diff --git a/domain-diag.man b/domain-diag.man new file mode 100644 index 0000000..7c019cf --- /dev/null +++ b/domain-diag.man @@ -0,0 +1,153 @@ +'\" +.TH "DOMAIN_DIAG" "1" "February 2023" "domain\-diag @VERSION@" "Manual DOMAIN_DIAG" +.SH NAME +.B domain\-diag +\- инструмент для диагностики состояния компьютера в домене +.SH SYNOPSYS +.B domain\-diag +[\fI\,options\/\fR] [\fI\,\/\fR] +.SH DESCRIPTION +.B domain\-diag +содержит набор проверок и тестов, по результатам которых можно определить корректность настроек компьютеры для работы в домене, а также убедиться, что доступны все необходимые ресурсы домена. +.PP +.B domain\-diag +имеет модульную структуру. Модули можно вызывать общим списком или отдельно. Утилита позволяет записать результат в log\-файл. Процесс диагностики зависит от того, находится ли компьютер в домене или нет. Выполнение некоторых проверок требует полномочий суперпользователя. Для корректной работы необходимо получить Kerberos\-билет доменного пользователя. +.SH OPTIONS +.TP +.B \-h, \-\-help +Показать справку. +.TP +.B \-V, \-\-version +Показать версию программы. +.TP +.B \-v, \-\-verbose +Вывести подробные результаты диагностики. +.TP +.B \-w, \-\-logfile\fR[=\fI\,FILE\/\fR] +Записать подробные протокол журнала в файл по указанному пути. В случае, если путь не указан, то запись производится в файл ./domain\-diag.log. В случае, если файл уже существует, то запись производится в файл с постфиксом. +.TP +.B \-f, \-\-force +Перезаписать протокол журнала в файл по ранее указанному пути или по умолчанию. +.TP +.B \-l, \-\-list +Вывести список модулей проверок. +.SH USAGE +Если компьютер не включен в домен: + \- Для работы будет актуальна только часть проверок; + \- \fB\,domain\-diag\/\fR считает, что компьютер введен в домен, если control system\-auth имеет значение sss. +.PP +Если компьютер введен в домен: + \- от пользователя с Kerberos\-билетом (доменный пользователь успешно выполнил kinit); + \- от root с Kerberos\-билетом. +.PP +Если компьютер в домене, утилита \fB\,domain\-diag\/\fR выдаёт \fI\,FAIL\/\fR для тех проверок, когда несоответствие проверяемого элемента приводит к неработоспособности машины в домене. При выполнении программы не суперпользователем некоторые проверки могут быть пропущены (\fI\,SKIP\/\fR) или находиться в состоянии \fI\,WARN\/\fR. В случае успешного выполнения отображается статус \fI\,DONE\/\fR. +.SH STATUS OF CHECKS AND TEST +.TP +.I DONE +\- успешное выполнение модуля. +.TP +.I SKIP +\- пропуск проверки, при выполнении программы без полномочий суперпользователя. +.TP +.I WARN +\- предупреждение для некритических тестов в модуле. +.TP +.I FAIL +\- неудачное выполнение проверки. +.SH LIST OF CHECKS +.TP +.B check_hostnamectl +Отображает полную информацию о хосте и соответствующие настройки: +имя, значок, система, версия ядра, архитектура, информацию о виртуализации (при наличии). +.TP +.B test_hostname +Проверяет, является ли имя компьютера полностью определенным именем домена (FQDN). +.TP +.B check_system_auth +Отображает метод аутентификации пользователей, используемый в подсистеме PAM. sss \- компьютер введен в домен, local \- не введен; выводит содержимое файла /etc/pam.d/system\-auth. +.TP +.B test_domain_system_auth +Проверяет, подходит ли метод аутентификации для работы машины в домене (допустимые значения: sss, winbind). +.TP +.B check_system_policy +Отображает, какие политики применяются в процессе PAM\-аутентификации: local \- никакие, gpupdate \- локальные и доменные. +.TP +.B test_gpupdate_system_policy +Проверяет, настроено ли применение групповых политик в системе. +.TP +.B check_krb5_conf_exists +Проверяет наличие, отображает права доступа и содержимое файла конфигурации krb5.conf. +.TP +.B check_krb5_conf_ccache +Отображает текущий способ кеширования Kerberos\-билетов \- keyring, file, dir. +.TP +.B test_keyring_krb5_conf_ccache +Проверяет настроенный способ кеширования Kerberos\-билетов (для keyring). +.TP +.B check_krb5_conf_kdc_lookup +Проверяет включен ли поиск kerberos\-имени домена через DNS. Допустимыми значениями для "dns_lookup_kdc" в /etc/krb5.conf являются \- true/yes. +.TP +.B check_krb5_keytab_exists +Проверяет наличие, права доступа и дату последнего изменения файла /etc/krb5.keytab. В этом файле хранятся принципалы и хеши пароля доменной учётной записи компьютера. +.TP +.B check_keytab_credential_list +Отображает содержимое файла /etc/krb5.keytab (файл с учётными данными машинного пользователя). В этом файле хранятся принципалы и хеши пароля доменной учётной записи компьютера. Требуется запуск от root, иначе \fI\,SKIP\/\fR. +.TP +.B check_resolv_conf +Проверяет наличие и выводит содержимое файла конфигурации разрешения имен resolv.conf. +.TP +.B compare_resolv_conf_with_default_realm +Сравнивает домен для поиска (поле search в /etc/resolv.conf) с доменом по умолчанию, указанным для Kerberos. +.TP +.B check_smb_conf +Проверяет наличие и выводит содержимое файла настроек конфигурации Samba. +.TP +.B compare_smb_realm_with_krb5_default_realm +Сравнивает домен, указанный в файле конфигурации Samba, с доменом по умолчанию, указанным для Kerberos. +.TP +.B test_smb_realm +Проверяет корректное заполнение информации о домене в конфигурационных файлах Samba и Kerberos. +.TP +.B test_domainname +Сверяет доменное имя из /etc/hostname с именем домена в составе FQDN\-имени хоста. +.TP +.B check_time_synchronization +Отображает настройку синхронизации времени с сервером; выводит подробную информацию — часовой пояс, временную зону и т.д. Необходимо для корректной работы с сертификатами, клиент\-сервера, электронной подписью, билетами Kerberos. +.TP +.B test_time_synchronization +Проверяет, включена ли синхронизация времени. +.TP +.B check_nameservers +Проверяет доступность всех контроллеров домена по имени (host ) и ip\-адресу(работает ли resolv.conf). +.TP +.B check_domain_controllers +Проверяет доступность всех контроллеров домена в домене (из srv записей). Отображает версии контроллеров домена (из ldap). +.TP +.B check_kerberos_and_ldap_srv_records +Проверяет наличие srv\-записей вида _kerberos._udp. и _ldap._tcp. для домена. +Требуется для корректной работы машины в домене. Без записей Kerberos, sssd и winbind не смогут найти контроллеры домена. +.TP +.B compare_netbios_name +Сравнивает короткое имя машины из /etc/hostname с NetBios\-именем машины в smb.conf. +.TP +.B check_common_packages +Проверяет наличие установленных основных пакетов и их версий (alterator\-auth, libnss\-role, libkrb5 и libsmbclient). +.TP +.B check_group_policy_packages +Проверяет наличие установленных основных пакетов и их версий для управления групповыми политиками (local\-policy и gpupdate). +.TP +.B check_sssd_ad_packages +Проверяет наличие установленного мета\-пакета и его версии для аутентификации c помощью sssd (task\-auth\-ad\-sssd). +.TP +.B check_sssd_winbind_packages +Проверяет наличие установленного мета\-пакета и его версии для аутентификации c помощью winbind (task\-auth\-ad\-winbind). +.SH AUTHOR +Written by Evgeny Sinelnikov +.SH REPORTING BUGS +Отправить замечания на http://bugzilla.altlinux.org/ +.SH COPYRIGHT +Copyright \(co 2022\-2023 Andrey Limachko +.br +Copyright \(co 2022\-2023 Evgeny Sinelnikov +.br +This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.