forked from saratov/diag-domain-client
Added man page
This commit is contained in:
parent
ce50de2a3e
commit
1b0a1a423a
158
domain-diag.1.man
Normal file
158
domain-diag.1.man
Normal file
@ -0,0 +1,158 @@
|
||||
'\"
|
||||
.TH "DOMAIN_DIAG" "1" "February 2023" "domain-diag @VERSION@" "Manual DOMAIN_DIAG"
|
||||
.
|
||||
.SH NAME
|
||||
.B domain-diag
|
||||
\- это инструмент для диагностики состояния машины в домене.
|
||||
.
|
||||
.SH SYNOPSYS
|
||||
domain-diag [options] [<check/test-function-name>]
|
||||
.
|
||||
.SH DESCRIPTION
|
||||
.B domain-diag
|
||||
содержит набор проверок и тестов, по результатам которых можно определить корректность настроек машина для работы в домене, а также убедиться, что доступны все необходимые ресурсы домена.
|
||||
|
||||
Утилита имеет модульную структуру. Модули можно вызывать как все вместе, так и по отдельности. Есть опция записи результата в лог-файл. Для выполнения некоторых проверок требуется запуск с правами суперпользователя (без прав суперпользователя такие проверки и тесты помечаются статусом SKIP). Также для корректной работы необходимо получить Kerberos билет доменного пользователя.
|
||||
|
||||
Результаты работы утилиты различаются в зависимости от того, является машина членом домена или нет. Членство в домене определяется по настройкам PAM стэка (control system-auth). Машина считается членом домена,если system-auth любое значение, кроме local и unknown.
|
||||
|
||||
.B
|
||||
Сценарии применения
|
||||
|
||||
Утилита выполняется с правами доменного пользователя (убедитесь, что Kerberos билет получен).
|
||||
|
||||
Утилита выполняется с правами суперпользователя (root). Необходимо получить Kerberos билет вручную с помощью kinit <имя пользователя домена>.
|
||||
|
||||
- Если машина не введена в домен, утилита всё равно сможет выполнить большинство проверок окружения и доступности ресурсов домена.
|
||||
|
||||
- Часть проверок отработает и без Kerberos билета.
|
||||
|
||||
.B
|
||||
Результаты волнения проверок и тестов:
|
||||
|
||||
DONE - в случае успешного выполнения модуля.
|
||||
|
||||
SKIP - при выполнении программы не из-под рута некоторые проверки могут быть пропущены.
|
||||
|
||||
WARN - предупреждение, при не критических тестах в модуле.
|
||||
|
||||
FAIL - в случае существенного несоответствия, которое приводит к неработоспособности машины в домене.
|
||||
|
||||
.
|
||||
.SS OPTIONS
|
||||
.TP
|
||||
\fB-h, --help\fR
|
||||
Вызов справочной информации.
|
||||
.TP
|
||||
\fB-V, --version\fR
|
||||
Отображение версии программы.
|
||||
.TP
|
||||
\fB-v, --verbose\fR
|
||||
Подробный вывод результатов выполнения скриптов.
|
||||
.TP
|
||||
\fB-w, --logfile[=FILE]\fR
|
||||
Подробный вывод логирования записываются в фаил по указанному пути. В случае, если путь не указан, то запись производится в файл ./domain-diag.log. В случае, если файл уже существует, то запись производится в файл с постфиксом.
|
||||
.TP
|
||||
\fB-f, --force\fR
|
||||
Логи перезаписываются в файл, по ранее указанному пути(или по умолчанию).
|
||||
.TP
|
||||
\fB-l, --list\fR
|
||||
Модули проверок и тестов.
|
||||
.
|
||||
.SH LIST OF CHECKS
|
||||
.TP
|
||||
.B check_hostnamectl
|
||||
Отображает полную информацию о хосте и соответствующие настройки,
|
||||
такие как - имя, система, версия ядра, архитектура,
|
||||
если есть то информация о виртуализации.
|
||||
.TP
|
||||
.B test_hostname
|
||||
Проверяет, является ли имя машины FQDN.
|
||||
.TP
|
||||
.B check_system_auth
|
||||
Проверка наличия механизма переключения наборов PAM модулей для аутентификации. Отображение текущего состояния, а также вывод седержимого файла /etc/pam.d/system-auth.
|
||||
.TP
|
||||
.B test_domain_system_auth
|
||||
Проверяет, используется ли набор PAM модулей для аутентификации, отличный от local. Подразумевается, что в таком случае машины находится в домене.
|
||||
.TP
|
||||
.B check_system_policy
|
||||
Проверка наличия мехинизмов для работы групповых политик(PAM модулей), Отображение текущего состояния, а также вывод седержимого файла /etc/pam.d/system-auth.
|
||||
.TP
|
||||
.B test_gpupdate_system_policy
|
||||
Проверка что для применения групповых политик используется профиль PAM - gpupdate.
|
||||
.TP
|
||||
.B check_krb5_conf_exists
|
||||
Проверка наличия файла конфигурации krb5.conf, прав доступа к файлу, а так же вывод его содержимого.
|
||||
.TP
|
||||
.B check_krb5_conf_ccache
|
||||
Проверка что настроено кеширование учётных записей(keyring, file, dir), отличное от - "unknown".
|
||||
.TP
|
||||
.B test_keyring_krb5_conf_ccache
|
||||
Проверка соответствия установки способа кеширования учётных записей - keyring.
|
||||
.TP
|
||||
.B check_krb5_conf_kdc_lookup
|
||||
Проверка включен/выключен ли поиск kerberos-имени домена через DNS, или вовсе отсутствует. Допустимыми значениями для "dns_lookup_kdc" в /etc/krb5.conf являются - true/yes.
|
||||
.TP
|
||||
.B check_krb5_keytab_exists
|
||||
Проверка наличия файла krb5.keytab в котором хранятся принципалы и хеши пароля доменной учётной записи пользователя, с которым ассоциирована та или иная служба в Linux, и прав достура к нему.
|
||||
.TP
|
||||
.B check_keytab_credential_list
|
||||
Вывод содержимого krb5.keytab(и всех принципалов в нём), требуется запуск от root, иначе проверка будет пропущена - SKIP.
|
||||
.TP
|
||||
.B check_resolv_conf
|
||||
Проверка наличия файла конфигурации разрешения имён, указанного в нём домена(ов) для поиска и серверов имён, вывод содержимого resolv.conf.
|
||||
.TP
|
||||
.B compare_resolv_conf_with_default_realm
|
||||
Проверка соответствия домена указанного для поиска, и домена по умолчанию указанного для Кербероса.
|
||||
.TP
|
||||
.B check_smb_conf
|
||||
Проверка наличия файла настроек конфигурации Самбы и вывод его содержимого.
|
||||
.TP
|
||||
.B compare_smb_realm_with_krb5_default_realm
|
||||
Проверка соответствия домена указанного в файле конфигурации для Самбы и домена по умолчанию указанного для Кербероса.
|
||||
.TP
|
||||
.B test_smb_realm
|
||||
Проверка соответствия домена указанного для Самбы и домена по умолчанию указанного для Кербероса.(зачем надо? похожая предыдущая проверка)
|
||||
.TP
|
||||
.B test_domainname
|
||||
Проверка наличия имени домена, включенного в FQDN имя хоста.
|
||||
.TP
|
||||
.B check_time_synchronization
|
||||
Проверка настроек синхронизации времени с сервером, отображение подробной информации.
|
||||
Необходимо для корректной работы клиент-сервер, c сертификатами, электронной подписью, билетами Керберос и т.д.
|
||||
.TP
|
||||
.B test_time_synchronization
|
||||
Тест включена ли синхронизации времени yes/no.
|
||||
.TP
|
||||
.B check_nameservers
|
||||
Проверка доступности всех контроллеров домена по имени
|
||||
и ip-адресу(работает ли resolv.conf).
|
||||
.TP
|
||||
.B check_domain_controllers
|
||||
Проверка наличия srv-записи, ip-адреса и верного указания FQDN для контроллера домена,
|
||||
а так же ldap-запрос (зачем требуется?).
|
||||
.TP
|
||||
.B check_kerberos_and_ldap_srv_records
|
||||
Проверка наличия srv-записи Керберос и LDAP для домена,
|
||||
а так же ldap-запрос зачем требуется?).
|
||||
.TP
|
||||
.B compare_netbios_name
|
||||
Сравнение префиксов имени машин в Самбе и указанного в /etc/hostname.
|
||||
.TP
|
||||
.B check_common_packages
|
||||
Проверка наличия установленных основных пакетов и их версий (alterator-auth, libnss-role, libkrb5 и libsmbclient).
|
||||
.TP
|
||||
.B check_group_policy_packages
|
||||
Проверка наличия установленных основных пакетов и их версий для управления групповыми политиками (local-policy и gpupdate).
|
||||
.TP
|
||||
.B check_sssd_ad_packages
|
||||
Проверка наличия установленного мета-пакета(комплекта пакетов) и его версии, необходимого для аутентификации через sssd(task-auth-ad-sssd).
|
||||
.TP
|
||||
.B check_sssd_winbind_packages
|
||||
Проверка наличия установленного мета-пакета(комплекта пакетов) и его версии, необходимого для работы winbind(task-auth-ad-winbind).
|
||||
.TP
|
||||
.
|
||||
.SH REPORTING BUGS
|
||||
.
|
||||
.SH SEE ALSO
|
||||
.
|
||||
Loading…
x
Reference in New Issue
Block a user