diff --git a/domain-diag.1.man b/domain-diag.1.man new file mode 100644 index 0000000..d20468e --- /dev/null +++ b/domain-diag.1.man @@ -0,0 +1,158 @@ +'\" +.TH "DOMAIN_DIAG" "1" "February 2023" "domain-diag @VERSION@" "Manual DOMAIN_DIAG" +. +.SH NAME +.B domain-diag +\- это инструмент для диагностики состояния машины в домене. +. +.SH SYNOPSYS +domain-diag [options] [] +. +.SH DESCRIPTION +.B domain-diag +содержит набор проверок и тестов, по результатам которых можно определить корректность настроек машина для работы в домене, а также убедиться, что доступны все необходимые ресурсы домена. + +Утилита имеет модульную структуру. Модули можно вызывать как все вместе, так и по отдельности. Есть опция записи результата в лог-файл. Для выполнения некоторых проверок требуется запуск с правами суперпользователя (без прав суперпользователя такие проверки и тесты помечаются статусом SKIP). Также для корректной работы необходимо получить Kerberos билет доменного пользователя. + +Результаты работы утилиты различаются в зависимости от того, является машина членом домена или нет. Членство в домене определяется по настройкам PAM стэка (control system-auth). Машина считается членом домена,если system-auth любое значение, кроме local и unknown. + +.B +Сценарии применения + +Утилита выполняется с правами доменного пользователя (убедитесь, что Kerberos билет получен). + +Утилита выполняется с правами суперпользователя (root). Необходимо получить Kerberos билет вручную с помощью kinit <имя пользователя домена>. + +- Если машина не введена в домен, утилита всё равно сможет выполнить большинство проверок окружения и доступности ресурсов домена. + +- Часть проверок отработает и без Kerberos билета. + +.B +Результаты волнения проверок и тестов: + +DONE - в случае успешного выполнения модуля. + +SKIP - при выполнении программы не из-под рута некоторые проверки могут быть пропущены. + +WARN - предупреждение, при не критических тестах в модуле. + +FAIL - в случае существенного несоответствия, которое приводит к неработоспособности машины в домене. + +. +.SS OPTIONS +.TP +\fB-h, --help\fR +Вызов справочной информации. +.TP +\fB-V, --version\fR +Отображение версии программы. +.TP +\fB-v, --verbose\fR +Подробный вывод результатов выполнения скриптов. +.TP +\fB-w, --logfile[=FILE]\fR +Подробный вывод логирования записываются в фаил по указанному пути. В случае, если путь не указан, то запись производится в файл ./domain-diag.log. В случае, если файл уже существует, то запись производится в файл с постфиксом. +.TP +\fB-f, --force\fR +Логи перезаписываются в файл, по ранее указанному пути(или по умолчанию). +.TP +\fB-l, --list\fR +Модули проверок и тестов. +. +.SH LIST OF CHECKS +.TP +.B check_hostnamectl +Отображает полную информацию о хосте и соответствующие настройки, +такие как - имя, система, версия ядра, архитектура, +если есть то информация о виртуализации. +.TP +.B test_hostname +Проверяет, является ли имя машины FQDN. +.TP +.B check_system_auth +Проверка наличия механизма переключения наборов PAM модулей для аутентификации. Отображение текущего состояния, а также вывод седержимого файла /etc/pam.d/system-auth. +.TP +.B test_domain_system_auth +Проверяет, используется ли набор PAM модулей для аутентификации, отличный от local. Подразумевается, что в таком случае машины находится в домене. +.TP +.B check_system_policy +Проверка наличия мехинизмов для работы групповых политик(PAM модулей), Отображение текущего состояния, а также вывод седержимого файла /etc/pam.d/system-auth. +.TP +.B test_gpupdate_system_policy +Проверка что для применения групповых политик используется профиль PAM - gpupdate. +.TP +.B check_krb5_conf_exists +Проверка наличия файла конфигурации krb5.conf, прав доступа к файлу, а так же вывод его содержимого. +.TP +.B check_krb5_conf_ccache +Проверка что настроено кеширование учётных записей(keyring, file, dir), отличное от - "unknown". +.TP +.B test_keyring_krb5_conf_ccache +Проверка соответствия установки способа кеширования учётных записей - keyring. +.TP +.B check_krb5_conf_kdc_lookup +Проверка включен/выключен ли поиск kerberos-имени домена через DNS, или вовсе отсутствует. Допустимыми значениями для "dns_lookup_kdc" в /etc/krb5.conf являются - true/yes. +.TP +.B check_krb5_keytab_exists +Проверка наличия файла krb5.keytab в котором хранятся принципалы и хеши пароля доменной учётной записи пользователя, с которым ассоциирована та или иная служба в Linux, и прав достура к нему. +.TP +.B check_keytab_credential_list +Вывод содержимого krb5.keytab(и всех принципалов в нём), требуется запуск от root, иначе проверка будет пропущена - SKIP. +.TP +.B check_resolv_conf +Проверка наличия файла конфигурации разрешения имён, указанного в нём домена(ов) для поиска и серверов имён, вывод содержимого resolv.conf. +.TP +.B compare_resolv_conf_with_default_realm +Проверка соответствия домена указанного для поиска, и домена по умолчанию указанного для Кербероса. +.TP +.B check_smb_conf +Проверка наличия файла настроек конфигурации Самбы и вывод его содержимого. +.TP +.B compare_smb_realm_with_krb5_default_realm +Проверка соответствия домена указанного в файле конфигурации для Самбы и домена по умолчанию указанного для Кербероса. +.TP +.B test_smb_realm +Проверка соответствия домена указанного для Самбы и домена по умолчанию указанного для Кербероса.(зачем надо? похожая предыдущая проверка) +.TP +.B test_domainname +Проверка наличия имени домена, включенного в FQDN имя хоста. +.TP +.B check_time_synchronization +Проверка настроек синхронизации времени с сервером, отображение подробной информации. +Необходимо для корректной работы клиент-сервер, c сертификатами, электронной подписью, билетами Керберос и т.д. +.TP +.B test_time_synchronization +Тест включена ли синхронизации времени yes/no. +.TP +.B check_nameservers +Проверка доступности всех контроллеров домена по имени +и ip-адресу(работает ли resolv.conf). +.TP +.B check_domain_controllers +Проверка наличия srv-записи, ip-адреса и верного указания FQDN для контроллера домена, +а так же ldap-запрос (зачем требуется?). +.TP +.B check_kerberos_and_ldap_srv_records +Проверка наличия srv-записи Керберос и LDAP для домена, +а так же ldap-запрос зачем требуется?). +.TP +.B compare_netbios_name +Сравнение префиксов имени машин в Самбе и указанного в /etc/hostname. +.TP +.B check_common_packages +Проверка наличия установленных основных пакетов и их версий (alterator-auth, libnss-role, libkrb5 и libsmbclient). +.TP +.B check_group_policy_packages +Проверка наличия установленных основных пакетов и их версий для управления групповыми политиками (local-policy и gpupdate). +.TP +.B check_sssd_ad_packages +Проверка наличия установленного мета-пакета(комплекта пакетов) и его версии, необходимого для аутентификации через sssd(task-auth-ad-sssd). +.TP +.B check_sssd_winbind_packages +Проверка наличия установленного мета-пакета(комплекта пакетов) и его версии, необходимого для работы winbind(task-auth-ad-winbind). +.TP +. +.SH REPORTING BUGS +. +.SH SEE ALSO +.