов IPA доменом отношения доверияОтключёнОтключена служба сертификации "%(value)s"Отключена CA ACL "%(value)s"Отключено правило сопоставления сертификатов с записями пользователей "%(value)s"Отключена зона перенаправления DNS "%(value)s"Отключена зона DNS "%(value)s"Отключено правило HBAC "%(value)s"Отключён список пользователей SELinux "%(value)s"Отключено правило Sudo "%s"Отключённый домен "%(domain)s" нельзя использоватьОтключён узел "%(value)s"Отключена служба "%(value)s"Отключён надёжный домен "%(value)s"Учётная запись пользователя "%(value)s" отключенаЗапретить группам узлов создавать таблицу ключей '${primary_key}'Запретить группам узлов получать таблицу ключей '${primary_key}'Запретить узлам создавать таблицу ключей '${primary_key}'Запретить узлам получать таблицу ключей '${primary_key}'Запретить группам пользователей создавать таблицу ключей '${primary_key}'Запретить группам пользователей получать таблицу ключей '${primary_key}'Запретить пользователям создавать таблицу ключей '${primary_key}'Запретить пользователям получать таблицу ключей '${primary_key}'Запретить пользователям, группам, узлам или группам узлов создавать таблицу ключей этого узла.Запретить пользователям, группам, узлам или группам узлов создавать таблицу ключей этой службы.Запретить пользователям, группам, узлам или группам узлов получать таблицу ключей этого узла.Запретить пользователям, группам, узлам или группам узлов получать таблицу ключей этой службы.Показать запись класса обслуживанияПоказать ресурс DNS.Показать группу команд Sudo.Показать команду Sudo.Показать правило Sudo.Показать сегмент.Показать отдельную запись ACI по указанному имени ACI.Показать ключ автомонтирования.Показать расположение автомонтирования.Показать список соответствия автомонтирования.Показать конфигурацию DNS-сервера.Показать текущие права.Показать действующую политику для определённого пользователяПоказать сведения о правиле сопоставления сертификатов с записями пользователей.Показать сведения о зоне перенаправления DNS.Показать сведения о зоне DNS (записи SOA).Показать сведения о прокси-сервере RADIUS.Показать сведения о классе.Показать сведения о выводе команды.Показать сведения о параметре команды.Показать сведения о команде.Показать сведения о делегировании.Показать сведения о разделе справки.Показать сведения об узле.Показать сведения о группе узлов.Показать сведения об именованной группе.Показать сведения об именованном правиле делегирования служб.Показать сведения об именованной цели делегирования служб.Показать сведения о сетевой группе.Показать сведения о разрешении.Показать сведения о привилегии.Показать сведения о диапазоне.Показать сведения о роли.Показать сведения о разрешении самообслуживания.Показать сведения о неподтверждённом пользователе.Показать сведения об отношении доверия.Показать сведения о пользователе.Показать сведения о контейнере хранилищ.Показать сведения о хранилище.Показать сведения о переопределении ID группы.Показать сведения о группе служб HBAC.Показать сведения о службе HBAC.Показать сведения о представлении ID.Показать сведения о переопределении ID.Показать сведения о расположении IPA.Показать сведения о службе IPA.Показать сведения о токене OTP.Показать сведения о переопределении ID пользователя.Показать сведения о правиле автоучастия.Показать сведения о политике паролей. Показать сведения о группах автоучастия по умолчанию (резервных)Отображаемое имяПоказать права доступа этой записи (требуется --all). Подробные сведения приводятся на странице справочника (man) по IPA.Показать текущую политику билетов Kerberos.Показать список доменов области.Показать свойства CA ACL.Показать свойства CA.Показать свойства профиля сертификатов.Показать свойства правила списка пользователей SELinux.Показать свойства правила HBAC.Показать запись пользователя для текущей учётной записи KerberosНе показывать QR-кодНе обновлять записи, только вернуть ожидаемые записиВы хотите также выполнить проверку DNS?Следует ли проверить, есть ли адрес нового полномочного сервера имён в DNSВы хотите удалить данные сопоставления сертификата ${data}?Вы хотите удалить псевдоним Kerberos ${alias}?Вы хотите отменить приостановку действия сертификата?Вы хотите отозвать этот сертификат? Выберите причину в раскрывающемся списке.Вы хотите обновить записи DNS системы?ДокументацияID Dogtag центра ДоменДомен "%(domain)s" не является корневым для леса "%(forest)s"GUID доменаУровень доменаУровень домена не может быть понижен.Уровень домена не может быть поднят до {0}, следует устранить существующие конфликты репликации.Уровень домена не может быть поднят до {0}, так на сервере {1} не предусмотрена поддержка такого уровня.Имя домена NetBIOSSID доменаSID доверенного доменаИдентификатор безопасности доменаКонтроллер домена для домена Active Directory (необязательно)Домен включёнИмя доменаПорядок разрешения доменовДомен, в котором будет выполняться поиск записи пользователяНе создавать личную группу пользователяНе ждать перестройки участияЗагрузитьЗагрузить сертификат в виде файла в формате PEM.Диск для монтирования домашнего каталогаПробное выполнениеПропущенные ключи-дубликаты:Пропущенные списки соответствия — дубликаты:Динамическое обновлениеИзменитьИзменить ${entity}Действующие атрибутыАдрес электронной почтыСведения о сотрудникеНомер сотрудникаТип сотрудникаИспользование пустого домена запрещеноВключитьВключить зону перенаправления DNS.Включить зону DNS.Включить CA ACL.Включить службу сертификации.Включить правило сопоставления сертификатов с записями пользователей.Включить правило Sudo.Включить учётную запись пользователя.Включить правило HBAC.Включить правило списка пользователей SELinux.Включить режим миграцииВключить или отключить использование "анонимного пользователя" для пре-аутентификации (PKINIT).Включить токенВключеноВключена служба сертификации "%(value)s"Включена CA ACL "%(value)s"Включено правило сопоставления сертификатов с записями пользователей "%(value)s"Включена зона перенаправления DNS "%(value)s"Включена зона DNS "%(value)s"Включено правило HBAC "%(value)s"Включён список пользователей SELinux "%(value)s"Включено правило Sudo "%s"Включены роли сервераВключён надёжный домен "%(value)s"Учётная запись пользователя "%(value)s" включенаТипы шифрования для запрашиванияОшибка сравнения значений типа шифрования!
ЗарегистрированоРегистрацияUUID регистрацииUUID регистрации (не поддерживается)Не удалось выполнить регистрацию. %s
Введите %(label)s ещё раз для проверки: Введите пароль LDAPВведите имя доверенной группы.Введите имя учётной записи доверенной группы или группы IPA. Примечание: в списке результатов поиска не будет записей групп из доверенных доменов.Введите имя учётной записи доверенного пользователя или пользователя IPA. Примечание: в списке результатов поиска не будет записей пользователей из доверенных доменов.Введите имя учётной записи доверенного пользователя.ЗаписьЗапись %s не существуетЗапись %s не найденаRDN записи не имеет значение "uid"В записи нет "%(attribute)s"Пронумеровать все узлы, к которым применяется представлениеОшибкаОшибка при изменении состояния учётной записиОшибка получения области (realm) Kerberos по умолчанию: %s.
Ошибка получения начальных учётных данных: %s.
Ошибка обработки "%1$s": %2$s.
Ошибка обработки файла таблицы ключей: %s.
Ошибка сохранения учётных данных в кэше: %s.
Установить двунаправленное отношение доверия. По умолчанию устанавливается только одностороннее отношение.Установить внешнее отношение доверия с доменом в другом лесу. Отношение доверия не является транзитивным за пределами этого домена.Установить с помощьюУстановлено и провереноПревышено количество попыток перенаправления запроса.ОбменникИсключить изИсключённые атрибутыИсключающийИсключающие регулярные выраженияРазвернуть всеИстекаетЭкспортировать метаданные подключаемого модуля для веб-интерфейса.ВыражениеВнешнийВнешняя группа, от имени которой можно выполнять команды (только sudorule-find)Внешние группы пользователей запуска от имениВнешние группы пользователей, от имени которых можно выполнять командуВнешний пользовательВнешний пользователь, от имени которого можно выполнять команды (только sudorule-find)Внешний пользователь, к которому применяется правило (только sudorule-find)Внешний узелВнешний участникВнешнее отношение доверияДополнительные хеши для создания в подключаемом модуле паролейДополнительный фильтр целейОшибка центров сертификации (CA)Ошибка запуска от имениОшибка запуска от имени группыНе удалось разрешить создавать таблицу ключейНе удалось разрешить получать таблицу ключейОшибка узлов или групп узловНеудачные попытки входаОшибка managedbyОшибка участниковЗаписи владельцев с ошибкамиОшибка профилейОшибка службы или групп службОшибка узлов-источников или групп узлов — источниковОшибка целейОшибка при добавленииНе удалось добавить ключ в таблицу ключей
Не удалось добавить пользователя в группу по умолчанию. Используйте команду "ipa group-add-member", чтобы добавить его вручную.Не удалось задать привязку к серверу!
Не удалось удалить memberPrincipal %(principal)s из записи s4u2proxy %(dn)s: %(err)sНе удалось удалить ключи Custodia для %(master)s: %(err)sНе удалось удалить записи имени узла DNA для %(master)s: %(err)sНе удалось удалить записи DNS %(hostname)s: %(err)sНе удалось удалить учётные записи или ключи сервера: %(err)sНе удалось закрыть файл таблицы ключей
Не удалось установить соединение с sssd с помощью SystemBus. Подробные сведения доступны в файле error_logНе удалось создать элемент управления!
Не удалось создать ключ
Не удалось создать ключ!
Не удалось создать случайный ключ!
Не удалось расшифровать контрольный ответ!

Не удалось найти пользователей с помощью SystemBus. Подробные сведения доступны в файле error_logНе удалось получить файл таблицы ключей
Не удалось получить файл таблицы ключей!
Не удалось получить результат: %s
Не удалось открыть файл таблицы ключей
Не удалось открыть файл конфигурации %s
Не удалось открыть файл таблицы ключей
Не удалось открыть файл таблицы ключей "%1$s": %2$s
Не удалось обработать файл конфигурации %s
Не удалось обработать расширенный результат: %s
Не удалось обработать результат: %s
Ошибка при удаленииНе удалось удалить сервер %(master)s из списка серверов: %(err)sНе удалось разрешить символическую ссылку на файл таблицы ключей.
Не удалось получить ни одного ключаНе удалось получить данные о типе шифрования %1$s (№%2$d)
Не удалось получить данные о типе шифрования №%d
Ошибка пользователей или группСбой при декодировании запроса подписи сертификата: %sИнтервал сброса ошибокРезервная основная группаПерейти к резервному варианту LDAP DC AD Нет (False)Значение "False", если миграцию не удалось выполнить из-за включённого подключаемого модуля совместимости.Значение "False", если режим миграции отключён.Номер факсаПолучить доменыПолучение данных зон DNS.Не удалось получить домены из доверенного леса. Подробные сведения доступны в файле error_logФайл %(file)s не найденФайл, содержащий данные, которые следует архивироватьФайл, который содержит конфигурацию профиляФайл, который содержит новый пароль хранилищаФайл, который содержит новый открытый ключ хранилищаФайл, который содержит старый пароль хранилищаФайл, который содержит старый закрытый ключ хранилищаФайл, который содержит пароль хранилищаФайл, который содержит закрытый ключ хранилищаФайл, который содержит открытый ключ хранилищаФайл, из которого следует загрузить сертификатФайл, из которого следует загрузить сертификат.Файл, в который следует сохранить полученные данныеФайл для сохранения сертификатаПустое имя файлаИмя файла необработанного профиля. Поддержка формата XML не предусмотрена.ФильтрДоступный фильтр ${other_entity}НайтиПоиск роли сервера на сервере (серверах).ОтпечатокОтпечаток (SHA1)Отпечаток (SHA256)Тип отпечаткаОтпечаток схемы, кэшированный клиентомОтпечаткиПервыйПервый кодПервый OTPПервый идентификатор POSIX диапазонаПервый идентификатор POSIX диапазона, зарезервированного для доверенного доменаПервый RID соответствующего диапазона RIDПервый RID вторичного диапазона RIDНачало срока действия токена (день и время)ИмяФлагиСледующие сегменты не были удалены:ПринудительноПринудительно создать зону DNS, даже если она будет пересекаться с существующей зонойПринудительно создать зону DNS, даже если не удаётся определить сервер имёнПринудительно создать зону DNS, даже если не удаётся определить сервер имён. (Больше не поддерживается.)Принудительное обновлениеПринудительно добавить домен, даже если имени нет в DNSПринудительно изменить сервер имён, даже если он отсутствует в DNSПринудительное удаление сервераПринудительное удаление сервера, даже если он не существуетПринудительно присоединить узел. Повторить присоединение, даже если оно уже выполнено.Принудительное удаление %(hostname)sУ леса "%(forest)s" существует отношение доверия с лесом (лесами) %(domains)s, это не позволяет установить отношение доверия с "%(conflict)s"Ошибка форматированияСначала перенаправлятьТолько перенаправлятьПолитика перенаправленияВ DNS IPA определена соответствующая политика перенаправления. Возможно, перенаправитель указывает на некорректный узел?Перенаправить на сервер вместо локального выполненияТолько зоны перенаправленияПеренаправителиПеренаправление отключеноПолитика перенаправления конфликтует с некоторыми автоматически созданными пустыми зонами. Запросы для зон, указанных в RFC 6303, будут игнорировать перенаправление и рекурсию и всегда возвращать ответы "NXDOMAIN". Чтобы переопределить это поведение, используйте политику перенаправления "only".Найдено: "%(value)s"Полное имяПолное имя узлаФункция для получения сведенийGECOSПоле GECOSID группыGID (используйте этот параметр, чтобы установить его вручную)GSSAPI|EXTERNALОсновныеСоздать OTPСоздать случайный пароль для массовой регистрацииСоздать случайный пользовательский парольСоздать  файлы автомонтирования для определённого расположения.Созданный OTPПолучитьПолучить сертификатПустая глобальная конфигурация DNSГлобальная конфигурация отношений доверияГлобальные перенаправителиГлобальные перенаправители. Для каждого перенаправителя можно указать отдельный порт с помощью стандартного формата "IP_АДРЕС port ПОРТ".Глобальная политика перенаправления. Чтобы отключить все настроенные глобальные перенаправители, установите значение "none".Предоставленные праваПредоставлена привилегияПредоставление привилегий ролямГруппаГруппа "%s" не существуетID группыПереопределение ID группыПереопределения ID группыПараметры группыПараметры группыТип группыКатегории группКонтейнер группОписание группыИмя группыКласс объектов группыПриоритет объекта группыПоля поиска группГруппа, к которой следует применить ACIГруппа, которую следует переопределитьТип группировкиГруппировка, к которой применяется правило ГруппыГруппы, которым разрешено создавать таблицу ключейГруппы, которым разрешено получать таблицу ключейГруппы пользователей запуска от имениПравило HBACПравило HBAC, которое определяет пользователей, группы и группы узловПравила HBACCлужба HBACГруппа служб HBACГруппы служб HBACCлужбы HBACПроверка HBACправило HBACПравило HBAC %(rule)s не найденоНевозможно одновременно указать правило HBAC и локальных участниковправила HBACСлужба HBACОписание службы HBACгруппа служб HBACОписание группы служб HBACгруппы служб HBACгруппы служб HBAC, которые следует добавитьгруппы служб HBAC, которые следует удалитьcлужбы HBACcлужбы HBAC, которые следует добавитьслужбы HBAC, которые следует удалитьЗапись HIPОкно HOTP-аутентификацииОкно HOTP-синхронизацииПропустить  HOTP-аутентификацию и перейти далееПропустить  HOTP-синхронизацию и перейти далееОшибка HTTPПароль с усиленной защитой (SPAKE или FAST)MAC-адрес(а) данного узлаАппаратная платформа узла (например, Lenovo T61)Привет всем!Раздел справкиСкрытые серверы CA IPAСкрытые DNS-серверы IPAСкрытые KRA-серверы IPAСкрытые главные IPA-серверыСкрытые IPA-серверы, настроенные в качестве центра сертификацииСкрытыие IPA-серверы, настроенные в качестве сервера доменных именСкрытые IPA-серверы, настроенные в качестве агента восстановления ключейСкрытьСкрыть подробностиСкрыть подробные сведения о том, какие правила соответствуют, не соответствуют или недействительныРазмер журнала Домашний каталогОснова домашних каталоговГоризонтальная точностьУзелУзел "%(host)s" не найденНа узле "%(hostname)s" нет соответствующей записи DNS A/AAAAУзел "%(hostname)s" не является активным центром распространения ключей (KDC)Сертификат узлаГруппа узловПараметры группы узловГруппы узловГруппы узлов, которым разрешено создавать таблицу ключейГруппы узлов, которым разрешено получать таблицу ключейМаски узловИмя узлаПараметры узлаКатегория узловКатегория узлов (семантика этого атрибута предназначена для локального разбора)Категория узлов, к которой применяется ACLКатегория узлов, к которой применяется правилоПравило группы узловПравила группы узловАппаратная платформа узла (например, "Lenovo T61")Узел уже присоединён.
Поддержка узла не предусмотренаАдрес местонахождения узла (например, "Москва, Россия")Расположение узла (например, "Lab 2")Имя узлаОперационная система узла и её версия (например, "Fedora 9")Узел, подготовка которого к работе отмененаУправление доступом на основе узлаКоманды управления доступом на основе узлаГруппа узловГруппы узлов, к узлам которых следует применить представление ID. Обратите внимание, что представление не применяется автоматически к узлам, добавленным в группу узлов после выполнения команды idview-apply.Группы узлов, для узлов которых следует очистить представления ID. Обратите внимание, что представление не очищается автоматически для узлов, добавленных в группу узлов после выполнения команды idview-unapply. Имя узлаИмя узла (FQDN)Имя узла этого сервераУзлыУзлы, которым разрешено создавать таблицу ключейУзлы, которым разрешено получать таблицу ключейУзлы или группы узлов, для которых не удалось очистить представление ID.Узлы или группы узлов, к которым не удалось применить это представление ID.Узлы, для которых было очищено представление ID.Узлы, к которым было применено это представление ID.Узлы, к которым применяется представлениеУзлы, к которым следует применить представление IDУзлы, для которых следует очистить (любое) представление ID.Как долго следует кэшировать отрицательные ответыДиапазон идентификаторовДиапазоны идентификаторовПредставление IDИмя представления IDПредставление ID уже примененоПредставление ID применено к узлу: %i.Представление ID применено к узлам: %i.Представление ID очищено из %i узла.Представление ID очищено из %i узлов.Представления IDПереопределение IDНевозможно переименовать переопределения IDДиапазон идентификаторов для доверенного домена уже существует, но имеет другой тип. Удалите старый диапазон вручную или не устанавливайте тип принудительно с помощью параметра --range-type.Тип диапазона идентификаторов, одно из разрешённых значенийТип диапазона идентификаторов, один из следующих: ipa-ad-trust-posix, ipa-ad-trust, ipa-localУже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.IP-адресIP-адрес %(ip)s уже назначен в домене %(domain)s.IP-адрес в subjectAltName (%s) не имеет записи PTRIP-адрес в subjectAltName (%s) недоступен из DNS-имёнIP-сеть для создания имени обратной зоныАгенты отношений доверия AD IPAКонтролёры отношений доверия AD IPAНевозможно удалить CA IPAСлужбу сертификации IPA нельзя отключитьСертификат CA IPAГлавный сервер обновления CA IPAСерверы CA IPADNS-сервер IPA не установленЗаписи DNS IPADNS-серверы IPAВерсия DNS IPAМастер ключей DNSSec IPAОшибка IPAKRA-серверы IPAРасположение IPAОписание расположения IPAРасположения IPAЕсли указан SID доверенного домена, тип диапазона IPA должен быть ipa-ad-trust или ipa-ad-trust-posixЕсли не указан SID доверенного домена, тип диапазона IPA не должен быть ipa-ad-trust или ipa-ad-trust-posixIPA-серверРоль IPA-сервераРоли IPA-сервераIPA-сервер, который следует использоватьIPA-серверыIPA не управляет зоной %(zone)s. Добавьте записи на DNS-сервер вручную.Имя расположения IPAЗаписи расположений IPAIPA управляет DNS. Проверьте вашу конфигурацию DNS и убедитесь, что настройки позволяют определять адреса служебных записей домена "{domain}". Примеры настройки DNS с помощью команд CLI или веб-интерфейса доступны в документации. Главный IPA-сервер с поддержкой PKINITГлавный IPA-сервер ответил отказом на запросы по утверждению отношений доверия от DC AD следующее количество раз: %(count)d. Скорее всего, DC AD была установлена связь с репликой, на которой ещё не выполнена репликация данных об отношениях доверия. Кроме того, проверьте, может ли DNS AD определять по записям SRV %(records)s корректный IPA-сервер.Главный IPA-сервер, которой может обрабатывать запросы PKINITГлавные IPA-серверыnamingContext IPA не найдено
Объект IPAИмя роли IPAIPA-сервер, настроенный в качестве мастера ключей DNSSecДомен IPA-сервера не может быть удалёнДомен IPA-сервера не может быть пропущенИмя узла IPA-сервераИмя роли IPA-сервераIPA-серверы, настроенные в качестве агентов отношений доверия ADIPA-серверы, настроенные в качестве контролёров отношений доверия ADIPA-серверы, настроенные в качестве центра сертификацииIPA-серверы, настроенные в качестве сервера доменных именIPA-серверы, настроенные в качестве агента восстановления ключейIPA-серверы, настроенные в качестве агентов восстановления ключейОтношение доверия IPAУникальный ID IPAЗапись IPSECKEYИдентификацияПараметры идентификацииЕсли CA не указаны, будут разрешены запросы к CA по умолчанию.При повторном возникновении проблемы обратитесь к системному администратору.Игнорировать проверку того, является ли удаляемый сервер последним сервером CA или DNSИгнорировать подключаемый модуль совместимостиИгнорировать атрибут группыИгнорировать класс объектов группыИгнорировать ошибки топологии подключений после удаленияИгнорировать ошибки топологииИгнорировать атрибут пользователяИгнорировать класс объектов пользователяПропущено %(src)s в %(dst)sПропущенные ключи:Предупреждения игнорируются, процесс удаления продолжаетсяИгнорирование ошибок топологии подключений.Импортировать профиль сертификатов.Импортировать сертификат прав.Импортировать файлы автомонтирования для определённого расположения.Импортированные ключи:Импортированные списки соответствия:Импортирован профиль "%(value)s"Включать отключённыеВключать включённыеВключить записи главных IPA-cерверовПроверить все отключённые правила IPAПроверить все включённые правила IPA [поведение по умолчанию]Включить цепочку сертификатов в выводВключить вВключённые атрибутыВключающийВключающие регулярные выраженияУказаны несовместимые параметры (-r и -P)
НепрямойСлужба HBAC с непрямым участиемГруппа служб HBAC с непрямым участиемГруппы с непрямым участиемГруппы узлов с непрямым участиемУзлы с непрямым участиемСетевые группы с непрямым участиемУчастник правила HBAC с непрямым участиемУчастник правила Sudo с непрямым участиемНепрямой участник группыУчастник группы узлов с непрямым участиемУчастник сетевой группы с непрямым участиемУчастник роли с непрямым участиемУчастник ролей с непрямым участиемРазрешения с непрямым участиемПользователи с непрямым участиемНепрямое участиеУнаследовано из конфигурации сервераНачальный счётчик токена HOTPИнициализировать левый узелИнициализировать правый узелИнициалыВходные данные указаны несколько разВходной файлИмя файла входных данныхФорма ввода данных содержит недопустимые или отсутствующие значения.Недостаточно привилегий "add" для записи "%s".Недостаточно привилегий "write" для атрибута "krbLastPwdChange" записи "%s".Недостаточно привилегий "write" для атрибута "userCertificate" записи "%s".Недостаточно прав для доступа: %(info)sНедостаточно привилегий для создания сертификата с альтернативным именем субъекта "%s".Недостаточно привилегий для удаления записи CA.Недостаточно привилегий для внесения изменений в запись CA.Недостаточно привилегий для внесения изменений в профиль сертификатов.Внутренняя ошибкаСообщения интернационализацииНеверный JSON-RPC запрос: %(error)sНеверный URI LDAP.Некорректное значение MCS, должно соответстовать {mcs}, где максимальная категория {mcs_max}Некорректное значение MLS, должно соответстовать {mls}, где максимальный уровень {mls_max}Некорректный механизм привязки SASL
Некорректное имя пользователя SELinux, должно соответствовать {}Недопустимое имя учётной записи службы
Недействительные учётные данныеНедопустимое имя домена "%(domain)s": %(e)sНеправильный формат. Должно быть имя=значениеНеверное количество частей!Тип недействителен или не поддерживается. Разрешённые значения: %sОткрытый ключ хранилища недействителен или не поддерживается: %sНедопустимый тип хранилищаЗона активна?ВыдатьВыдать новый сертификатВыдать новый сертификат для узла '${primary_key}'Выдать новый сертификат для службы '${primary_key}'Выдать новый сертификат для пользователя '${primary_key}'Выдан (издатель)Выдан (дата)Выдан дляВыдан сВыдан с этой даты (ГГГГ-мм-дд)Выдан доВыдан до этой даты (ГГГГ-мм-дд)ИздательDN издателяРазличающееся имя издателяИздатель и субъектИздатель сертификатаВыдающий CAНастоятельно рекомендуется установить следующие службы на нескольких серверах:Используется только для установки атрибута MNAME SOAДолжностьПрисоединиться к домену IPA.Алгоритм KEYФлаги KEYПротокол KEYОткрытый ключ KEYЗапись KEYСлужба KRA не включенаОбменник KXПриоритет KXЗапись KXКэш учётных данных Kerberos не найден. Имеется ли у вас билет Kerberos?
Ключ KerberosОтсутствует ключ KerberosИмеется ключ Kerberos, узел подготовлен к работеИмеется ключ Kerberos, служба подготовлена к работеСрок действия введённой учётной записи Kerberos истёкИмя учётной записи службы KerberosПолитика билетов KerberosУчётная запись пользователя Kerberos не найдена. Имеется ли у вас корректный кэш учётных данных?
Не удалось инициализировать Kerberos-контекст
Не удалось инициализировать Kerberos-контекст: %1$s (%2$d)
ошибка Kerberos: %(major)s/%(minor)sДоступные ключи KerberosУчётная запись KerberosУчётная запись Kerberos %s уже существует. Используйте команду "ipa user-mod", чтобы установить её параметры вручную.Окончание действия учётной записи KerberosИмя учётной записи Kerberos для этого узлаКлючКомпрометация ключаТег ключаТаблица ключейИмя файла таблицы ключейТаблица ключей успешно получена и сохранена в: %s
 DN LDAPМеханизм привязки LDAP SASL, если отсутствует bindd/bindpwURI LDAPURI LDAP сервера DS, с которого будет осуществляться миграциябазовое расширяемое имя (DN) LDAPПароль LDAPLDAP-пароль (если не используется Kerberos)Схема LDAPОбласть поиска LDAP для пользователей и групп: base, onelevel или subtree. Значение по умолчанию: onelevel.Суффикс LDAP, которым следует управлятьВремя ожидания LDAPАдрес LDAP, с которым следует установить соединение. Несовместимо с  --serverВысота над уровнем моря LOCГрадусы широты LOCГрадусы долготы LOCНаправление широты LOCНаправление долготы LOCГоризонтальная точность LOCМинуты широты LOCМинуты долготы LOCСекунды широты LOCСекунды долготы LOCРазмер LOCВертикальная точность LOCЗапись LOCМеткаМеткиПоследнийОкончание срока действия токена (день и время)Последняя ошибка при аутентификацииФамилияПоследняя успешная аутентификацияИспользование пробелов в начале и в конце запрещеноЛевый узелЛевый узел репликации — IPA-серверДопустимый фильтр LDAP (например, ou=Engineering)Продолжительность действия кода токена TOTPУровеньВывести список всех хранилищ службВывести список всех хранилищ пользователейВывести список главных IPA-серверов, настроенных в качестве DNS-серверовСписок всех главных IPA-серверовСписок всех скрытых главных IPA-серверовСписок  удалений, которые не удалось выполнитьСписок включённых ролейСписок серверов, которые сообщают указанное расположениеСписок надёжных доменов успешно обновлён. Используйте команду trustdomain-find для вывода этого списка.Список перенесённых объектов; упорядочены по типуСписок объектов, которые не удалось перенести; упорядочены по типуЗагрузить сертификат CA LDAP-сервера из ФАЙЛАЗагрузкаЗагрузка данныхЛокальный доменАдрес местонахожденияРасположениеИмя расположенияРасположение ACIДлительность блокировкиВойти с помощью сертификатаВойтиВойти с помощью личного сертификатаВыйтиОшибка при выходеВыполнен вход под именемНе удалось войти по неизвестной причинеОболочка входаЧем меньше число, тем выше приоритет. Клиентские части попытаются связаться с тем доступным для них адресом, у которого ниже число приоритета. Чем меньше число, тем выше приоритет. Клиентские части попытаются связаться с тем доступным для них сервером, у которого ниже число приоритета. MAC-адресMS-PACОбменник MXПриоритет MXЗапись MXПочтовый адресСовершать несколько вызовов ipa с помощью одного удалённого вызова процедур Некорректное DNНедопустимая учётная записьНедопустимая учётная запись: "%(value)s"Управление политикой паролей для определённой группыУправление политикой билетов для определённого пользователяDN управляемого суффикса LDAPУправляетсяУправляемый суффиксУправляемые суффиксыУправляемая топология требует минимального уровня домена ${domainlevel}Разрешение managedbyРуководительУправлениеСписок соответствияТип списка соответствияПравило сопоставленияНабор правил сопоставления "%(ruleset)s" содержит более одного правила для вспомогательной службы %(helper)sОтметить токен как отключённый (значение по умолчанию: false)Главный файлСопоставитьСопоставлять атрибут "cn" в субъектеУстановить соответствие пользователей по сертификату.Установлено соответствиеСоответствующие пользователиСоответствующие правилаТип соответствияПравило соответствияМакс. уровень доменаМаксимальное количество ошибокМаксимальный срок жизниМаксимальный срок действия (в днях)Максимальный срок для обновленияМаксимальное количество времени (в секундах) для поиска (-1 или 0 означает отсутствие ограничения)Максимальное количество времени (в секундах) для поиска (> 0 или -1 означает отсутствие ограничения)Максимальный уровень доменаМаксимальная длина имени узла Максимальное количество соглашений для репликиМаксимальное количество возвращённых сертификатовМаксимальное количество возвращённых записейМаксимальное количество возвращённых записей ("0" означает отсутствие ограничения)Максимальное количество записей результатов поиска (-1 означает отсутствие ограничения)Максимальное количество записей результатов поиска (-1 или 0 означает отсутствие ограничения)Максимальное количество правил, которое следует обработать, если не указан параметр --rulesМаксимальный срок действия пароля (в днях)Максимальный срок для обновления (в секундах)Максимальный серийный номерМаксимальный срок жизни билета (в секундах)Максимальная длина имени пользователяМаксимальное значение равно ${value}Не может быть пустымГруппа-участникСлужба-участник HBACГруппы служб HBAC — участникиУзел-участникГруппа узлов — участникКоманды участника SudoПользователь-участникГруппы-участникиГруппы узлов — участникиУзлы-участникиСетевые группы — участникиУчастникУчастник правила HBACУчастник групп служб HBACУчастник правила SudoУчастник группыУчастник группыУчастник группУчастник групп узловУчастник сетевых группУчётные записи — участникиГруппы служб — участникиСлужбы-участникиГруппа пользователей — участникПользователи-участникиУчастникиУчастники доверенного домена в формате DOM\имя или имя@доменУчастники, которых не удалось добавитьУчастники, которых не удалось удалитьИмя методаМетодПеренестиПеренести данные пользователей и групп из DS в IPAВыполняется переносРежим миграции отключён. Используйте команду "ipa config-mod --enable-migration=TRUE", чтобы включить его.Поддержка миграции поисковой ссылки LDAP не предусмотрена.Мин. уровень доменаМинимальная длинаМинимальный срок действия (в часах)Минимальный уровень доменаМинимальная длина пароляМинимальное количество классов символовМинимальный срок действия пароля (в часах)Минимальный серийный номерМинимальное значение равно ${value}Минуты широтыМинуты долготыПрочие сведенияОтсутствуют учётные данные для обмена данными между лесамиОтсутствует новый открытый ключ хранилищаОтсутствует или неверный HTTP Referer, %(referer)sОтсутствует список элементов управления ответами!
Отсутствует элемент управления ответами!
Отсутствующие значения:Отсутствует закрытый ключ хранилищаОтсутствует открытый ключ хранилищаНомер мобильного телефонаМодельИзмененоИзменена конфигурация отношений доверия "%(value)s"Изменена ACI "%(value)s"Изменена запись CA "%(value)s"Изменена CA ACL "%(value)s"Изменено правило сопоставления сертификатов с записями пользователей "%(value)s"Изменён профиль сертификатов "%(value)s"Изменена запись DNS-сервера "%(value)s"Изменено правило HBAC "%(value)s"Изменена служба HBAC "%(value)s"Изменена группа служб HBAC "%(value)s"Изменён диапазон идентификаторов "%(value)s"Изменена запись расположения IPA "%(value)s"Изменена запись IPA-сервера "%(value)s"Изменён токен OTP "%(value)s"Изменён прокси-сервер RADIUS "%(value)s"Изменён список пользователей SELinux "%(value)s"Изменена команда Sudo "%(value)s"Изменена группа команд Sudo "%(value)s"Изменено правило Sudo "%(value)s"Изменено переопределение ID группы "%(value)s"Изменено представление ID "%(value)s"Изменено переопределение ID "%(value)s"Изменено переопределение ID пользователя "%(value)s"Изменено правило автоучастия "%(value)s"Изменён ключ автомонтирования "%(value)s"Изменён список соответствия автомонтирования "%(value)s"Изменено делегирование "%(value)s"Изменена группа "%(value)s"Изменён узел "%(value)s"Изменена группа узлов "%(value)s"Изменена сетевая группа "%(value)s"Изменено разрешение "%(value)s"Изменена привилегия "%(value)s"Изменена роль "%(value)s"Изменён сегмент "%(value)s"Изменено самообслуживание "%(value)s"Изменена служба "%(value)s"Изменён неподтверждённый пользователь "%(value)s"Изменён суффикс топологии "%(value)s"Изменено отношение доверия "%(value)s" (изменения будут применены через 60 секунд)Изменён пользователь "%(value)s"Изменено хранилище "%(value)s"Изменено: ключ не установленИзменить значения "%(value)s" %(name)s?Изменить запись ACI.Изменить конфигурацию CA.Изменить конфигурацию сопоставления сертификатов с записями пользователей.Изменить конфигурацию профиля сертификатов.Изменить запись класса обслуживанияИзменить зону перенаправления DNS.Изменить конфигурацию DNS-сервераИзменить зону DNS (запись SOA).Изменить диапазон идентификаторов.Изменить диапазон идентификаторов.

Изменить политику билетов Kerberos.Изменить параметры конфигурации OTP.Изменить группу команд Sudo.Изменить команду Sudo.Изменить правило Sudo.Изменить CA ACL.Изменить правило сопоставления сертификатов с записями пользователей.Изменить запись ресурса DNS.Изменить токен OTP.Изменить прокси-сервер RADIUS.Изменить список пользователей SELinux.Изменить делегирование.Изменить групповую политику паролей.Изменить группу.Изменить группу узлов.Изменить сетевую группу.Изменить разрешение.Изменить привилегию.Изменить роль.Изменить сегмент.Изменить разрешение самообслуживания.Изменить неподтверждённого пользователя.Изменить суффикс топологии.Изменить пользователя.Изменить хранилище.Изменить переопределение ID группы.Изменить правило HBAC.Изменить группу служб HBAC.Изменить службу HBAC.Изменить представление ID.Изменить переопределение ID.Изменить переопределение ID пользователя.Изменить правило автоучастия.Изменить ключ автомонтирования.Изменить список соответствия автомонтирования.Изменить существующую службу IPA.Изменить параметры конфигурации.Изменить глобальную конфигурацию DNS.Изменить глобальную конфигурацию отношений доверия.Изменить сведения об узле.Изменить сведения о расположении IPA.Изменить сведения о IPA-сервере.Изменить домены области.Изменить значение доверенного домена (trustdomain) отношения доверия.Найдено несколько записей с ключом %(key)s. Используйте --info, чтобы выбрать определённую запись.Сведения монтированияТочка монтированияПереместить удалённую запись пользователя в область хранения.МногозначныйДолжно быть десятичным числомДолжно быть положительным числомДолжно быть значением даты / времени в формате UTC (например, "2014-01-20 17:58:01Z")Должно быть целым числомМои хранилища пользователейФлаги NAPTRПорядок NAPTRПриоритет NAPTRРегулярное выражение NAPTRЗамена NAPTRСлужба NAPTRЗапись NAPTRИмя домена NISЗначение NONE нельзя сочетать с другими типами PACИмя узла NSЗапись NSЗапись NS нельзя использовать вместе с записью %(type)s, если только они не расположены в корневой записи зоны (RFC 2181, раздел 6.1)Запись (записи) NS можно изменять в начале зоны: "@". Имя следующего домена NSECСписок сопоставления типов NSECЗапись NSECЗапись NSEC3Запись NSEC3PARAMЗапись NSEC3PARAM для зоны в формате: алгоритм_хеширования флаги итерации сольИмяИмя для ссылки на CAИмя команды, которую следует экспортироватьИмя группы узловИмя выдающего CAИмя метода, который следует экспортироватьИмя объекта, который следует экспортироватьИмя родительского списка соответствия автомонтирования (по умолчанию: auto.master)Имя доверенного доменаНа сервере имён "%(host)s" нет соответствующей записи A/AAAAСервер имён для обратной зоны не может быть относительным DNS-именемНе предоставлено ни --del-all, ни параметров удаления определённой записи.
Все поддерживаемые типы записей можно посмотреть с помощью команды help.Вложенные методы для выполненияИмя NetBIOSСетевая группаПараметры сетевой группыОписание сетевой группыИмя сетевой группыСетевые группыСетевые службыНовое имя ACIНовый сертификатНовый парольНовый пароль учётной записиНовая проверкаНовый псевдоним учётной записи KerberosСведения о новом монтированииСледует указать новый парольНовый открытый ключ указан несколько разНовый пароль хранилищаНовый: ключ не установленНовый: ключ установленВперёдИмя следующего доменаЗаписи A, AAAA, SSHFP или PTR не найдены.В субъекте запроса не найдено общее имя (CN).В расположении IPA %(location)s нет DNS-серверов. Без них расположение не будет работать надлежащим образом.Не установлен мастер ключей DNSSEC. Подпись в зоне DNSSEC будет работать только после установки мастера ключей DNSSEC.Отсутствуют действительные сертификатыАрхивированных данных нет.Кэш учётных данных не найденГруппа по умолчанию (резервная) не установленаОтсутствуют записи.Отсутствует файл для чтенияНет свободных слотов YubiKey!Отсутствуют принятые KDC ключи
Соответствующих записей не найденоВозможность удаления определённой записи не предусмотрена.Возможность изменения определённой записи не предусмотрена.Отсутствует разрешение на присоединение этого узла к домену IPA.
Без личной группыНет ответаВ этой записи нет такого атрибутаТакая виртуальная команда отсутствуетОтсутствуют установленные в системе типы шифрования?!
Отсутствуют значения для %sНе ждатьОтсутствуют разрешения на запись в  файл таблицы ключей "%s"
Домен, который не является доменом Active DirectoryНе POSIXНесуществующие или недействительные правилаНетранзитивное внешнее отношение доверия с доменом в другом лесу Active DirectoryНетранзитивное внешнее отношение доверия с областью (realm) Kerberos, которая соответствует RFC4120СпециальныйНедействителен послеНедействителен доНе является управляемой группойНедопустимый IP-адресНедопустимый адрес IPv4Недопустимый адрес IPv6Недопустимый сетевой адрес (примеры: 2001:db8::/64, 192.0.2.0/24)Запрещено для неконцевой записиУказано недостаточно аргументов для выполнения настройки отношения доверияНесоответствующие правилаЕщё не зарегистрированоПримечаниеКоличество идентификаторов в диапазонеКоличество добавленных условийКоличество удалённых условийУведомление о количестве дней, оставшихся до окончания действия пароляКоличество цифр, которое будет содержать каждый код токенаКоличество возвращённых записейКоличество узлов, с которых снято представление ID: Количество узлов, к которым было применено представление ID:Количество добавленных участниковКоличество удалённых участниковКоличество добавленных владельцевКоличество удалённых владельцевКоличество добавленных разрешенийКоличество удалённых разрешенийКоличество загруженных подключаемых модулейКоличество добавленных привилегийКоличество удалённых привилегийКоличество секунд, в течение которого исходящие операции LDAP ожидают ответа от удалённой реплики, прежде чем будет превышено время ожидания и выдано сообщение об ошибкеКоличество возвращённых переменных (<= total)OKOTPКонфигурация OTPТокен OTPПараметры токена OTPТокены OTPПараметры конфигурации OTPУстановлен OTPтокен OTPтокены OTPКласс объектов ipaNTUserAttrs отсутствует, запись пользователя не может иметь атрибуты SMB.Имя класса объектов.Классы объектов, которые следует игнорировать для записей групп в DSКлассы объектов, которые следует игнорировать для записей пользователей в DSКлассы объектов, использованные для поиска записей групп в DSКлассы объектов, использованные для поиска записей пользователей в DSСтарый пароль хранилищаСтарый закрытый ключ хранилищаОдноразовый парольСледует указать одно из значений: group, permission или selfКоманды для одноразового пароляДопускается только одно значениеДля одного имени зоны можно использовать только один тип зоныС помощью веб-интерфейса можно создавать только стандартные хранилища. Используйте интерфейс командной строки для создания других типов хранилищ.При добавлении отношения доверия AD значениями --range-type могут быть только ipa-ad-trust или ipa-ad-trust-posix.Операционная система и версия узла (например, Fedora 9)Операционная системаНе удалось выполнить операцию: %s
Ошибка операцийПараметр добавленГруппа параметровЕсли типом диапазона IPA является ipa-ad-trust-posix, параметр rid-base использовать нельзяНеобязательное поддерево DN, из которого может быть перемещена запись (должна принадлежать к поддереву, но может ещё не существовать)Необязательное поддерево DN, в которое может быть перемещена запись (должна находиться в поддереве, но может ещё не существовать)Дополнительное DN, к которому следует применить разрешение (должно находиться в поддереве, но может ещё не существовать)ПараметрыНевозможно одновременно использовать параметры dom-sid и dom-nameПараметры dom-sid и rid-base необходимо использовать одновременноНевозможно одновременно использовать параметры dom-sid и secondary-rid-baseПараметры dom-sid/dom-name и rid-base необходимо использовать одновременноНевозможно одновременно использовать параметры dom-sid/dom-name и secondary-rid-baseПараметры secondary-rid-base и rid-base необходимо использовать одновременноПорядокВ порядке увеличения приоритета пользователей SELinux, с разделителем $ОтделОрганизацияОрганизационное подразделениеПоддерево DN происхожденияИсходное значение срока жизниДругие типы записейНаш домен не настроенНедостаточно памяти!
Недостаточно памяти
Недостаточно памяти

Недостаточно памяти!Недостаточно памяти!
Недостаточно памяти!?
Выходной файл для хранения сертификата транспортаИмя файла выходных данныхВыводить только ошибкиПереопределить список по умолчанию, который содержит поддерживаемые типы PAC. Используйте значение "NONE", чтобы отключить поддержку PAC для этой службыПереопределить список по умолчанию, который содержит поддерживаемые типы PAC. Используйте значение "NONE", чтобы отключить поддержку PAC для этой службы; например, это может быть необходимо для служб NFS.Переопределить существующий парольПереопределить унаследованные параметрыПерезаписать GIDВладелецВладелец %sГруппы-владельцыСлужбы-владельцыПользователи-владельцыВладельцыВладельцы, которых не удалось добавитьВладельцы, которых не удалось удалитьТип PACPADPKINITСостояние PKINITPOSIXИмя узла PTRЗапись PTRЗапись PTR для SAN IP (%s) не соответствует записям A/AAAAСтраницаНомер пейджераРазмер для разбивки на страницыПараметрыРодительский список соответствияПроанализировать все необработанные записи DNS и вернуть их в структурированном видеОшибка обработкиПарольУведомление об окончании действия пароля (в днях)Политики паролейПолитика паролейПароль можно указать только для симметричного хранилищаНевозможно установить пароль для зарегистрированного узла.Изменение пароля завершеноОкончание действия пароляРазмер журнала паролейНе удалось выполнить перенос пароляПеренос пароля успешно завершёнВозможности подключаемого модуля паролейНе удалось сбросить пароль.Пароль указан несколько разПароль для массовой регистрацииПароли не совпадаютПароли не совпадают!Миграция записей паролей выполнена в формате до хеширования. IPA не удастся создать ключи Kerberos, если не будут предоставлены текстовые пароли. Всем пользователям с перенесёнными записями придётся выполнить вход на https://your.domain/ipa/migration/ до того, как они смогут использовать свои учётные записи Kerberos.Пароли должны совпадатьПуть к сценарию, исполняемому в системе Windows при входеПуть к домашнему каталогу пользователя, в формате UNCПуть к профилю пользователя, в формате UNC \\server\share\Путь к сертификату CA IPAУсловная политика перенаправления для отдельных серверов. Чтобы отключить для этой зоны перенаправление на глобальный перенаправитель, установите значение "none". В этом случае условные перенаправители зон не будут приниматься во внимание.Перенаправители для отдельных серверов. Для каждого перенаправителя можно указать отдельный порт с помощью стандартного формата "IP_АДРЕС port ПОРТ"Условная политика перенаправления для отдельных зон. Чтобы отключить для этой зоны перенаправление на глобальный перенаправитель, установите значение "none". В этом случае условные перенаправители зон не будут приниматься во внимание.Перенаправители для отдельных зон. Для каждого перенаправителя можно указать отдельный порт с помощью стандартного формата "IP_АДРЕС port ПОРТ"Период, по истечении которого счётчик ошибок будет сброшен (в секундах)Период, в течение которого будет действовать блокировка (в секундах)РазрешениеРазрешение, доступ к которому предоставляет ACIВ доступе отказано: %(file)sФлаги разрешенияИмя разрешенияПараметры разрешенийТип разрешенияЗначение разрешенияРазрешение с неизвестным флагом %s не может быть изменено или удаленоРазрешенияРазрешения, которые следует предоставить (read, write). По умолчанию предоставляется разрешение "write" (запись).Разрешения, которые следует предоставить (read, write, add, delete, all)Разрешённые типы шифрованияРазрешено иметь выданные сертификатыПроверить связь с удалённым сервером.ПлатформаВыберите тип записи ресурса DNS, который следует добавитьУкажите серверы-перенаправители.Попробуйте использовать следующие параметры:ПолитикаПортПозиционный аргументПозиционные аргументыДля службы требуется предварительная аутентификацияОбщий парольПредустановленный профиль "%(profile_id)s" невозможно удалитьПриоритетПриоритет, указанный для этого обменника. Чем ниже значение, тем выше приоритет.Предпочитаемый языкПрефикс, который используется для различения типов ACI (permission, delegation, selfservice, none)Хранимый пользовательХранимые пользователиНазадОснова основного RIDОсновной диапазон RID и вторичный диапазон RID не могут пересекатьсяТолько главный ключУчётная записьНе удалось проверить подлинность учётной записи %(principal)s: %(message)sУчётной записи "%(principal)s" не разрешено использовать службу сертификации "%(ca)s" с профилем "%(profile_id)s" для выдачи сертификатов.Учётная запись "%s" в альтернативном имени субъекта не соответствует запрошенной учётной записиПсевдоним учётной записиУчётная запись для этого сертификата (например, HTTP/test.example.com)Учётная запись указана в виде, отличном от от user@REALM: "%(principal)s"Имя учётной записиВыводить минимум данныхВывести отладочные данныеВывести записи в том виде, в котором они хранятся на сервере. Влияет только на формат вывода данных.Вывести данные XML-RPC без обработки в режиме GSSAPIПриоритетПриоритет (порядок)Приоритет политики (чем больше число, тем ниже приоритет)Приоритет правила (чем больше число, тем ниже приоритет)Закрытый ключ указан несколько разПривилегияПараметры привилегийОтзыв привилегииОписание привилегииИмя привилегииПривилегииПрофильИдентификатор профиляИдентификатор профиля "%(cli_value)s" не соответствует данным профиля "%(file_value)s"Идентификатор профиля для ссылки на этот профильКатегория профилейКатегория профилей, к которой применяется ACLКонфигурация профиляКонфигурация профиля, которая хранится в файле "%(file)s"В данных профиля несколько раз указан идентификатор "profileId": %(values)sОписание профиляПрофилиЗапрос пароля LDAPЗапрос имени пользователяЗапрашивать имя пользователя, когда с сертификатом сопоставляются несколько записей пользователейЗапросить пароль у пользователяОжидаетсяПротоколПодготовкаОткрытый ключОткрытый ключОткрытый ключ можно указать только для асимметричного хранилищаОткрытый ключ указан несколько разОткрытый ключ:Ширина QR-кода превышает ширину, заданную параметром "tty" для вывода. Измените размер терминала.КоличествоЗапросить текущий уровень домена.Запрос вернул количество результатов, которое превышает заданное ограничение по размеру. Показано результатов: первые ${counter}.Быстрые ссылкиТихий режим. Отображаются только ошибки.RADIUSПараметры прокси-сервера RADIUSСервер RADIUSСерверы RADIUSКонфигурация прокси RADIUSпрокси-сервер RADIUSИмя прокси-сервера RADIUSПрокси-сервер RADIUS с именем "%s" уже существуетпрокси-серверы RADIUSИмя пользователя прокси RADIUSОТОЗВАНООбласть (realm) Kerberos, которая соответствует RFC4120RFC822Name не соответствует ни одному адресу электронной почты пользователяЗапись RPКоманда RPC, которая используется для завершения сеанса текущего пользователя.Алгоритм RRSIGТег ключа RRSIGМетки RRSIGИсходное значение срока жизни RRSIGПодпись RRSIGОкончание действия подписи RRSIGНачало действия подписи RRSIGИмя подписавшего RRSIGОхваченные типы RRSIGЗапись RRSIGСлучайный парольПараметры диапазонаИмя диапазонаРазмер диапазонаТип диапазонаНеобработанные записи %sНеобработанные записи AНеобработанные записи A6Необработанные записи AAAAНеобработанные записи AFSDBНеобработанные записи APLНеобработанные записи CERTНеобработанные записи CNAMEНеобработанные записи DHCIDRaw DLV recordsНеобработанные записи DNAMEНеобработанные записи DNSKEYНеобработанные записи DSНеобработанные записи HIPНеобработанные записи IPSECKEYНеобработанные записи KEYНеобработанные записи KXНеобработанные записи LOCНеобработанные записи MXНеобработанные записи NAPTRНеобработанные записи NSНеобработанные записи NSECНеобработанные записи NSEC3Необработанные записи PTRНеобработанные записи RPНеобработанные записи RRSIGНеобработанные записи SIGНеобработанные записи SPFНеобработанные записи SRVНеобработанные записи SSHFPНеобработанные записи TAНеобработанные записи TKEYНеобработанные записи TLSAНеобработанные записи TSIGНеобработанные записи TXTНеобработанный фильтр целейНеобработанное значение записи DNS уже задано параметром "%(name)s"Повторно установлено отношение доверия с доменом "%(value)s"Повторно синхронизировать локальный кэш прав с сервером прав.Домены области (realm)Следует указать пароль администратора области (realm)Домены области (realm)Имя области (realm)Несоответствие области (realm) и доменаПричинаПричина отзываПричина отзыва сертификата (0-10)Причина отзыва сертификата (0-10). Введите "ipa help cert", чтобы получить сведения о причине отзыва. Перестроить автоучастиеПерестроить автоучастие.Перестроить участие для всех участников группировкиПерестроить участие для указанных узловПерестроить участие для указанных пользователейПревышено рекомендованное максимальное количество соглашений для репликиТип записиНе удалось создать запись.Данные записиИмя записиЗапись не найдена.Тип записиЗаписиЗаписи зоны DNSПеренаправлениеПеренаправление на запись PTRОбновитьОбновить список доменов, связанных с отношением доверия.Обновить страницу.Зарегистрироваться в системе прав.Пароль для регистрацииРегулярное выражениеОтносительное имя записи "%(record)s" содержит имя зоны "%(zone)s" в качестве суффикса, что превращает её в полное имя домена "%(fqdn)s". Обычно эта ошибка вызвана отсутствием точки в конце определения имени.Относительный вес записей с одинаковым приоритетомОтносительный вес служб сервера (вычисляется для отдельного расположения)Перезагрузить текущие параметры с сервераПерезапустить браузер.Имя узла удалённого IPA-сервераИмя удалённого сервераУдалитьУдалить записи A, AAAA, SSHFP и PTR узла (узлов) под управлением DNS IPAУдалить CA ACLУдалить CA из CA ACL.Удалить центры сертификации из CA ACL '${primary_key}'Удалить зоны перенаправления DNSУдалить записи ресурсов DNSУдалить зоны DNSУдалить правила HBACУдалить службу HBAC '${primary_key}' из групп служб HBACУдалить группы служб HBACУдалить группы служб HBAC из правила HBAC '${primary_key}'Удалить службы HBACУдалить службы HBAC из правила HBAC '${primary_key}'Удалить службы HBAC из группы служб HBAC '${primary_key}'Удалить диапазоны идентификаторовУдалить представления IDУдалить расположения IPAУдалить IPA-серверы из расположения IPA '${primary_key}'Удалить псевдоним KerberosУдалить токены OTPУдалить разрешениеУдалить серверы RADIUSУдалить группы запуска от имени из правила Sudo '${primary_key}'Удалить группы пользователей запуска от имени из правила Sudo '${primary_key}'Удалить пользователей запуска от имени из правила Sudo '${primary_key}'Удалить руководителя из записи неподтверждённого пользователя.Удалить руководителя из записи пользователя.Удалить разрешение для делегирования прав доступа для отдельных зон перенаправления.Удалить разрешение для делегирования прав доступа для отдельных зон.Удалить все учётные записи в этой области (realm)Удалить группы разрешённых команд Sudo из правила Sudo '${primary_key}'Удалить разрешённые команды Sudo из правила Sudo '${primary_key}'Удалить параметр из правила Sudo.Удалить правила автоучастияУдалить ключи автомонтированияУдалить расположения автомонтированияУдалить списки соответствия автомонтированияУдалить центры сертификацииОтменить приостановку действия сертификатаУдалить правила сопоставления сертификатов с записями пользователейУдалить данные сопоставления сертификатаУдалить профили сертификатовУдалить профили сертификатов из CA ACL '${primary_key}'Удалить сертификаты из записи службы.Удалить сертификаты из записи узла.Удалить команды и группы команд Sudo, которых касается правило Sudo.Удалить условия из правила автоучастия.Удалить группу по умолчанию (резервную) для всех несоответствующих записей.Удалить делегированияУдалить группы запрещённых команд Sudo из правила Sudo '${primary_key}'Удалить запрещённые команды Sudo из правила Sudo '${primary_key}'Удалить доменыУдалить записи из DNSУдалить исключающие условия из правила '${primary_key}'Удаление из списка отзыва сертификатов (CRL)Удалить переопределения ID группыУдалить группу для выполнения Sudo от её имени.Отменить приостановку действияУдалить узел '${primary_key}' из правил HBACУдалить узел '${primary_key}' из групп узловУдалить узел '${primary_key}' из сетевых группУдалить узел '${primary_key}' из ролейУдалить узел '${primary_key}' из правил SudoУдалить группу узлов '${primary_key}' из правил HBACУдалить группу узлов '${primary_key}' из групп узловУдалить группу узлов '${primary_key}' из сетевых группУдалить группу узлов '${primary_key}' из правил SudoУдалить группы узловУдалить группы узлов из CA ACL '${primary_key}'Удалить группы узлов из правила HBAC '${primary_key}'Удалить группы узлов из списка пользователей SELinux '${primary_key}'Удалить группы узлов из группы узлов '${primary_key}'Удалить группы узлов из сетевой группы '${primary_key}'Удалить группы узлов из роли '${primary_key}'Удалить группы узлов из правила Sudo '${primary_key}'Удалить узлыУдалить узлы и группы узлов, которых касается правило Sudo.Удалить узлы из CA ACL '${primary_key}'Удалить узлы из правила HBAC '${primary_key}'Удалить узлы из списка пользователей SELinux '${primary_key}'Удалить узлы из группы узлов '${primary_key}'Удалить узлы из сетевой группы '${primary_key}'Удалить узлы из роли '${primary_key}'Удалить узлы из правила Sudo '${primary_key}'Удалить узлы, которые управляют узлом '${primary_key}'Удалить узлы, которые управляют службой '${primary_key}'Удалить узлы, которые могут управлять этим узлом.Удалить узлы, которые могут управлять этой службой.Удалить включающие условия из правила '${primary_key}'Удалить сведения о домене, связанном с отношением доверия.Удалить участника из именованного правила делегирования служб.Удалить участника из именованной цели делегирования служб.Удалить участника из именованного делегирования служб.Удалить участников из группы команд Sudo.Удалить участников из группы.Удалить участников из группы узлов.Удалить участников из сетевой группы.Удалить участников из разрешения.Удалить участников из привилегии.Удалить участников из роли.Удалить участников из хранилища.Удалить участников из группы служб HBAC.Удалить сетевую группу '${primary_key}' из сетевых группУдалить сетевые группыУдалить сетевые группы из сетевой группы '${primary_key}'Удалить одно или несколько сопоставлений сертификатов из записи неподтверждённого пользователя.Удалить одно или несколько сопоставлений сертификатов из записи пользователя.Удалить один или несколько сертификатов из записи idoverrideuser.Удалить один или несколько сертификатов из записи неподтверждённого пользователя.Удалить один или несколько сертификатов из записи пользователя.Удалить неиспользуемые правила автоучастияУдалить владельцев из контейнера хранилищ.Удалить владельцев из хранилища.Удалить политики паролейУдалить разрешенияУдалить разрешения из привилегии.Удалить хранимых пользователейУдалить псевдоним учётной записи из записи узла.Удалить псевдоним учётной записи из службы.Удалить псевдоним учётной записи из записи неподтверждённого пользователя.Удалить псевдоним учётной записи из записи пользователя.Удалить привилегию '${primary_key}' из разрешенийУдалить привилегииУдалить привилегии из роли.Удалить привилегии из разрешения '${primary_key}'Удалить профили из CA ACL.Удалить роль '${primary_key}' из привилегийУдалить ролиУдалить роли из привилегии '${primary_key}'Удалить разрешения самообслуживанияУдалить списки пользователей SELinuxУдалить службу '${primary_key}' из ролейУдалить службы и группы служб из правила HBAC.Удалить службыУдалить службы из CA ACL '${primary_key}'Удалить службы из CA ACL.Удалить службы из участников хранилища '${primary_key}'Удалить службы из владельцев хранилища '${primary_key}'Удалить службы из роли '${primary_key}'Удалить службы из группы пользователей '${primary_key}'Удалить узлы-источники и группы узлов из правила HBAC.Удалить неподтверждённых пользователейУдалить команду Sudo '${primary_key}' из групп команд SudoУдалить группы команд SudoУдалить команды SudoУдалить команды Sudo из группы команд Sudo '${primary_key}'Удалить параметры SudoУдалить правила SudoУдалить цель из именованного правила делегирования служб.Удалить целевые узлы или группы узлов из CA ACL.Удалить целевые узлы и группы узлов из правила HBAC.Удалить целевые узлы и группы узлов из правила списка пользователей SELinux.Удалить сегменты топологииУдалить отношения доверияУдалить пользователя '${primary_key}' из правил HBACУдалить пользователя '${primary_key}' из сетевых группУдалить пользователя '${primary_key}' из ролейУдалить пользователя '${primary_key}' из правил SudoУдалить пользователя '${primary_key}' из групп пользователейУдалить переопределения ID пользователяУдалить группу пользователей '${primary_key}' из правил HBACУдалить группу пользователей '${primary_key}' из сетевых группУдалить группу пользователей '${primary_key}' из ролейУдалить группу пользователей '${primary_key}' из правил SudoУдалить группу пользователей '${primary_key}' из групп пользователейУдалить группы пользователейУдалить группы пользователей из CA ACL '${primary_key}'Удалить группы пользователей из правила HBAC '${primary_key}'Удалить группы пользователей из списка пользователей SELinux '${primary_key}'Удалить группы пользователей из участников хранилища '${primary_key}'Удалить группы пользователей из сетевой группы '${primary_key}'Удалить группы пользователей из владельцев хранилища '${primary_key}'Удалить группы пользователей из роли '${primary_key}'Удалить группы пользователей из правила Sudo '${primary_key}'Удалить группы пользователей из группы пользователей '${primary_key}'Удалить пользователейУдалить пользователей и группы, которых касается правило Sudo.Удалить пользователей и группы для выполнения Sudo от их имени.Удалить пользователей и группы из CA ACL.Удалить пользователей и группы из правила HBAC.Удалить пользователей и группы из правила списка пользователей SELinux.Удалить пользователей из CA ACL '${primary_key}'Удалить пользователей из правила HBAC '${primary_key}'Удалить пользователей из списка пользователей SELinux '${primary_key}'Удалить пользователей из участников хранилища '${primary_key}'Удалить пользователей из сетевой группы '${primary_key}'Удалить пользователей из владельцев хранилища '${primary_key}'Удалить пользователей из роли '${primary_key}'Удалить пользователей из правила Sudo '${primary_key}'Удалить пользователей из группы пользователей '${primary_key}'Удалить пользователей, которые управляют токеном OTP '${primary_key}'Удалить пользователей, которые могут управлять этим токеном.Удалить хранилищаУдалены псевдонимы из записи узла "%(value)s"Удалены псевдонимы из записи неподтверждённого пользователя "%(value)s"Удалены псевдонимы из записи пользователя "%(value)s"Удалены псевдонимы учётной записи службы "%(value)s"Удалены сопоставления сертификатов из записи пользователя "%(value)s"Удалены сертификаты из записи узла "%(value)s"Удалены сертификаты из записи idoverrideuser "%(value)s"Удалены сертификаты из учётной записи службы "%(value)s"Удалены сертификаты из записи неподтверждённого пользователя "%(value)s"Удалены сертификаты из записи пользователя "%(value)s"Удалено условие (условия) из "%(value)s"Удалена группа по умолчанию (резервная) для автоучастия "%(value)s"Удалены сведения о доверенном домене "%(value)s"Из правила Sudo "%(rule)s" удалён параметр "%(option)s"Удалено системное разрешение "%(value)s"Выполняется удаление %(servers)s из топологии репликации; пожалуйста, подождите...Удаление учётной записи %s
ПереименоватьПереименовать запись ACI.Переименовать объект %(ldap_obj_name)sПереименовать объект записи ресурса DNSПереименовать объект переопределения ID группыПереименовать объект представления IDПереименовать объект токена OTP.Переименовать объект прокси-сервера RADIUSПереименовать объект переопределения ID пользователяПереименовать объект ключа автомонтированияПереименовать объект группыПереименовать объект разрешенияПереименовать объект привилегииПереименовать объект роли.Переименовать объект неподтверждённого пользователяПереименовать объект пользователяACI переименована в "%(value)s"Главный сервер обновления центра сертификации IPAЗаменаРеплика является активным мастером ключей DNSSEC. Удаление может привести к неработоспособности вашей системы DNS. Сначала следует отключить или заменить мастер ключей DNSSEC.Соглашение о репликации включеноСоглашение о репликации для %(hostname)s не найденоКонфигурация репликацииОбновление репликации для сегмента: направлен запрос "%(pkey)s".Топология репликации суффикса "%(suffix)s" содержит ошибки.Топология репликации суффикса "%(suffix)s" соответствует требованиям.Сообщить состояние PKINIT на главных IPA-серверахОтправить запрос на полную повторную инициализацию узла, чтобы получить данные с другого узла.Ошибка выполнения запроса, состояние %(status)s: %(reason)sID запросаВ запросе не указан метод ("method")В запросе не указаны параметры ("params")Запрос должен принадлежать к типу словаря (dict)Состояние запросаОбязательноОбязательное полеТребуется предварительная аутентификацияСброситьВосстановить значения политики билетов Kerberos по умолчанию.Сбросить OTPСбросить парольСбросить пароль и войтиСбросить свой пароль.Определить адрес по имени узла в DNS.Определить адрес по имени узла в DNS. (Больше не поддерживается.)Определить идентификаторы безопасности пользователей и групп в доверенных доменахВосстановитьРезультатРезультат имитацииРезультат командыРезультаты усечены. Попробуйте задать более точные условия поискаРезультаты должны содержать только атрибут главного ключа ("%s")Результаты должны содержать только атрибут главного ключа ("anchor")Результаты должны содержать только атрибут главного ключа ("certificate")Результаты должны содержать только атрибут главного ключа ("cn")Результаты должны содержать только атрибут главного ключа ("command")Результаты должны содержать только атрибут главного ключа ("delegation-name")Результаты должны содержать только атрибут главного ключа ("domain")Результаты должны содержать только атрибут главного ключа ("group")Результаты должны содержать только атрибут главного ключа ("group-name")Результаты должны содержать только атрибут главного ключа ("hostgroup-name")Результаты должны содержать только атрибут главного ключа ("hostname")Результаты должны содержать только атрибут главного ключа ("id")Результаты должны содержать только атрибут главного ключа ("location")Результаты должны содержать только атрибут главного ключа ("login")Результаты должны содержать только атрибут главного ключа ("map")Результаты должны содержать только атрибут главного ключа ("name")Результаты должны содержать только атрибут главного ключа ("principal")Результаты должны содержать только атрибут главного ключа ("realm")Результаты должны содержать только атрибут главного ключа ("service")Результаты должны содержать только атрибут главного ключа ("sudocmdgroup-name")Результаты должны содержать только атрибут главного ключа ("sudorule-name")Повторные попыткиПолучить данные из хранилища.Получить существующий сертификат.Получить и вывести все атрибуты, возвращаемые сервером. Влияет на содержимое результата исполнения команды.Получать текущие ключи без внесения в них измененийИзвлечь данные из хранилища.Получить сертификаты прав.Данные получены из хранища "%(value)s"Не удалось получить цепочку сертификатов CA: %sНе удалось получить данные о состоянии CA: %dНе удалось получить данные о состоянии CA: %sПовторить попыткуПовтор попытки с использованием метода получения таблицы ключей, который применялся до версии 4.0
Вернуть значения команд по умолчаниюВернуться на главную страницу и снова попытаться выполнить операциюОбратная запись для IP-адреса %(ip)s уже существует в обратной зоне %(zone)s.Обратной зоне %(name)s требуется ровно %(count)d компонтов IP-адресов, предоставлено %(user_count)dIP-сеть обратной зоныВернутьПричина отзываОтозватьОтозвать сертификат.Отозвать сертификатОтозванОтозван сОтозван с этой даты (ГГГГ-мм-дд)Отозван доОтозван до этой даты (ГГГГ-мм-дд)Правый узелПравый узел репликации — IPA-серверПраваПрава, которые следует предоставить (read, search, compare, write, add, delete, all)РольПараметры ролиИмя ролиСостояние ролиУправление доступом на основе ролейРолиКорневой домен отношения доверия всегда включён для существующего доверияИмя правилаСостояние правилаТип правилаТип правила (allow)Правило, которое используется для определения того, пригоден ли сертификат для аутентификацииПравило, которое используется для сопоставления сертификата с записью пользователяПравилаПравила, которые следует проверить. Если они не указаны, считается, что использован параметр --enabledВыполнить командыВыполнить проверкуЗапустить от имени пользователяЗапустить от имени любого пользователя из указанной группыЗапускать с идентификатором указанной POSIX-группыВнешняя группа для RunAsВнешний пользователь для RunAsКатегория запуска от имени группыКатегория запуска от имени группы, к которой применяется правилоГруппы запуска от имениКатегория запуска от имени пользователейКатегория запуска от имени пользователей, к которой применяется правилоПользователи запуска от имениИмя группы "%(name)s" не принимается RunAsGroupИмя группы "%(name)s" не принимается RunAsUserНельзя указывать "%(name)s" в качестве имени пользователя в записи RunAsUserПараметры SELinuxПользователь SELinuxСписок пользователей SELinuxПравило списка пользователей SELinuxПравила списка пользователей SELinuxСписки пользователей SELinuxПользователь SELinux %(user)s не найден в списке порядка применения (в конфигурации)Запись пользователя SELinux "%(user)s" не является корректной: %(error)sПользователя списка соответствия пользователей SELinux по умолчанию нет в порядковом спискеСписок пользователей SELinux не найден в конфигурацииПорядок применения списка пользователей SELinuxОтпечаток SHA1Отпечаток SHA256Идентификатор безопасности (SID)Входящий "чёрный список" SIDИсходящий "чёрный список" SIDSID не соответствует ни одному доверенному доменуSID не совпадает точно ни с одним из SID доверенных доменовНе удалось найти SID указанного доверенного домена. Укажите SID в явном виде с помощью параметра dom-sid.Не удалось распознать SID в качестве допустимого идентификатора безопасности для доверенного доменаSID недействителенАлгоритм SIGТег ключа SIGМетки SIGИсходное значение срока жизни SIGПодпись SIGОкончание действия подписи SIGНачало действия подписи SIGИмя подписавшего SIGОхваченные типы SIGЗапись SIGДомашний каталог SMBДиск домашнего каталога SMBПуть к сценарию входа SMBПуть к профилю SMBИмя NetBIOS службы SMBКласс SOAОкончание действия SOAМинимальный срок жизни SOAПереопределение mname SOA (полномочный сервер)Переопределение mname SOAКласс записи SOAСрок окончания действия записи SOAВремя обновления записи SOAИнтервал между повторными запросами записи SOAСерийный номер записи SOAСрок жизни записи SOAОбновление SOAПовторный запрос SOAНомер SOAСрок жизни SOAЗапись SPFПорт SRVПриоритет SRVЦель SRVВес SRVЗапись SRVОткрытый ключ SSHОтпечаток открытого ключа SSHОткрытый ключ SSH:Открытые ключи SSHАлгоритм SSHFPОтпечаток SSHFPТип отпечатка SSHFPЗапись SSHFPSSSD не удалось определить для объекта корректный SIDСольТо же, что и --%sСохранитьСхема не нуждается в обновлении (отпечаток "%(fingerprint)s", TTL %(ttl)s с)ПоискПараметры поискаПоиск параметров команды.Поиск доменов отношения доверия.Поиск %(searched_object)s с этими %(relationship)s %(ldap_object)s.Поиск %(searched_object)s без этих %(relationship)s %(ldap_object)s.Не удалось выполнить поиск %1$s на rootdse. Ошибка: %2$d
Поиск CA ACL.Поиск CA.Поиск правил сопоставления сертификатов с записями пользователей.Поиск профилей сертификатов.Поиск записи класса обслуживанияПоиск зон перенаправления DNS.Поиск ресурсов DNS.Поиск DNS-серверов.Поиск зон DNS (записей SOA).Поиск правил HBAC.Поиск служб HBAC.Поиск расположений IPA.Не удалось выполнить поиск namingContext IPA. Ошибка: %d
Поиск IPA-серверов.Поиск служб IPA.Поиск токена OTP.Поиск прокси-серверов RADIUS.Поиск списков пользователей SELinux.Поиск групп команд Sudo.Поиск команд Sudo.Поиск правила Sudo.Поиск сетевой группы.Поиск разрешения самообслуживания.Поиск переопределения ID группы.Поиск группы служб HBAC.Поиск представления ID.Поиск переопределения ID.Поиск переопределения ID пользователя.Поиск ключа автомонтирования.Поиск расположения автомонтирования.Поиск списка соответствия автомонтирования.Поиск правил автоучастия.Поиск сертификатов, включая те, владельцами которых являются %sПоиск сертификатов, не включая те, владельцами которых являются %sПоиск классов.Поиск выводов команд.Поиск команд.Поиск делегирований.Поиск учётных записей прав.Поиск существующих сертификатов.Поиск только зон перенаправленияПоиск групповых политик паролей.Поиск групп с этими группами-участниками.Поиск групп, которые являются участниками этого правила HBAC.Поиск групп, участником которых является эта группа.Поиск групп, которые являются участниками этой сетевой группы.Поиск групп, которые являются участниками этой роли.Поиск групп, которые являются участниками этого правила Sudo.Поиск групп с этими пользователями-участниками.Поиск групп без этих групп-участников.Поиск групп, которые не являются участниками этого правила HBAC.Поиск групп, участником которых не является эта группа.Поиск групп, которые не являются участниками этой сетевой группы.Поиск групп, которые не являются участниками этой роли.Поиск групп, которые не являются участниками этого правила Sudo.Поиск групп без этих пользователей-участников.Поиск групп.Поиск разделов справки.Поиск групп узлов с этими группами узлов — участниками.Поиск групп узлов с этими узлами-участниками.Поиск групп узлов, которые являются участниками этого правила HBAC.Поиск групп узлов, которые являются участниками этой группы узлов.Поиск групп узлов, которые являются участниками этой сетевой группы.Поиск групп узлов, которые являются участниками этого правила Sudo.Поиск групп узлов без этих групп узлов — участников.Поиск групп узлов без этих узлов-участников.Поиск групп узлов, которые не являются участниками этого правила HBAC.Поиск групп узлов, которые не являются участниками этой группы узлов.Поиск групп узлов, которые не являются участниками этой сетевой группы.Поиск групп узлов, которые не являются участниками этого правила Sudo.Поиск групп узлов.Поиск узлов, которые зарегистрированы пользователями.Поиск узлов, которые управляются узлами.Поиск узлов, включая узлы, управляющие узлами.Поиск узлов, которые являются участниками этого правила HBAC.Поиск узлов, которые являются участниками этой группы узлов.Поиск узлов, которые являются участниками этой сетевой группы.Поиск узлов, которые являются участниками этой роли.Поиск узлов, которые являются участниками этого правила Sudo.Поиск узлов, которые не зарегистрированы пользователями.Поиск узлов,  которые не управляются узлами.Поиск узлов, не включая узлы, управляющие узлами.Поиск узлов, которые не являются участниками этого правила HBAC.Поиск узлов, которые не являются участниками этой группы узлов.Поиск узлов, которые не являются участниками этой сетевой группы.Поиск узлов, которые не являются участниками этой роли.Поиск узлов, которые не являются участниками этого правила Sudo.Поиск узлов.Поиск сетевых групп с этими группами-участниками.Поиск сетевых групп с этими группами узлов — участниками.Поиск сетевых групп с этими узлами-участниками.Поиск сетевых групп с этими сетевыми группами — участниками.Поиск сетевых групп, которые являются участниками этой сетевой группы.Поиск сетевых групп с этими пользователями-участниками.Поиск сетевых групп без этих групп-участников.Поиск сетевых групп без этих групп узлов — участников.Поиск сетевых групп без этих узлов-участников.Поиск сетевых групп без этих сетевых групп — участников.Поиск сетевых групп, которые не являются участниками этой сетевой группы.Поиск сетевых групп  без этих пользователей-участников.Поиск разрешений.Поиск привилегий.Поиск диапазонов.Поиск ролей.Поиск серверов, включая серверы с этими управляемыми суффиксами.Поиск серверов, не включая серверы с этими управляемыми суффиксами. Поиск цели делегирования служб.Поиск правила делегирования служб.Поиск служб, включая службы, управляемые узлами.Поиск служб, не включая службы, управляемые узлами.Поиск неподтверждённых пользователей, которые являются участниками этого правила HBAC.Поиск неподтверждённых пользователей, которые являются участниками этой группы.Поиск неподтверждённых пользователей, которые являются участниками этой сетевой группы.Поиск неподтверждённых пользователей, которые являются участниками этой роли.Поиск неподтверждённых пользователей, которые являются участниками этого правила Sudo.Поиск неподтверждённых пользователей, которые не являются участниками этого правила HBAC.Поиск неподтверждённых пользователей, которые не являются участниками этой группы.Поиск неподтверждённых пользователей, которые не являются участниками этой сетевой группы.Поиск неподтверждённых пользователей, которые не являются участниками этой роли.Поиск неподтверждённых пользователей, которые не являются участниками этого правила Sudo.Поиск неподтверждённых пользователей.Поиск сегментов топологии.Поиск суффиксов топологии.Поиск суффиксов топологии.Поиск отношений доверия.Поиск пользователей, которые являются участниками этого правила HBAC.Поиск пользователей, которые являются участниками этой группы.Поиск пользователей, которые являются участниками этой сетевой группы.Поиск пользователей, которые являются участниками этой роли.Поиск пользователей, которые являются участниками этого правила Sudo.Поиск пользователей, которые не являются участниками этого правила HBAC.Поиск пользователей, которые не являются участниками этой группы.Поиск пользователей, которые не являются участниками этой сетевой группы.Поиск пользователей, которые не являются участниками этой роли. Поиск пользователей, которые не являются участниками этого правила Sudo.Поиск пользователей.Поиск хранилищ.Результат поиска усечён: %(reason)sОбласть поискаОграничение размера поискаОграничение времени поискаДругой кодВторой OTPОснова вторичного RIDСекунды широтыСекунды долготыСекретСекреты можно добавлять или извлекать из хранилища только с помощью инструментов командной строки vault-archive и vault-retrieve.Идентификатор безопасностиИдентификаторы безопасности (SID)Свойства сегментаИмя сегментаВыбрать всеВыбранные записи, которые следует удалить.СелекторМоя учётная записьРазрешение самообслуживанияРазрешения самообслуживанияИмя самообслуживанияСемантика %(label)s изменена. %(current_behavior)s
%(hint)sРазделённый точками с запятой список IP-адресов или сетей, которым разрешено выдавать запросыРазделённый точками с запятой список IP-адресов или сетей, которым разрешено переносить зонуУчитыватьСерийный номерСерийный номерСерийный номер (шестнадцатеричный)Серийный номерСерийный номер (hex)Серийный номер в десятичной или, если есть префикс 0x, в шестнадцатеричной системеСерверУ сервера "%(srv)s" имеется %(n)d соглашений с серверами:Сервер %(srv)s не может связаться с серверами: %(replicas)sИмя сервераПараметры сервераРоль сервераРоли сервераСервер не поддерживает функционал уровня доменаСервер уже удалёнНа сервере нет сведений о домене "%(domain)s"Имя сервераНе указано имя сервера, сервер недоступен
Удаление сервера прервано: %(reason)s.Состояние сервераСервер проверит DNS-перенаправитель (перенаправители).СерверыСведения о серверах:Серверы в расположенииСерверы, которые принадлежат к записи расположения IPAСлужбаДля применения изменений конфигурации необходимо перезапустить службу %(service)s на IPA-сервере %(server)s.В базе данных Kerberos не найдена служба "%(service)s" Сертификат службыГруппы службПараметры службыПараметры службыХранилища службКатегория службКатегория служб, к которой применяется ACLКатегория служб, к которой применяется правилоПравило делегирования службПравила делегирования службЦель делегирования службЦели делегирования службИмя группы службИмя службыИмя службы хранилища службУчётная запись службыПсевдоним учётной записи службыУчётная запись службы для этого сертификата (например, HTTP/test.example.com)Учётная запись службы указана в виде, отличном от: служба/полностью-определённое-имя узла: %(reason)sСледует указать учётную запись службыОтносительный вес службСлужба, подготовка которой к работе отмененаВес службНевозможно одновременно указать параметры службы (служб), общего доступа и пользователя (пользователей)Невозможно одновременно указать параметры службы, совместного использования и пользователяНевозможно одновременно указать параметры службы, общего доступа и пользователяСлужбыСеансовая ошибкаКлюч сеанса, упакованный с сертификатом транспортаВремя ожидания сеансаУстановитьУказать уровень доменаУстановить OTPУказать ключ SSHУстановить пароль пользователя.Установить атрибут для пары имя/значение. Формат: атрибут=значение.
Если атрибут многозначный,  команда заменяет уже присутствующие значения.Установить группу по умолчанию (резервную) для всех несоответствующих записей.Установить группу по умолчанию (резервную) для автоучастия "%(value)s"Установить включённое/скрытое состояние сервера.Установить открытый ключПараметрыОбщееХранилища совместного использованияОбщий секрет для отношения доверияХранилище совместного использованияПоказатьПоказать IPA-сервер.Показать QR-кодПоказать результатыПоказать все загруженные подключаемые модули.Показать адрес конфигурацииПоказать подробные сведенияПоказать переменные окружения.Показать глобальную конфигурацию отношений доверия.Показать управляемый суффикс.Показать состояние роли на сервере.Показать текущую конфигурацию сопоставления сертификатов с записями пользователей.Показать текущую конфигурацию OTP.Показать текущую конфигурацию.Показать текущую  глобальную конфигурацию DNS.Показать список разрешённых типов шифрования и завершить работуПоказать конфигурацию хранилища.Показать или установить ключПоказано записей: с ${start} по ${end} из ${total}.ПодписьОкончание действия подписиНачало действия подписиИмя подписавшегоНе удалось выполнить простую привязку
Имитировать использование управления доступом на основе узлаПоскольку IPA не управляет записями DNS, следует настроить DNS так, чтобы система определяла адрес домена "{domain}" по данным узлов IPA и наоборот.РазмерОграничение по размеруРазмер данных превышает ограничение. Текущее ограничение размера хранилища: %(limit)d БРазмер диапазона идентификаторов, зарезервированного для доверенного доменаПропустить проверку DNSПропустить проверку того, удаляется ли последний главный сервер CA или DNS-серверПропустить проверку узлаПропустить проверку пересеченияПропущено %(key)sПропущено %(map)sНе удалось удалить некоторые записиНе удалось выполнить некоторые операции.Группы узлов-источниковУзлы-источникиУзел-источникКатегория узлов-источниковКатегория узлов-источников, к которой применяется правилоУказанные CAУказанные команды и группыУказанные группыУказанные узлы и группыУказанные профилиУказанные службы и группыУказанные пользователи и группыУказанное имя доверенного домена не найдено.Указывает место сохранения данных таблицы ключей.Указать внешний адрес: ${entity}Разделить запись DNS на частиСделать неподтверждённымНеподтверждённый пользовательНеподтверждённые пользователиНеподтверждённый пользователь %s активированНеподтверждённые пользователиУчётная запись неподтверждённого пользователя "%(value)s"СтандартноеСтандартные типы записейСостояниеОбласть/республикаСостояниеСостояние ролиОстановить уже начатое обновление выбранного узла (узлов)Остановка репликации для сегмента: направлен запрос "%(pkey)s".Хранить и предоставлять схему для команд и темСохранять выданные сертификатыАдресСтруктурированоСубъектDN субъектаDN субъекта уже используется CA "%s"DNS-имя субъектаРазличающееся имя субъектаИмя стороны EDI субъектаIP-адрес субъектаИмя учётной записи Kerberos субъектаИдентификатор объекта (OID) субъектаДругое имя субъектаИмя участника-пользователя (UPN) субъектаУниверсальный код ресурса (URI) субъектаАдрес X.400 субъектаИспользование типа альтернативного имени субъекта %s запрещеноИмя каталога субъектаАдрес электронной почты субъектаСубъект сертификатаОтправить запрос подписи сертификата.ПоддеревоПоддерево, к которому следует применить ACIПоддерево, к которому следует применить разрешенияПодтипУспехSudoГруппы разрешённых команд SudoРазрешённые команды SudoКоманда SudoГруппа команд SudoГруппы команд SudoКоманды SudoГруппы запрещённых команд SudoЗапрещённые команды SudoПараметр SudoПравило SudoПравила SudoПорядок SudoИмя суффиксаЗаменаПоддерживаемые типы шифрования:
Подавить обработку атрибутов участия.СимметричноеСинхронизировать токен OTPСинхронизировать токен OTP.Выполняется синхронизацияОшибка синтаксиса: %(error)sЗаписи DNS системы обновленыСистемной кодировкой должна быть UTF-8, поддержка "%(encoding)s" не предусмотрена. Установите либо LC_ALL="C.UTF-8", либо LC_ALL="" и LC_CTYPE="C.UTF-8".Запись TAЗапись TKEYДанные сопоставления сертификата TLSAИспользование сертификата TLSAТип соответствия TLSAСелектор TLSAЗапись TLSAОкно TOTP-синхронизацииОкно TOTP-аутентификацииОтклонение по времени TOTP-аутентификации (в секундах)Отклонение по времени TOTP-синхронизации (в секундах)Разница времени между токеном TOTP и сервером IPAЗапись TSIGТекстовые данные TXTЗапись TXTВозобновить действие отозванного сертификата.ЦельDN целиПоддерево DN целиУниверсальный код ресурса (URI) запрошенного конечного объекта Универсальный код ресурса (URI) запрошенного конечного объекта в соответствии с RFC 3986Целевая группаЦелевой узелЦелевые участники группыЦелевые участники группы (устанавливает фильтр целей memberOf)Целевая обратная зона не найдена.Выполнить над своей собственной записью (self)DN задачиDN задачи = "%s"Номер телефонаПроверить синтаксис ACI, но никуда не записыватьТекстовые данныеТекст не соответствует шаблону поляПараметр --domain невозможно использовать одновременно с параметром --add-domain или --del-domain. Используйте параметр --domain, чтобы явно указать весь список доменов области (realm). Используйте параметр --add-domain/del-domain, чтобы добавить или удалить отдельные домены.ACI для разрешения %(name)s не найдена в %(dn)s Область (realm) IPAНе удалось создать запись TXT _kerberos из домена %(domain)s (%(error)s).
Возможная причина: зона не находится под управлением IPA. Создайте запись вручную, включив в неё следующее значение: "%(realm)s"Не удалось удалить запись TXT _kerberos из домена %(domain)s (%(error)s).
Возможная причина: зона не находится под управлением IPA. Удалите запись вручную.Ключ автомонтирования %(key)s с информацией %(info)s не существуетСертификат для %(ca)s недоступен на этом сервере.Использовать символ %(char)r запрещено.Невозможно удалить группу пользователей по умолчаниюТип "deny" больше не поддерживается.Домен %s не является ни доменом IPA, ни доверенным доменом.Имя домена целевого узла или ".", если служба явно недоступна на этом доменеДомен(ы) "%s" не могут использоваться для применения проверки altSecurityIdentities.Следующие домены не принадлежат к этой области (realm): %(domains)sГруппа не существуетУзел "%s", в который следовало добавить службу, не существует.Узел добавлен, но при обновлении DNS произошла ошибка: %(reason)sИмя узла должно быть полным: %s
Имя узла не должно быть следующим: %s
Имя узла или IP-адрес (с портом или без порта)Имя узла, на которое указывает эта обратная записьИмя узла для регистрацииПара ключ,информация должна быть уникальной. Ключ с именем %(key)s и информацией %(info)s уже существуетФайл таблицы ключей, в который следует добавить новый ключ (файл будет создан, если не существует).Файл таблицы ключей, из которого следует удалить учётную запись (записи)Правило сопоставления с altSecurityIdentities должно применяться к доверенному домену Active Directory, но с правилом не был связан ни один домен.Наиболее распространённые типы для этого типа зон: %s
Количество повторных попыток аутентификацииВведён неверный пароль или имя пользователяЗначение primary_key (основного ключа) записи, например "ииванов" для пользователяУчётная запись для этого запроса не существует.Учётная запись, для которой следует получить файл таблицы ключей (пример: ftp/ftp.example.com@EXAMPLE.COM)Учётная запись, которую следует удалить из файла таблицы ключей (пример: ftp/ftp.example.com@EXAMPLE.COM)Область (realm) для учётной записи не совпадает с областью этого IPA-сервераНе удалось определить область (realm) следующих доменов: %(domains)s. Если эти домены принадлежат к этой области, создайте на каждом из них запись TXT _kerberos, которая содержит "%(realm)s".Схема, используемая на LDAP-сервере. Поддерживаются значения RFC2307 и RFC2307bis. Значение по умолчанию: RFC2307bis.Недостаточно строгие условия поиска. Ожидалось: 1. Найдено: %(found)d.Секрет, который используется для шифрования данныхСлужбе разрешена аутентификация от имени клиентаУчётная запись службы для альтернативного имени субъекта %s в запросе сертификата не существуетИмя темы или команды.Общее время ожидания для всех повторных попыток (в секундах)Введённая учётная запись пользователя заблокированаАтрибут имени пользователя объекта пользователяНеправильное имя пользователя, пароль или коды токена.Отношение доверия с {ipa_domain} с неподдерживаемым типом {trust_type} уже существует. Пожалуйста, удалите его вручную на стороне DC AD.Ошибка при обработке запроса. Пожалуйста, повторите попытку позже.Эту команду нельзя использовать для изменения выделения идентификаторов для локального домена IPA. Чтобы получить дополнительные сведения, выполните команду `ipa help idrange`Для выполнения этой команды должна существовать группа "editors", но такая группа не найдена.Для выполнения этой команды требуются права администратора (root)Такая запись уже существуетЭту запись нельзя включать или отключатьЭта запись уже есть среди участниковЭта запись уже отключенаЭта запись уже включенаЭтой записи нет среди участниковВ этой группе уже разрешены внешние участникиЭта группа не может быть POSIX-группой, так как является внешнейУже является POSIX-группойЭта группа уже является POSIX-группой и не может быть преобразована во внешнюю группуЭто может занять некоторое время; пожалуйста, подождите...На этой странице имеются несохранённые изменения. Пожалуйста, сохраните или отмените их. Срок действия билета истекНе удалось прочитать политику билетов для %sОграничение по времениОграничение времени поиска в секундахОграничение времени поиска в секундах ("0" означает отсутствие ограничения)Время сейчасСрок жизниСрок жизни записей в начале зоныСрок жизни записей без явного определения срока жизниНа основе времени (TOTP)Время ожиданияПревышено время ожидания.Для установления отношения доверия с Active Directory имя домена и имя области (realm) IPA-сервера должны совпадатьЧтобы получить справку по команде, используйте команду:ID токенаОписание токена (только для сведения)Алгоритм хеширования токенаМодель токена (только для сведения)Секрет токена (Base32; значение по умолчанию: случайный)Серийный номер токена (только для сведения)Не удалось синхронизировать токенИмя поставщика токена (только для сведения)Токен синхронизированКоманды темы:Тема или командаТопологияСегмент топологииСегменты топологииТопология не позволяет серверу %(server)s выполнять репликацию с серверами:Топология отключенаУправление топологией требует уровня домена не ниже {0}Суффикс топологииСуффиксы топологииКоличество переменных env (>= count)Сертификат транспортаДаЗначение True, если были возвращены не все результатыЗначение True означает, что операция выполнена успешноОтношение доверияПараметры отношения доверияНаправление отношения доверияНастройка отношения доверияСостояние отношения доверияТип отношения доверияТип отношения доверия (ad для Active Directory, значение по умолчанию)Доверенный доменДоверенный домен %(domain)s находится среди доменов области (realm) IPA. Его необходимо удалить до установления отношения доверия. Смотрите команду "ipa realmdomains-mod --del-domain".Доверенным доменом и учётной записью администратора используются разные области (realms)Доверенным доменом не возвращён уникальный объектДоверенным доменом не возвращён корректный SID объектаПартнёр доверенного доменаДоверенные доменыДоверено для делегированияДоверенный лесДоверие для аутентификации в качестве пользователяДоверяющий лесОтношения доверияДвухфакторная аутентификация (пароль + OTP)Двустороннее отношение доверияТипОхваченные типыСписок сопоставления типовТип объекта IPA (устанавливает фильтр целей subtree и objectClass)Тип объекта IPA (user (пользователь), group (группа), host (узел), hostgroup (группа узлов), service (служба), netgroup (сетевая группа), dns)Тип токенаТип диапазона идентификаторов доверенного домена, одно из разрешённых значенийТип диапазона идентификаторов доверенного домена, один из следующих: ipa-ad-trust-posix, ipa-ad-trustПоддерживаемые типы аутентификации пользователейUIDСуффиксы UPNУниверсальный код ресурса (URI)URL-адресUUIDОтменить применениеОтменить применение представлений ID к узламОтменить применение представлений ID к узлам групп узловОтменить применение представления ID '${primary_key}' к узламОтменить применение к группам узловОтменить применение к узламНе удалось обменяться данными с CMSНе удалось обменяться данными с CMS (состояние %d)Не удалось создать личную группу. Группа "%(group)s" уже существует.Не удалось найти IPA-сервер, используя %s
Не удалось определить, существует ли уже учётная запись Kerberos %s. Используйте команду "ipa user-mod", чтобы установить её параметры вручную.Не удалось определить корневое DN %s
Не удалось показать QR-код с помощью настроенного шифрования вывода. Используйте URI токена для настройки вашего устройства OTPНе удалось включить SSL в LDAP
Не удалось  создать кэш учётных данных Kerberos
Не удалось инициализировать сеанс STARTTLS
Не удалось инициализировать подключение к LDAP-серверу %1$s: %2$s
Не удалось инициализировать библиотеку ldap!
Не удалось присоединить узел: кэш учётных данных Kerberos не найден
Не удалось присоединить узел: учётная запись пользователя Kerberos не найдена, пароль узла не указан.
Не удалось присоединить узел: ошибка инициализации Kerberos-контекста
Не удалось обработать учётную запись
Не удалось обработать имя учётной записи
Не удалось обработать учётную запись: %1$s (%2$d)
Не удалось удалить запись
Не удалось определить контроллер домена для домена {domain}. Не удалось задать LDAP_OPT_PROTOCOL_VERSION
Не удалось задать LDAP_OPT_X_SASL_NOCANON
Не удалось задать LDAP_OPT_X_TLS_CACERTFILE
Не удалось задать LDAP_OPT_X_TLS_PROTOCOL_MIN
Не удалось задать LDAP_OPT_X_TLS_REQUIRE_CERT
Не удалось проверить разрешения на запись в ADВосстановить удалённую учётную запись пользователя.Учётная запись пользователя "%(value)s" возвращена после удаленияОтменитьОтменить всеОтменить все изменения в этом поле.Отменить это изменение.Отменить регистрацию этого узла на IPA-сервереНе удалось отменить регистрацию.
Отмена регистрации выполнена успешно.
Уникальный идентификаторНеизвестноНеизвестная ошибкаНеизвестный параметр: %(option)sРазблокироватьУчётная запись "%(value)s" разблокированаСоответствие не установленоОтменить подготовкуОтмена подготовки узлаОтмена подготовки службыНераспознанные атрибуты: %(attrs)sНепригодные к обработке правила в --rulesОтзыв отменёнНесохранённые измененияОтменить выборНе указанаНеподдерживаемое значениеОбновитьОбновить записи DNSОбновить записи DNS системыОбновить записи расположений и DNS-серверов IPA. Не удалось обновить системную запись "%(record)s". Ошибка: %(error)sПользовательГруппа пользователейГруппы пользователейID пользователяНомер ID пользователяID пользователя (если не указан, система назначит его самостоятельно)Переопределение ID пользователяПереопределения ID пользователяИмя учётной записи пользователяПараметры пользователяХранилища пользователейАтрибут пользователяПользовательские атрибуты для служб SMBТипы аутентификации пользователейКатегории пользователейКатегория пользователейКатегория пользователей (семантика этого атрибута предназначена для локального разбора)Категория пользователей, к которой применяется ACLКатегория пользователей, к которой применяется правилоКонтейнер пользователейГруппа пользователейГруппа пользователей, доступ к которой предоставляет ACIПравило группы пользователейПравила группы пользователейГруппа пользователей, к которой следует применить делегированиеГруппа пользователей, к которой следует применить разрешенияГруппа пользователей, к которой следует применить разрешения (устанавливает target)Имя учётной записи пользователяИмена входа пользователяИмя пользователяКласс объекта пользователяПриоритет объекта пользователяПароль пользователяОкончание действия пароля пользователяПоля поиска пользователейПользователь, которого следует переопределитьПонятное пользователю описание выполненного действияОпределённые пользователем атрибуты, к которым применяется разрешениеОпределённые пользователем атрибуты, к которым явно не применяется разрешениеИмя пользователяИмя пользователя хранилища пользователейПользователиПользователи, которым разрешено создавать таблицу ключейПользователи, которым разрешено получать таблицу ключейИмеется действительный сертификатДействителен сДействующий не позднее, чем сДействующий не позднее, чем с этой даты (ГГГГ-мм-дд)Действующий не позднее, чем доДействующий не позднее, чем до этой даты (ГГГГ-мм-дд)Действующий не ранее, чем сДействующий не ранее, чем с этой даты (ГГГГ-мм-дд)Действующий не ранее, чем доДействующий не ранее, чем до этой даты (ГГГГ-мм-дд)Действителен доОшибка подтвержденияДействительностьОкончание срока действияНачало срока действияХранилищеКонтейнер хранилищКонтейнеры хранилищТип хранилищаКонфигурация хранилищаДанные хранилища, зашифрованные ключом сеансаОписание хранилищаИмя хранилищаПароль хранилищаЗакрытый ключ хранилищаОткрытый ключ хранилищаСоль хранилищаСлужба хранилищаТип хранилищаПользователь хранилищаХранилищаКонфигурация хранилищПоставщикПроверить парольПроверка пароля учётной записиВерсияВертикальная точностьСлужба для использованияПоказатьПросмотреть сертификатОжидание подтверждения удалённой сторонойПредупреждениеПредупреждение: неопознанный тип шифрования.
Предупреждение: неопознанный тип соли.
Предупреждение: рекомендуется использовать репликацию службПредупреждение: не удалось преобразовать тип (№%d)
Предупреждение: случайные пароли не поддерживают типы соли (см. параметр -P)
ВесВес служб сервераПри переносе группы, которая уже существует в домене IPA, перезаписать GID группы и сообщить об успешном выполненииВключена или отключена пре-аутентификация (PKINIT)Активно ли соглашение о репликации, то есть выполняется ли репликация по этому соглашениюОпределяет, следует ли сохранять сертификаты, выданные с помощью этого профиляКтоВ процессеЗаписать сертификат (цепочку сертификатов, если использовано --chain) в файлЗаписать конфигурацию профиля в файлЦепочка сертификатов X.509Вы пытаетесь сослаться на личную группу, которую запрещено переопределять. Попробуйте переопределить атрибут GID соответствующего пользователя.В качестве приложения для работы с токенами OTP можно использовать <a href="${link}" target="_blank">FreeOTP<a/>.Возможно, потребуется вручную удалить их из дереваЧтобы создать службу узла, необходимо сначала зарегистрировать узелВы будете перенаправлены через ${count}sВы будете перенаправлены в зону DNS.Количество дней до окончания действия вашего пароля: ${days}.Срок действия вашего пароля истёк. Пожалуйста, введите новый пароль.Время вашего сеанса истекло. Пожалуйста, войдите в систему ещё раз.Доверительные отношения с %(domain)s разорваны. Восстановите их, выполнив команду "ipa trust-add".Слот YubiKeyИндексПеренаправители зонНайдена зона: ${zone}Имя зоныИмя зоны (FQDN)Невозможно удалить запись зоны "%s"Интервал между обновлениями данных зоныне удалось выполнить access() для %1$s: номер ошибки = %2$d
активный пользователь с именем "%(user)s" уже существуетдобавлено значение атрибута в запись %(value)sзначение алгоритма: допустимый интервал 0-255на всех главных серверах должна быть включена роль %(role)sпроизошла внутренняя ошибкана сервере "%(server)s" произошла внутренняя ошибка ответ на запрос "%(owner)s %(rtype)s" не содержит подписи DNSSEC (нет данных RRSIG)любой из настроенных серверовapi не предоставляет такого пространства имён: "%(name)s"следует указать хотя бы один из параметров: тип, пользователи, узлыследует указать хотя бы одно из: type, filter, subtree, targetgroup, attrs или memberofдолжно присутствовать хотя бы одно значение, равное каноническому имени учётной записиатрибут "%(attribute)s" запрещёнатрибут "%s" нельзя использоватьнастройка атрибута невозможнаattrs и включённые атрибуты нельзя использовать вместеattrs и включённые или исключённые атрибуты нельзя использовать вместеавтоматически добавить учётную запись, если она не существуетАвтоматически добавить учётную запись, если она не существует (только для учётных записей служб)ключ автомонтированияключи автомонтированиярасположение автомонтированиярасположения автомонтированиясписок соответствия автомонтированиясписки соответствия автомонтированиябазовое расширяемое имя (DN)Не удалось выполнить ber_init(), недопустимый элемент управления?!
Ошибка ber_scanf(), не удалось найти kvno?!
Привязка пароля может быть не длиннее %(len)d символовразмер должен быть не больше %(maxlength)d байтможет быть не длиннее %(maxlength)d символовможет быть не больше %(maxvalue)dне может быть больше %(maxvalue)sневозможно добавить разрешение "%(perm)s" с типом привязки "%(bindtype)s" в привилегиюне может быть пустымне может превышать {} символовне удалось установить соединение с "%(uri)s": %(error)s невозможно удалить глобальную политику паролейневозможно удалить управляемые разрешенияневозможно удалить корневой домен отношения доверия, используйте trust-del для удаления самого отношения доверияневозможно отключить корневой домен отношения доверия, используйте trust-del для удаления самого отношения доверияполе субъекта не может быть пустымне удалось открыть файл конфигурации %s
невозможно переименовать управляемые разрешенияневозможно установить тип привязки для разрешения, которое связано с привилегиейневозможно одновременно указать код сертификата и файл с сертификатомневозможно одновременно указать subject/issuer и certificateневозможно одновременно указать subject/issuer и ipacertmapdataневозможно одновременно указать полный фильтр целей и дополнительный фильтр целейне удалось обработать файл конфигурации %s функцией  stat()
изменение конфликтует с  другим выполненным изменениемИзменить на POSIX-группуИзменить для добавления поддержки внешних не IPA-участников из доверенных доменовдочерний процесс завершился с сообщением %d
cn нельзя изменятьРазделённый двоеточиями список доменов, которые используются для обработки кратких имёнРазделённый запятыми список групп служб HBAC, которые следует добавитьРазделённый запятыми список групп служб HBAC, которые следует удалитьРазделённый запятыми список служб HBAC, которые следует добавитьРазделённый запятыми список служб HBAC, которые следует удалитьРазделённый запятыми список групп, которые следует добавитьРазделённый запятыми список групп, которые следует исключить из миграцииРазделённый запятыми список групп, которые следует удалитьРазделённый запятыми список групп узлов, которые следует добавитьРазделённый запятыми список групп узлов, которые следует удалитьРазделённый запятыми список узлов, которые следует добавитьРазделённый запятыми список узлов, которые следует удалитьРазделённый запятыми список участников доверенного домена в формате DOM\имя или имя@доменРазделённый запятыми список сетевых групп, которые следует добавитьРазделённый запятыми список сетевых групп, которые следует удалитьРазделённый запятыми список разрешенийРазделённый запятыми список разрешений, которые следует предоставить (read, write, add, delete, all)Разделённый запятыми список привилегийРазделённый запятыми список привилегий, которые следует добавитьРазделённый запятыми список привилегий, которые следует удалитьРазделённый запятыми список ролей, которые следует добавитьРазделённый запятыми список ролей, которые следует удалитьРазделённый запятыми список групп команд Sudo, которые следует добавитьРазделённый запятыми список групп команд Sudo, которые следует удалитьРазделённый запятыми список команд Sudo, которые следует добавитьРазделённый запятыми список команд Sudo, которые следует удалитьРазделённый запятыми список пользователей, которых следует добавитьРазделённый запятыми список пользователей, которых следует исключить из миграцииРазделённый запятыми список пользователей, которых следует удалитькомандакоманда "%(name)s" имеет не более %(count)d аргументакоманда "%(name)s" имеет не более %(count)d аргументовкоманда "%(name)s" имеет не более %(count)d аргументовкоманда "%(name)s" не имеет аргументовкомандыневозможно добавить команды, когда категория команд="all"команды управления конфигурацией Sudoне удалось обменяться данными с сервером CIFSпараметры конфигурациизапись контейнера (%(container)s) не найденаCA ACL по умолчанию можно только отключитьделегированиеделегированияудалитьописаниене получены учётные данные Kerberosне соответствует ни одному допустимому формату:домендомен не настроендомен не является довереннымимя домена "%(domain)s" должно быть нормализовано до: %(normalized)sимя домена не может быть длиннее 255 символовкаждый элемент ACL должен заканчиваться точкой с запятойпустая DNS-меткапустой фильтрenabledService/configuredService не в записи kdc ipaConfigStringзаписизаписьошибка преобразования данных для передачи по протоколу XML-RPC: %(error)sошибка на сервере "%(server)s": %(error)sне удалось выполнить команду ipa-getkeytab, номер ошибки %d
ожидаемый формат: <0-255> <0-255> <0-65535> шестнадцатеричные_цифры_равной_длины_или_дефисфайл для сохранения записей DNS в формате nsupdateФайл для сохранения сертификатаимя файлаfilter и memberof нельзя использовать вместезначением флагов должна быть одна из следующих букв: "S", "A", "U" или "P"значение флагов: допустимый интервал от 0 до 255Принудительно создать запись NS, даже если соответствующее имя узла отсутствует в DNSПринудительно удалить разрешения SYSTEMПринудительно установить значение имени узла, даже если имени нет в DNSПринудительно установить значение имени учётной записи, даже если узла нет в DNSпринудительно установить значение имени учётной записи, даже если имени нет в DNSПринудительно создать службу, даже если объект узла для управления ей не существуетне удалось выполнить fork()
формат должен быть указан следующим образом:
    "d1 [m1 [s1]] {"N"|"S"}  d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
    где:
       d1:     [0 .. 90]            (градусы широты)
       d2:     [0 .. 180]           (градусы долготы)
       m1, m2: [0 .. 59]            (минуты широты / долготы)
       s1, s2: [0 .. 59.999]        (секунды широты / долготы)
       alt:    [-100000.00 .. 42849672.95] BY .01 (высота в метрах)
       siz, hp, vp: [0 .. 90000000.00] (размер / точность в метрах)
    Подробные сведения доступны в RFC 1876формат должен быть указан следующим образом: "%(format)s" %(rfcs)sзона перенаправления "%(fwzone)s" не действует из-за отсутствия надлежащего NS-делегирования в основной зоне "%(authzone)s". Добавьте NS-запись "%(ns_rec)s" в родительскую зону "%(authzone)s".невозможно указать gid для внешней группыследует указать имягруппагруппа запуска от имениgroup, permission и self нельзя использовать вместегруппыгруппы, которые следует добавитьгруппы, которые следует исключить из миграциигруппы, которые следует удалитьузелдля категории узлов нельзя установить значение "all", когда имеются разрешённые узлыгруппа узловгруппы узловгруппы узлов, которые следует добавитьгруппы узлов, которые следует удалитьМаски разрешённых узловгруппа узловгруппа узлов с именем "%s" уже существует. Группы узлов и сетевые группы имеют общее пространство имёнгруппы узловимя узлаимя узла содержит пустую метку (точки подряд)имя узла в субъекте запроса "%(cn)s" не соответствует имени или псевдонимам учётной записи "%(principal)s"имя узла в субъекте запроса "%(cn)s" не соответствует имени узла учётной записи "%(hostname)s"узлыневозможно добавить узлы, когда категория узлов="all"невозможно указать узлы, когда тип "group"узлы, которые следует добавитьузлы, которые следует удалитьдиапазон идентификаторовтип диапазона идентификаторовнеполное значение времениневерный типЦелое число для упорядочивания правил Sudoнедопустимое "%(name)s": %(error)sНекорректное DN (%s)недопустимый формат IP-адресанедопустимая версия IP-адреса (сейчас %(value)d, должна быть %(required_value)d)!недопустимый формат IP-сетинедопустимый идентификатор профилянедопустимый SID: {SID}неверный открытый ключ SSHнедопустимый формат адресанедопустимое имя атрибутанедопустимое имя доменанедопустимое имя домена: %sнедействительное имя домена: не является полнымнеправильный формат почты: %(email)sнедопустимая управляющая последовательность (escape code) в имени доменанедопустимая маска узланедопустимый номер портанеправильные разрешения команды ipa-getkeytab?
команда ipa-getkeytab не найдена 
следует указатьзначение количества итераций: допустимый интервал от 0 до 65535параметры политики билетов Kerberosключ %(key)s уже существуетключ с именем %(key)s уже существуеттаблица ключей является оборванной символической ссылкой и принадлежит другому пользователю.
krb5_kt_close %1$d: %2$s
krb5_kt_get_entry %1$d: %2$s
krb5_kt_remove_entry %1$d: %2$s
krb5_parse_name %1$d: %2$s
krb5_unparse_name %1$d: %2$s
сертификаты krbtgt могут использовать только профиль %skvno %d
в левом узле ({host}) не предусмотрена поддержка суффикса '{suff}'левый узел и правый узел должны быть разными узламилевый узел не является узлом топологии: %(leftnode)sследует указать левый или правый узелдля этого запроса превышены ограничениядиапазон локальных доменоврасположениерасположенияруководитель %(manager)s не найденсписок соответствия %(map)s уже существуетсписки соответствия, которые не подключены к /etc/auto.master:точное соответствие общему именимаксимальный серийный номеручастник %sПрофиль сертификатов — участникслужба-участник HBACучастник группа служб HBACгруппа-участникузел-участникгруппа узлов — участниксетевая группа — участникучётная запись — участникпривилегия участникароль участникаслужба-участникцель делегирования служб — участниккоманда Sudo — участникгруппа команд — участник Sudoпользователь-участникминимальный серийный номеротсутствует base_idизменение главного ключа запрещеноточка монтирования указывается относительно родительского списка соответствия, её запись не может начинаться с  /должно быть "%s"должно быть "%(value)s"должно быть DNS-именемдолжно быть учётной записью Kerberosдолжно быть TRUE или FALSEдолжно равняться либо True, либо Falseдолжно быть Юникод-текстомдолжно быть сертификатомдолжно быть запросом подписи сертификатадолжно быть десятичным числомдолжно быть абсолютнымдолжно быть целым числомразмер должен быть не меньше %(minlength)d байтдолжно быть не короче %(minlength)d символовдолжно быть не меньше %(minvalue)dдолжно быть не меньше %(minvalue)sдолжно быть не меньше 1должно быть не меньше 10должно быть двоичными даннымидолжно быть значением даты и времени (datetime)должно быть словарёмдолжно быть включено только на одном главном сервередолжно быть заключено в скобкиразмер должен быть точно %(length)d байтдолжно быть точно %(length)d символов длинойдолжно быть одним из следующих значений: %(values)sдолжно быть относительнымдолжно содержать кортеж (список, словарь)должно равняться %rдолжна быть включена роль %(role)sдолжно соответствовать шаблону "%(pattern)s"сетевая группасетевая группа с именем "%s" уже существует. Группы узлов и сетевые группы имеют общее пространство имёнсетевые группысетевые группы, которые следует добавитьсетевые группы, которые следует удалитькоманда или раздел справки "%(topic)s" не обнаруженыотсутствуют изменения для выполненияотсутствуют настроенные доверенные доменыуказанному плоскому имени не соответствует ни один доверенный домензапрещено изменять записи группзапрещено изменять записи пользователейне разрешено выполнение операции: %sне разрешено выполнение проверки связи с серверомне найденоуказано не полностьюнельзя изменять в управляемых разрешенияхкласс чисел "%(cls)s" не входит в список допустимых классов чисел: %(allowed)sколичество паролейкласс объектов %s не найденодно или несколько значений, которые следует удалитьпредусмотрена поддержка только "ad"доступно только в управляемых разрешенияхможно использовать только буквы, цифры, символы %(chars)s. DNS-метка не может начинаться или заканчиваться символом %(chars2)sтолько главные зоны могут содержать записидля одного имени можно использовать только одну запись CNAME (RFC 2136, раздел 1.1.5)для одного имени можно использовать только одну запись DNAME (RFC 6672, раздел 2.4)можно указать только один узелоперация не определенапараметр переименован; используйте %sиспользование параметров запрещенопорядковый номер должен иметь уникальное значение (%(order)d уже использовано для %(rule)s)недостаточно памяти
данные вне зоны: имя записи должно быть поддоменом зоны или относительным именемпересекающиеся аргументы и параметры: %(names)sвладелец %sгруппа-владелецнельзя использовать шаблон имени домена в поле владельца записей %(types)s (RFC 4592, раздел 4)служба-владелецпользователь-владелецparams должны быть списком (list)params должен содержать записи [аргументы, параметры]params [0] (или аргументы) должны быть списком (list)params [1] (или параметры) должны принадлежать к типу словаря (dict)парольполитики паролейполитика паролейпароль, который следует использовать, если не используется KerberosРазрешениеразрешение "%(value)s" уже существуетРазрешенияpkinitсохранитьневозможно одновременно указать сохранение и отсутствие сохраненияучётная запись не найдена
учётная запись не найдена в ответе XML-RPC
учётная запись, которую следует добавитьучётная запись, которую следует удалитьневозможно установить приоритет для глобальной политикиприоритет должен иметь уникальное значение (%(prio)d уже использовано для %(gname)s)Привилегияпривилегированная группапривилегированная группа узловправило делегирования привилегированных службцель делегирования привилегированных службПривилегиипривилегии, которые следует добавитьпривилегии, которые следует удалитьдля категории профилей нельзя установить значение "all", когда имеются разрешённые профилиневозможно добавить профили, когда категория профилей="all"Пакет pyhbac не установлен.pysss_murmur недоступен на сервере,  base-id не предоставлен.python-yubico не установлен.запрос "%(owner)s %(rtype)s" с помощью EDNS0: %(error)sзапрос "%(owner)s %(rtype)s": %(error)sдиапазон существуетизменение диапазона, при котором появляются объекты с идентификаторами за пределами указанного диапазона, запрещено изменение типа диапазонаошибка чтения
область (realm) не найдена
область (realm) или UPN-суффикс пересекается с пространством имён доверенного доменазапись "%(owner)s %(rtype)s" не прошла проверку DNSSEC на сервере %(ip)sудалены значения атрибута из записи %(value)sне удалось выполнить запрос, состояние HTTP %dрезультат не найден в ответе XML-RPC
Получить и вывести все атрибуты, возвращаемые сервером. Влияет на содержимое результата исполнения команды.в правом узле ({host}) не предусмотрена поддержка суффикса '{suff}'правый узел не является узлом топологии: %(rightnode)sРольролироли, которые следует добавитьроли, которые следует удалитьгруппы запуска от именипользователь запуска от именипользователи запуска от именизначение соли: %(err)sПоиск POSIX-группПоиск групп с поддержкой внешних не IPA-участников из доверенных доменовПоиск управляемых группПоиск не POSIX-группПоиск личных группсписок результатов поиска объектов миграции был усечён сервером; возможно, процесс миграции не завершён
в секундахсегментсегментыразрешение самообслуживанияразрешения самообслуживаниясерверроль серверароли серверасерверыслужбадля категории служб нельзя установить значение "all", когда имеются разрешённые службыправило делегирования службправила делегирования службцель делегирования службцели делегирования службцели делегирования служб, которые следует добавитьцели делегирования служб, которые следует удалитьслужбыневозможно добавить службы, когда категория служб="all"cлужбы, которые следует добавитьслужбы, которые следует удалитьустановка полномочного сервера имённе должно быть именем домена с подстановочными знаками (RFC 4592, раздел 4)sidgen_was_runподдержка одноуровневых доменов {}s не предусмотренаИгнорировать обратное определение DNSследует указать snнеподтверждённый пользовательнеподтверждённые пользователииспользование типа альтернативного имени субъекта %s запрещено для учётных записей, которые не относятся к пользователямиспользование типа альтернативного имени субъекта %s запрещено для учётных записей пользователейsubtree и type нельзя использовать вместекоманда Sudoгруппа команд Sudoгруппы команд Sudoгруппы команд Sudo, которые следует добавитьгруппы команд Sudo, которые следует удалитькоманды Sudoкоманды Sudo, которые следует добавитькоманды Sudo, которые следует удалитьправило Sudoправила Sudoсуффикссуффиксысистемное представление IDневозможно переопределить системные объекты IPA (например, системные группы, личные группы пользователей)target и targetgroup нельзя использовать вместеIPA-сервер и удалённый домен не могут иметь общее имя NetBIOS: %sсертификат с серийным номеромзапись была удалена во время внесения измененийзначение не подходит под формат времени "ГГГГММДДЧЧММСС"должен быть указан хотя бы один спецификатор записи назначения (например, target, targetfilter, attrs)этот параметр больше не поддерживается.это опция устареласлишком много символов @отношение доверияконфигурация отношений довериянадёжный доменнадёжные доменытип отношения доверияобъект доверенного доменаобъект доверенного домена не найденпользователь доверенного домена не найденотношения доверияТип объекта IPA (user (пользователь), group (группа), host (узел), hostgroup (группа узлов), service (служба), netgroup (сетевая группа))type, filter, subtree и targetgroup нельзя использовать вместенеизвестная команда "%(name)s"%(server)s сообщает о неизвестной ошибке %(code)d: %(error)sнеподдерживаемый функциональный уровеньнеподдерживаемый тип отношения доверияадреспользовательпользователь "%s" уже активендля категории пользователей нельзя установить значение "all", когда имеются разрешённые пользователипользователиневозможно одновременно указать пользователей и узлыневозможно добавить пользователей, когда категория запуска от имени пользователей или запуска от имени групп="all"невозможно добавить пользователей, когда категория пользователей="all"невозможно указать пользователей, когда тип "hostgroup"пользователи, которых следует добавитьпользователи, которых следует исключить из миграциипользователи, которых следует удалитьзначениехранилищеконтейнер хранилищконтейнеры хранилищхранилища{attr}: атрибут не найден{role}: роль не найдена