forked from saratov/diag-domain-client
154 lines
11 KiB
Groff
154 lines
11 KiB
Groff
'\"
|
||
.TH "DOMAIN_DIAG" "1" "February 2023" "domain\-diag @VERSION@" "Manual DOMAIN_DIAG"
|
||
.SH NAME
|
||
.B domain\-diag
|
||
\- инструмент для диагностики состояния компьютера в домене
|
||
.SH SYNOPSYS
|
||
.B domain\-diag
|
||
[\fI\,options\/\fR] [\fI\,<check/test\-function\-name>\/\fR]
|
||
.SH DESCRIPTION
|
||
.B domain\-diag
|
||
содержит набор проверок и тестов, по результатам которых можно определить корректность настроек компьютеры для работы в домене, а также убедиться, что доступны все необходимые ресурсы домена.
|
||
.PP
|
||
.B domain\-diag
|
||
имеет модульную структуру. Модули можно вызывать общим списком или отдельно. Утилита позволяет записать результат в log\-файл. Процесс диагностики зависит от того, находится ли компьютер в домене или нет. Выполнение некоторых проверок требует полномочий суперпользователя. Для корректной работы необходимо получить Kerberos\-билет доменного пользователя.
|
||
.SH OPTIONS
|
||
.TP
|
||
.B \-h, \-\-help
|
||
Показать справку.
|
||
.TP
|
||
.B \-V, \-\-version
|
||
Показать версию программы.
|
||
.TP
|
||
.B \-v, \-\-verbose
|
||
Вывести подробные результаты диагностики.
|
||
.TP
|
||
.B \-w, \-\-logfile\fR[=\fI\,FILE\/\fR]
|
||
Записать подробные протокол журнала в файл по указанному пути. В случае, если путь не указан, то запись производится в файл ./domain\-diag.log. В случае, если файл уже существует, то запись производится в файл с постфиксом.
|
||
.TP
|
||
.B \-f, \-\-force
|
||
Перезаписать протокол журнала в файл по ранее указанному пути или по умолчанию.
|
||
.TP
|
||
.B \-l, \-\-list
|
||
Вывести список модулей проверок.
|
||
.SH USAGE
|
||
Если компьютер не включен в домен:
|
||
\- Для работы будет актуальна только часть проверок;
|
||
\- \fB\,domain\-diag\/\fR считает, что компьютер введен в домен, если control system\-auth имеет значение sss.
|
||
.PP
|
||
Если компьютер введен в домен:
|
||
\- от пользователя с Kerberos\-билетом (доменный пользователь успешно выполнил kinit);
|
||
\- от root с Kerberos\-билетом.
|
||
.PP
|
||
Если компьютер в домене, утилита \fB\,domain\-diag\/\fR выдаёт \fI\,FAIL\/\fR для тех проверок, когда несоответствие проверяемого элемента приводит к неработоспособности машины в домене. При выполнении программы не суперпользователем некоторые проверки могут быть пропущены (\fI\,SKIP\/\fR) или находиться в состоянии \fI\,WARN\/\fR. В случае успешного выполнения отображается статус \fI\,DONE\/\fR.
|
||
.SH STATUS OF CHECKS AND TEST
|
||
.TP
|
||
.I DONE
|
||
\- успешное выполнение модуля.
|
||
.TP
|
||
.I SKIP
|
||
\- пропуск проверки, при выполнении программы без полномочий суперпользователя.
|
||
.TP
|
||
.I WARN
|
||
\- предупреждение для некритических тестов в модуле.
|
||
.TP
|
||
.I FAIL
|
||
\- неудачное выполнение проверки.
|
||
.SH LIST OF CHECKS
|
||
.TP
|
||
.B check_hostnamectl
|
||
Отображает полную информацию о хосте и соответствующие настройки:
|
||
имя, значок, система, версия ядра, архитектура, информацию о виртуализации (при наличии).
|
||
.TP
|
||
.B test_hostname
|
||
Проверяет, является ли имя компьютера полностью определенным именем домена (FQDN).
|
||
.TP
|
||
.B check_system_auth
|
||
Отображает метод аутентификации пользователей, используемый в подсистеме PAM. sss \- компьютер введен в домен, local \- не введен; выводит содержимое файла /etc/pam.d/system\-auth.
|
||
.TP
|
||
.B test_domain_system_auth
|
||
Проверяет, подходит ли метод аутентификации для работы машины в домене (допустимые значения: sss, winbind).
|
||
.TP
|
||
.B check_system_policy
|
||
Отображает, какие политики применяются в процессе PAM\-аутентификации: local \- никакие, gpupdate \- локальные и доменные.
|
||
.TP
|
||
.B test_gpupdate_system_policy
|
||
Проверяет, настроено ли применение групповых политик в системе.
|
||
.TP
|
||
.B check_krb5_conf_exists
|
||
Проверяет наличие, отображает права доступа и содержимое файла конфигурации krb5.conf.
|
||
.TP
|
||
.B check_krb5_conf_ccache
|
||
Отображает текущий способ кеширования Kerberos\-билетов \- keyring, file, dir.
|
||
.TP
|
||
.B test_keyring_krb5_conf_ccache
|
||
Проверяет настроенный способ кеширования Kerberos\-билетов (для keyring).
|
||
.TP
|
||
.B check_krb5_conf_kdc_lookup
|
||
Проверяет включен ли поиск kerberos\-имени домена через DNS. Допустимыми значениями для "dns_lookup_kdc" в /etc/krb5.conf являются \- true/yes.
|
||
.TP
|
||
.B check_krb5_keytab_exists
|
||
Проверяет наличие, права доступа и дату последнего изменения файла /etc/krb5.keytab. В этом файле хранятся принципалы и хеши пароля доменной учётной записи компьютера.
|
||
.TP
|
||
.B check_keytab_credential_list
|
||
Отображает содержимое файла /etc/krb5.keytab (файл с учётными данными машинного пользователя). В этом файле хранятся принципалы и хеши пароля доменной учётной записи компьютера. Требуется запуск от root, иначе \fI\,SKIP\/\fR.
|
||
.TP
|
||
.B check_resolv_conf
|
||
Проверяет наличие и выводит содержимое файла конфигурации разрешения имен resolv.conf.
|
||
.TP
|
||
.B compare_resolv_conf_with_default_realm
|
||
Сравнивает домен для поиска (поле search в /etc/resolv.conf) с доменом по умолчанию, указанным для Kerberos.
|
||
.TP
|
||
.B check_smb_conf
|
||
Проверяет наличие и выводит содержимое файла настроек конфигурации Samba.
|
||
.TP
|
||
.B compare_smb_realm_with_krb5_default_realm
|
||
Сравнивает домен, указанный в файле конфигурации Samba, с доменом по умолчанию, указанным для Kerberos.
|
||
.TP
|
||
.B test_smb_realm
|
||
Проверяет корректное заполнение информации о домене в конфигурационных файлах Samba и Kerberos.
|
||
.TP
|
||
.B test_domainname
|
||
Сверяет доменное имя из /etc/hostname с именем домена в составе FQDN\-имени хоста.
|
||
.TP
|
||
.B check_time_synchronization
|
||
Отображает настройку синхронизации времени с сервером; выводит подробную информацию — часовой пояс, временную зону и т.д. Необходимо для корректной работы с сертификатами, клиент\-сервера, электронной подписью, билетами Kerberos.
|
||
.TP
|
||
.B test_time_synchronization
|
||
Проверяет, включена ли синхронизация времени.
|
||
.TP
|
||
.B check_nameservers
|
||
Проверяет доступность всех контроллеров домена по имени (host <domain FQDN>) и ip\-адресу(работает ли resolv.conf).
|
||
.TP
|
||
.B check_domain_controllers
|
||
Проверяет доступность всех контроллеров домена в домене (из srv записей). Отображает версии контроллеров домена (из ldap).
|
||
.TP
|
||
.B check_kerberos_and_ldap_srv_records
|
||
Проверяет наличие srv\-записей вида _kerberos._udp.<domain FQDN> и _ldap._tcp.<domain FQDN> для домена.
|
||
Требуется для корректной работы машины в домене. Без записей Kerberos, sssd и winbind не смогут найти контроллеры домена.
|
||
.TP
|
||
.B compare_netbios_name
|
||
Сравнивает короткое имя машины из /etc/hostname с NetBios\-именем машины в smb.conf.
|
||
.TP
|
||
.B check_common_packages
|
||
Проверяет наличие установленных основных пакетов и их версий (alterator\-auth, libnss\-role, libkrb5 и libsmbclient).
|
||
.TP
|
||
.B check_group_policy_packages
|
||
Проверяет наличие установленных основных пакетов и их версий для управления групповыми политиками (local\-policy и gpupdate).
|
||
.TP
|
||
.B check_sssd_ad_packages
|
||
Проверяет наличие установленного мета\-пакета и его версии для аутентификации c помощью sssd (task\-auth\-ad\-sssd).
|
||
.TP
|
||
.B check_sssd_winbind_packages
|
||
Проверяет наличие установленного мета\-пакета и его версии для аутентификации c помощью winbind (task\-auth\-ad\-winbind).
|
||
.SH AUTHOR
|
||
Written by Evgeny Sinelnikov <sin@altlinux.org>
|
||
.SH REPORTING BUGS
|
||
Отправить замечания на http://bugzilla.altlinux.org/
|
||
.SH COPYRIGHT
|
||
Copyright \(co 2022\-2023 Andrey Limachko <liannnix@altlinux.org>
|
||
.br
|
||
Copyright \(co 2022\-2023 Evgeny Sinelnikov <sin@altlinux.org>
|
||
.br
|
||
This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
|