domain-diag/domain-diag.1.man

163 lines
9.3 KiB
Groff
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

'\"
.TH "DOMAIN_DIAG" "1" "February 2023" "domain-diag @VERSION@" "Manual DOMAIN_DIAG"
.
.SH NAME
.B domain-diag
\- это инструмент для диагностики состояния машины в домене.
.
.SH SYNOPSYS
domain-diag [options] [<check/test-function-name>]
.
.SH DESCRIPTION
.B domain-diag
содержит набор проверок и тестов, по результатам которых можно определить корректность настроек машина для работы в домене, а также убедиться, что доступны все необходимые ресурсы домена.
Утилита имеет модульную структуру. Модули можно вызывать как все вместе, так и по отдельности. Есть опция записи результата в лог-файл. Для выполнения некоторых проверок требуется запуск с правами суперпользователя (без прав суперпользователя такие проверки и тесты помечаются статусом SKIP). Также для корректной работы необходимо получить Kerberos билет доменного пользователя.
Результаты работы утилиты различаются в зависимости от того, является машина членом домена или нет. Членство в домене определяется по настройкам PAM стэка (control system-auth). Машина считается членом домена,если system-auth любое значение, кроме local и unknown.
.B
Сценарии применения
Утилита выполняется с правами доменного пользователя (убедитесь, что Kerberos билет получен).
Утилита выполняется с правами суперпользователя (root). Необходимо получить Kerberos билет вручную с помощью kinit <имя пользователя домена>.
- Если машина не введена в домен, утилита всё равно сможет выполнить большинство проверок окружения и доступности ресурсов домена.
- Часть проверок отработает и без Kerberos билета.
.B
Результаты волнения проверок и тестов:
DONE - в случае успешного выполнения модуля.
SKIP - при выполнении программы не из-под рута некоторые проверки могут быть пропущены.
WARN - предупреждение, при не критических тестах в модуле.
FAIL - в случае существенного несоответствия, которое приводит к неработоспособности машины в домене.
.
.SS OPTIONS
.TP
\fB-h, --help\fR
Вызов справочной информации.
.TP
\fB-V, --version\fR
Отображение версии программы.
.TP
\fB-v, --verbose\fR
Подробный вывод результатов выполнения скриптов.
.TP
\fB-w, --logfile[=FILE]\fR
Подробный вывод логирования записываются в фаил по указанному пути. В случае, если путь не указан, то запись производится в файл ./domain-diag.log. В случае, если файл уже существует, то запись производится в файл с постфиксом.
.TP
\fB-f, --force\fR
Логи перезаписываются в фаил.
.TP
\fB-l, --list\fR
Список проверок и тестов.
.
.SH LIST OF CHECKS
.TP
.B check_hostnamectl
Отображает полную информацию о хосте и соответствующие настройки,
такие как - имя, система, версия ядра, архитектура,
если есть то информация о виртуализации.
.TP
.B test_hostname
Проверяет, является ли имя машины FQDN.
.TP
.B check_system_auth
Проверка наличия механизма переключения наборов PAM модулей для аутентификации. Отображение текущего состояния, а также вывод седержимого файла /etc/pam.d/system-auth.
.TP
.B test_domain_system_auth
Проверяет, используется ли набор PAM модулей для аутентификации, отличный от local. Подразумевается, что в таком случае машины находится в домене.
.TP
.B check_system_policy
Какой инструмент применяется для работы групповых политик, его расположение в системе и настройки.
.TP
.B test_gpupdate_system_policy
Проверка что настроено применения групповых политик через - gpupdate.
.TP
.B check_krb5_conf_exists
Проверка наличия krb5.conf, прав доступа к файлу, а так же вывод его контекста(содержимого).
.TP
.B check_krb5_conf_ccache
Вариант кеширования учётных записей(keyring, file, dir).
.TP
.B test_keyring_krb5_conf_ccache
Проверка установки способа кеширования в - keyring.
.TP
.B check_krb5_conf_kdc_lookup
Проверка включен/выключен ли поиск kerberos-имени домена через DNS, или вовсе отсутствует.
.TP
.B check_krb5_keytab_exists
Проверка наличия файла krb5.keytab с kerberos-парами принципал/ключ, и прав достура к нему.
.TP
.B check_keytab_credential_list
Вывод прав доступа и даты последного изменения файла кеша Керберос,
а котором хранятся принципалы и хеши пароля доменной учётной записи пользователя,
с которым ассоциирована та или иная служба в Linux(требуется запуск от root, иначе SKIP).
.TP
.B check_resolv_conf
Проверка указания домена(ов) для поиска, вывод содержимого resolv.conf.
.TP
.B compare_resolv_conf_with_default_realm
Сопоставление домена для поиска и домена указанного для Кербероса.
.TP
.B check_smb_conf
Проверка файла настроек конфигурации Самба.
.TP
.B compare_smb_realm_with_krb5_default_realm
Запрос домена указанного для Самбы и домена по умолчанию указанного для Кербероса.
.TP
.B test_smb_realm
Проверка соответствия домена указанного для Самбы и домена по умолчанию указанного для Кербероса.
.TP
.B test_domainname
Проверка вывода имени домена включенного в FQDN имя хоста.
.TP
.B check_time_synchronization
Проверка часового пояса, настройки синхронизации времени с сервером.
.TP
.B test_time_synchronization
Тест включена ли синхронизации времени.
.TP
.B check_nameservers
Проверка доступности всех контроллеров домена по имени
и ip-адресу(работает ли resolv.conf).
.TP
.B check_domain_controllers
Проверка наличия srv-записи, ip-адреса и верного указания FQDN для контроллера домена,
а так же ldap-запрос (зачем требуется?).
.TP
.B check_kerberos_and_ldap_srv_records
Проверка наличия srv-записи Керберос и LDAP для домена,
а так же ldap-запрос зачем требуется?).
.TP
.B compare_netbios_name
Сравнение префиксов имени машин в Самбе и указанного в /etc/hostname.
.TP
.B check_common_packages
Проверка наличия установленных основных пакетов и их версий
(alterator-auth, libnss-role, libkrb5 и libsmbclient).
.TP
.B check_group_policy_packages
Проверка наличия установленных основных пакетов и их версий
для управления групповыми политиками (local-policy и gpupdate).
.TP
.B check_sssd_ad_packages
Проверка наличия установленного пакета
и его версии для аутентификации (task-auth-ad-sssd).
.TP
.B check_sssd_winbind_packages
Что это? пакет для аутентификации в АД через что(sss?).
.TP
.
.SH REPORTING BUGS
.
.SH SEE ALSO
.