PNG  IHDR;IDATxܻn0K )(pA 7LeG{ §㻢|ذaÆ 6lذaÆ 6lذaÆ 6lom$^yذag5bÆ 6lذaÆ 6lذa{ 6lذaÆ `}HFkm,mӪôô! x|'ܢ˟;E:9&ᶒ}{v]n&6 h_tڠ͵-ҫZ;Z$.Pkž)!o>}leQfJTu іچ\X=8Rن4`Vwl>nG^is"ms$ui?wbs[m6K4O.4%/bC%t Mז -lG6mrz2s%9s@-k9=)kB5\+͂Zsٲ Rn~GRC wIcIn7jJhۛNCS|j08yiHKֶۛkɈ+;SzL/F*\Ԕ#"5m2[S=gnaPeғL lذaÆ 6l^ḵaÆ 6lذaÆ 6lذa; _ذaÆ 6lذaÆ 6lذaÆ RIENDB` *lq. .8..X/Cl/!///b0$e171M125$646D6&97A`77!888K9p:x:2:W2;_;-;)<2B<Nu<V<G=:c===g=]D>H>D>L0?s}??n@XQA0A\Ar8BmB`CUzCWCP(DyDvE^E{EpFL GZXGGQHIIKqL MgNO)OmyOOvP QsQRR{`SVSh3TTVWWw[X>XaY3tYY:ZZ2ZKZ^[zs[[[|J\\{]T-^e^o^|X_7_> `OL`n`< agHaqa9"bK\bPbcd5ceUeevfU3gg5RiijjkPkL%lwrlclNmmmn ooYppq^ss]tZu7wuZu v8v9vnwzl{|}\~=C1} a'S6 knx?ʘ\ -zo\b} JtVC˪.E> Z,{G H + u$VF^Kt?'):P%kn]mT [R !!"K~&&*))l)'3,[-y-\r/H/k0\15;<f@[FwNV#X5pvvwqx CyPyzzqn{t|U}x6~C~S~#Gk[PYh R#*Ee|ȉ1!J lŊ4%Tz!p',2*N:yH8J6>4<>2:q8LF2Jy>Đ8F<@Jđ@<P:0Ȓ.8(6a:0ӓ84=0r./Ҕ4<7TtXɕ4"EW0.Ζ0<BA ԗ E^\8!8-Xƙ 2 L?   Ϛݚ 'Eewśٛ3Mi lv   Ĝќ0!'Rz67ȝ% &3XL"tȞ=9ˠߢm ~2GF)M&w ק '%A.g().-/D.tPP3N   ͪ٪ݪ" +HM^Vīw٫Q ` n {x   .A R ^hpȭ!ѭ %"0Hy-2Ů0 B O[ _1m51կ7?To#6߰ "7+.c%ر )ATkʲ" 8Yi~ͳ"(B8R09\Sk  ;ٵ%; L=W!/$' .40c"Ϸ"9%QEw!ڸ$%!8G. й /Ic,0<ߺ.)K(u+,߻! %.1T% 2Ӽ#C_$~۽%1"Wz$"ھ!(H$h&0Կ3&9!` %&6L1=)W+#!'?!Xz .*(@S8:$:B}\2 ADMP5J(MsLO^m3 !/,0\ +Fi*     ,3D_"e2)( 2$MYr,1?+*k1+2*'1R11B++0W).@/"/R27-*45_  Q :|0D/u**5+Eqw$  1>!Su ~ "-,=*j    0F_s   $,J1R "# " 0GO-`!  >>]l*  ,#H lx V5*5D`_+1[o(& &Gn!) = IUr";L(^##4&+ AIb(  &6L e &28PUO[21@#d s %&$ -:R ["g$ }/P  # A&JHqI$C;'  9Zv"%'+=M!j)+B'Si{* G T a oz  )<43=q#  ;BV kv  7 $ 6D--4CAx-R* }~! V&: a k3y} + 8B Q \9f\,4as?-+"5 K!Xz(%24$G lz'+.!;N1i   /M` x 6Qf!(=W g9u /Dbu[\w    !2Me|$% <&] ';$c &$#!7&Y!/Nl&-;i#CUU@   ) $5 #Z 0~  d A C]  !   ) E  L X _ f x  @     & ; S !i  : E  & 74 l u %   % 2L!i!;=M'PuORi'8&R,y-20+8.d$''!&*(Q:z<%'&@"g!4'" !,,N"{/0*%*)P*z)'.-&*TC W+("T#w02'2Gz&F.+.PZ) @ ? KXEx  <V eq$+ #27F [i~   ?#U y$$ .E Z { !! W; V  ! !"!5!L!,i!!!*!)!","-I"Iw"f"(#8# Q# [#h# |## # #&# ##;##$4B$ w$:$6$ $%%,$%Q% e% p%}%%!%% %%& &%&5&S&r& & &T&%'+'RF'?'3'1 (?([(v((( (())2)I)h)#))$))*<*R*0n*,**0*+(+?+V+F\+%+ + ++I+@,X,%x,&,(,&,)-"?-%b-$-"--!-).9.;K.. ..!. ... // / $/./;J/(/$/%/ /0$ 000F60=}0J0 1&15:1p1.1311 2 2 #202X?2,22 2223 3344(4F4 N48[4414 444!5*5E5sW5T5 6/6K6Q6k6{66 66 666 667737I7 [7"i777!77 777 -8 88E8X8 l8 z8 88.8 8 88 99=9Q9l9 999 999:&: F:%Q:/w: :: :=: ;;;2;G;L;Af;; ;; ;$;& < 0< ;< E< S<Oa< <!<<=*=@=Y=$o== =3=="> %>0>>????? ?;@>>@$}@'@@@"A,%ARA [AeA mAzAAAAAB BBC C;C+ D8DLDeD~DDDDDD DD EE )E7ElGEuE *F5FEFVF hFUtFFFF GH #H .H*;zzzzLz{ { {{0{G{`{Cy{{5{|#|6|;|V|q|8|*||- }+;}g}}}}}}~~7~uT~'~~~~  (3M U _3j243:Mc,uπ+!iM8 ( 5JBdbVU42>;[G=߄=# a kx΅ޅ .-\l. JX^ gt  χ؇܇     =) gs'|2ƈ(";O&e"!ȉ  ":4Iwmu8.ƍ  <M]q> 5͎37%Rx7Ϗ! .-\5p CPYhx}8Ǒ ؑ<uE;ے8P_{B+ړ:$J oy Ŕ ДG۔(#L#]/Ǖە   5(#^RՖd V&b ʗ'=X `7  ØИ    -<M_oƙٙ ,<K]l}К"3D>V* 0Λ  .5*K`vל0&9&`= ŝѝ   ' <Hb5jŞ9(ʟ"54F8{4G:1l49ӡ /:A1|("ע;36#j "#ң>*5:`$ä 2''*O3z5.'; Xyզ*;1Y%$ͧ(%A`43Ө159Ao./&*76b(%ª4*4H7}*%;8B5{%>׬-4#C#g",7 d~p 6'<^8Qԯ &1Mið3ɰ .G\(xC# -1C8u<8=$;b@>߳8>W9:дG S[!yJ+%#8*\1/߶M\]aҷ4;MT/g&Ÿ $ &*Q@X   ¹Aȹ   *<5B x (+ź(/ Xe'y 543L \iz<//&0V½ƽݽ%7)sa9վ  + 5 @L]t  ǿ ѿ ܿ    -HXhx 4 +KGN2) 9Zx#2Ld}  "%9 _!!3Pm!#-E1\25/4'\9n.3- 194k-16074h705H%Z$*<,O |  1 A NYw@W [a   >Q3X2    ) #J#n(]4N#$!9Rl !CS7JCDW . %1H77 CL huz    4#Qu*4 /L*` L4@,m  ( @Nl},, 2 =I am.B>X gr z%% ,4<A[ o|        -=kz  ! ) 7C_+z,+ $ 0 7A S `6l, 4!>`8. guI;&-)T"~b>C1[))**WF04+20:c-GMHbjsL+SK1)5vLZ!@(Z*1%WEu(5,G&V }0 %'/iA& &+!Rt& Da6z(%'=ekz   -=-8<Scz* >./&^ *7 *'Rl*C'.6ce"ub-2#9W?<'7O(k&),0"Psx"  &AH e o{   *)AT  7 $1@Z jOx !  %EU!f0   -(9VK %F `k+),,*@kt %  (7I Z e s ~ '&&. U&vLc fp0 #8^248gp#&5*\Y   "1T&j/'+ 84 Rm  % = SB %   4 =* 3h        & ++  W !e " '   L W $g & $ ! P QK"!D,'HT$#?>Tdhl%4+9/e)#   $#(Hqx@04N ^ks7y')SWt*}*#;"3"V'y1$ 16 = Kl}B   !Z+ 0X$.*(Y  )FC(( Q"r# *.N i -&.T&  '( P n          !!!$1!:V! !!!!!!""."$A")f"""""" # *#%K#q##!## ##Y$ b$l$}$%$ $$1$#*%"N%$q%.% %%%%W &a&u&&&%&\&%E'Ck'A''(&(A(AY((P(,(()T1))#)#)&) **&*%6* \*%g* ***+**(*'+D;+ +++"+$+ +H,4L,D,1,&, -R,-- --F-"-%.J>.0.... . . .. /O%/u///s/90A0I0R0j00 0 000H001-1G1b14k1 1911 2%2 42 ?2=K292'2 22 3 3-3B3 Z3 d3o3v33-3K3#4*,46W4T4 45565<5 P5 ]5 k5v5555D5<6S61n66666B687">7Ca7.7,78!81878=8L8\8c8}88[:Aj::q:Q>;.;@;<0=K=Z>a>B/CA DYOD2D^D^;E)FFF[GHH=%IjcInI;=J4yJ<JkJoWKQKIL`cLvLn;MSMZM_YNNGOAPaP8'Qq`QQwcRkRaGSbS[ ThTUvUVV[QWhWXXYZ3\M]]}_^!``a|aHb{bZc+dneoseeff\hiizj@ kiMkCkk?l9lQ3mpmmqnnodpv@qyqv1rrH9s@sQstRtytuuR v_]vvLxxHy-zz{\?| |G~~F`ʁb+q PʆqBuƊ<p ~@DɍKfJ~1|,]۔9')<;ՙ-Ś, ܢ!v7ӵoxӷ 2&Yx^z ]BRBLjMH LH 3` { %c :''*'("(?(#[(1((\;NM&NtP /Q.6Du3 "m,6[Ac(>#  1?>Y~`+90e!"*+>9j42+ 8SFm@XNp_R#@ R%_ #!' +9  . ?LSiy!2"*-<X(-L9<R 68 69 Dp   ! 6 CN -     D ;V < 4  9$ +^  ' - " $ D d - ; % "/4d#}" 19)k2M?5;uk$%Bh/P5.!dW2D$0i2C:3L!*)% &>2ee3+22^<]<,:i-)$$6%[(>EQ/C8-,AJD47G>1E#,>P&&1-3=#q*#37(P2y&@2:G0721 BP > 7 + !'6!^!~!)!(!-!+"8K"E"%"$"# 5#6V#!#<#;#0($,Y$.$%$$$ %)!%K%$a%%%% %%4%8&UM& &I&N& F'.g'L''' (&(G( )T)ar))C)b/*_*g*sZ++ +',,*,FW,,,,,A,@'-"h-@--X.4."/7/@/ O/[/ p/|/ ///d0 161IR1+111)1*'29R2d212E#3Oi303C32.4Ea4.4A415BJ5P585F6@^6P6d6DU7C7A7 8D*8o8:888@9B9K9[9ev9 9)9::5\;:;;-;/<7B<0z<<<<<< =.?=2n==!=&=*= (>6>??H-?Pv????" @*-@#X@|@@@@@@!A @A!KAmAtA5A6AA%B :B&EB lB6wB(B&B(B.'C/VCCCCHCD-DMD6PD D D DDaD, EME]ExEQ{EEEE F!F&5F@\F7FFFFGcGyG}GLGAGeHzH7INIJJ]K L=L7L:/MjM78N4pN$N NNNO,O?O_O tOOOOOO+ P*6P"aPBP5PP(QR:Q7QQ QQ%QR5RQR,oRRR/R;R11SOcSSScS$TQV{({({3{-|3I|%}|+|'|%|3}:Q}*}4}(}@~4V~3~9~4~)."X!{+*'& C*d!#8Հ#<2;o20ށ&'6-^"Q^B` Ӄ 1EJ xYgnօ))%H3n džΆM  [(gÇ", (M?vR B a%m6'ʉ*;#Y#}%/NJ0P(Uybϋc2gh-g%׍"$))N%x37ҎA GL;5Џ8+?/k1'͐1-'KUC--,A(n'>887*p:-֓D9I.39/ -P/~FE<;Ux Ζ~ۖ*Z*)#ڗ4<3,pI0W321\AM [+.=clЛ$C4x0:3Baȝٝ  $6Kaz(۞& -!82Z#&7؟01H,z+Ǡ   .+"Z{})Ԣ4: 6[+<ţB-E3sJtg &1 BL f t;~ Ŧ]ͦ'+KSeRl}@ /:L@!ȩ 2K%](-֪<$ϫ_NT@C+(&T*{!,ȭ3*)*T(*3Ӯ(?05p1)دQ.mE<D>)7DZN1S˲N*k,8ó:678n00ش1 ,;'h*=F[!b & Ѷ   <+/h+=ķ 3HMOS_Q3hW 8dN'ۺ48$>=|  Ľ9Ƚ  F!aA žоؾ%1F[m^ o!!$ 2HWl *&Q0Y5 M 8 ERj    ` ) 6C_&w#% (C V w,, )7(`pxA2"8W[9 >D R04P? 12(d ="1,< (//4_L\3>4r! 34 S ^j}$*+()?i}8V+ ?4'F.n%#$< Ydv O  *S7* s( 61--[vBI:>W!  iJ7!*!ELg &9;L7!C&:!Oq5A   1;,U%"$'$Lq"' * I;SG;g-`Zo&~]@%W%}&F3.b?   *2] l  B'@S s^ 2&9Y$i0@?q%p v("Fck;t0 | "=Xp  D)Ku#y70()?i-p05%B5\z1 B?9   # 9C ]j   <=3q Q 4AI O>]:GNG,'%$M7r;@H'Lp3;-!G&i   0J]p  6QgC! ',2ToLD[m!(3%?_s/3/#2V%k&F.N"m-&'' 25$h* $281)j4'=+/2[?3235(i! **&+&R y"7"1/Jcz&&,$In!4%(*&Q)e**% 'A-X%)1 9 M j     ) # !. P i 1  %    &/ 3V * $ %  & &@ >g % / + !( -J gx   : CPLn  .<QAdLscgk4FK_G" !7GXm! ""/*#Z~ 3L{:Jc/})!! &B=i=?%:+Jv>, M"Lp"!d g t B2&=Y 8&%_>D&A!^#!!@)4 + 5  O ?Z    < A H=!N!"!$!"E;"-""'")"#.>#m#@$O$g$$$$a$!%%n5&&N&W&hS'`'q(b((J(C) \)i)))")))**.*C*.Y****#+%++ ++,,3,(O,*x, ,,,,,,,, - -L-l- }-1--&-J-?I.&..(.$.)/0C/$t/4/&/(/!0&@1g1A223H74<4 4,4 45.5@5Z5To5 5S5_$66.6$6 6E7#J7(n7 777;77D8 Y8]f88}8U9n999D99 :F:^:Q:B;;F~; ;;%;e<.< <J<%= )=4=N=a={= = =i=>&>3;>o>D>>>1>?0? N?N\?&?h?';@yc@ @1@A&$AKAZA*jAA AA/A"B ?B'IBQqBBBBCC+C >CLCeC}CCCCCDD:DUDqDDDDDDE.EGEcE|EEEEEFF6FPFlFFFFF_FAHGGBGGG H&H-H*FHqH*H,#I=PI5I<I<J>J,TJJJJJJ J K%K EKGQKKKKAL6M9M#RMvMM<M:M8NYRNFNN"O@6OEwOOOOFP=NPBP6PNQAUQ+Q%Q&Q1RPBR;RORS=S0OSSDS2S4 TDBT;T8T4T"1U+TU*U%U!U'U3VBOV7V;V.W*5W7`W,W%W#WBX$RXDwX3XDXR5YAYDY3Z:CZH~Z3Z-Z:)[3d[D[C[9!\+[\J\C\G].^]Q]]]^!^29^0l^^6^#^_"+_CN_ __!T` v`P`N`H7a`aa3a3/b&cbbb b*bb0bc/1cacBc"c!c-da6d8d d dde8eVReZeVf[[fWf^g\ngVg\"hWhXhe0i i-i#ibi/Vj<jEj> k4Hk }kAkAk^ lgkll{l jmtm mm8mm n n."nQn$dnn0nnCnoo 0o=oLo^So ooooo<p>p Up'ap@p+pp"q7q?Vqqq>qrErDarHrrrs$0s&Us|sXsDsY8tSt*tu u1u5uUusu/uAuuI{vvv vv ww*3w.^w.w)www xx2x ;x Ix Sx]xpxxxxxxxy/yFyJy \y hysy(y'ySyS-zGzzz&z({1E{w{/{{{ {H |i|||+|,|)}>}]}y},}2}(}" ~(C~4l~&~,~'~(#Fj#+4' ?`7;;1/:aMBKDAJ҂DGbIRHGQDN'vą0ۅ1 '>%f%%؆@-n  ȇ ԇ$+ Ef( ̈ ׈%D@ik[dvFʊIAc ‹#ы *9F< ƌ!* 4<Iɍ)=Pg3}7!"  .!Oq ՏH]<"֐vk^_ʑ*39E!+Ȓ%*/ZTNW !Ԕ- 3$Kp'>Ε ()(R#{&>Ɩ)/7IJM7US'%5.E#t ͙< &4Rc!6њ&7"W!z/?(Xhߜ  2 1S !- ' <Jc}& Ξ ڞ   &4>s,Ɵ(Ba}   965T)ȡΡס  F  P*qɢ- ,SICC3-#DehPΧ:64q&-ͨ<&8h_Rȩ;>W=VԪ-+^Y\F\IgЭ*8ec#ɮB60HghN049%Y!!.ñ8"+NN8aֲ+8d4t/B1 @3N|ʴ#G k-w)ĵ53$"X2{׶  VvFܷ4<T5Y( ¸)59GS|5к@Gg{$ ѻ!ܻS mK{3Ǽ  F'Fn7L&:a%0K׾3#7W-@#E;61rYiQh#*2 "<(_1/)5<J*. /&%Bh 3$:1V*  )1IH{\ !-CZ!rL#&,A$V{a6:H1!6"PY"-M/hEZ9*K v5:#+@l'=3Sc x C Ni| * 8D&^1 , *:3eo x/y;"^b2sk:A9",-3 rA   5'T7|949#]D}s!66XZ2l!9@5Y"#64E;z)).$.S q&,:S=53;4oUEe@H+j7 |4Y \/0%V-o5    !/&V^!~O7=(f xG5?S!: ZG2\,2%_1BAUDP I"#F[ha&%L\ HFWH+t&&/@N]6N:k%361"h 6-%#?'c*%'=ES3'  #'K4j#   (5Ka7I6Li(( *</g.!# -!H)j.&$$".Gv29O (<-4>-sB 0 m:%!7&w^=SJh!# N1g40}A#,;EL P &-1 _k zA/<VK .. AdMWS :^ 1  l H b u g 0 -# VQ E       / B a p~ #   4 S     3 ;IXami!" !=_Qh/C.#E iw~|v7 , H Tair=S)#8MCr!=_z )',D qr|\"L>o,0 )tB @}cK'3[u | CA Ja{-o { )  e  $ l{ [ o pZ$ Aa / J fl* 9  EM , "` yo8  P m_ E tF # w  E m s 9 L _ p U X m #: 4v~ mwe c= g } sTB3 J  5 F@ v Ch ! B-4 T.< !db8 1T p  I h %?  f  ` % ^  YV   - N4+ \ ' z  I SW! \ 3~ CC v] @& Cx  G ) - u @ / c" $ 0  mw  ?1 F@ PV ^k k 5f ?  i r   <  + $ c   # ? R| &S4 uM;$  S= O ny [ L Cs ` : U nK A  A DXR   5| w 2@-,  c K ) P |L  (K ] t   5 + H'  - 4+  f} | }   .  J L    &| I } 5$_ a D i  l 9  A b[[E D= |~ #GN F _v rM   / <  h?n:  T x m \X<q L { W 6  ( D; 6 7    (    L+N_ H;  R <U(Le  g #8    += 2  b:OB 0 HC4z: 7 / jcFg J 6 + H M  D G #m2 " $!r " 1` C J bl  lP 5 .n U*^K %    )05  t uU B | ;:vX 1 Y x#/  ) =X  y Q *  ! y 6)x=   WNI .> pO*a Q  Yw GN xI g hq <   a'  Q^ 7 R qh qf ' pU7 *   S! c g n 9 V'Xq  N k y,   NO ' o  X D f  ]$9 y \ n a S< P+ x   V*` U  ]  k/EG R   Gj K !> ow Z:  [ Es S 'TY ( V 2w O > 'Hv~>k   z{u Ih "Q ( ! 6 t G [ e  S Q  -zi c.   {  ~ ACN @ C  ~ ^ >B *  R  F j i  I  A/   9p g  =nd Ab ;' ALQ:   C m %  j  P< #J ; p1ix Z_> s N@r } ] W ^ V}F m ,N4   : $  kl &k    ,=2 i ;(x m   <  c Hq X V?, b D &   h,ob! b^Q  u .3L[ T`Q Yf z   Z j6 {* +_aZ 9  B p x5 z UEh  U`P GKJ)Yvg 9   ;  . @  u1F   B 9 2. V : % & q lF    j ~7d H  te #.^ cy /  j  t b   Pp } 4  w o 6 vV [  X  " u , % "` & >KFa S }wz `3 +M t m   EZ   ! H 0 3>(u  7l  + s"-  i s )   S<k H 3aD s i|< Qu`  9  w  B  c %n B g 0  z*    n kD  o <  4:    D 8 _    ' "Ha 2 EJ r 4 W  I.\ 3 b { HM4   =ro bW BY !7   2 U Q sQ |v  q  q  2 G N:^1  7  l dz OZVs :( r WR -fI+" , ??v 1 u"@ f  {N W 8A x  ` &8 T a I[ K {AUh% \g #QH >  ;X S M q )d@ 4V c! . } s L(JW  ~ . MJz & Sl GrZ }^u <  ^ /; id6  [ 1 *4 K & |e e .8Mf  M    &U ~ E 7  1q%  {| [ g } 5 N#) i  e{ J W #  8\ M R ( }Oq P>hXg  q Y &RvZo P '{ O MK*+^y2 iZd x 1 d=| L /-  w a_ O e " `0e6 t ` \ W3  X C] [ / 7 '6O A , }?m 5 0V D wxF oj I#  0  KA 2 D & e 6_ h d ! pT y l  R _ I   Y    k 6 u , \3 3  H Fm ', _    RL 0 a H` 8  K5  ? V % Tt W@) 0 7~ j - -} 8=2 # \q r ;u  ) h Yc x "#  M]  $>A5  /  s 3$ d f~z    X   yd mK ]n  u  $ \81 d O d ~ n R  { B 0  R3l  l N;| <S  je] > sn T yp k t    9~ = * / i J *_ r C i( o G9! kYG f,xG   S$1 rI J zS p- U r] 5 Y )? %  .T 2 ? 3 b_   FOksb" j w E o  Ld8   9Q gv 8R  - )9 1 b t Ef @  ' ;j e  Z j   0 t@ wc~ ( ^ z]y t f TB E +7W  5 akO  3^ P hV  v h]O % &) l y L $ ? " 7v    P r @ ;  C [  =M U n G WY6 D g&DZ  !$6   p  :P ( y\   = [' tI   0|n]]% > z  / Y0eB P i Tc> rB F  *X 4% p ,8* Z?  Q  jo (     \ E\7 Z  g%K2T EXAMPLES: Examples: Find all IPA servers: ipa server-find GLOBAL DNS CONFIGURATION Override this so we can add completed and failed to the return result. Override this so we can set completed and failed. Add an automember rule. Add conditions to an automember rule. Add new ID range. To add a new ID range you always have to specify --base-id --range-size Additionally --rid-base --secondary-rid-base may be given for a new ID range for the local domain while --rid-base --dom-sid must be given to add a new range for a trusted AD domain. {0} Delete an automember rule. Display information about an automember rule. Display information about the default (fallback) automember groups. Lockout status of a user account An account may become locked if the password is entered incorrectly too many times within a specific time period as controlled by password policy. A locked account is a temporary condition and may be unlocked by an administrator. This connects to each IPA master and displays the lockout status on each one. To determine whether an account is locked on a given server you need to compare the number of failed logins and the time of the last failure. For an account to be locked it must exceed the maxfail failures within the failinterval duration as specified in the password policy associated with the user. The failed login counter is modified only when a user attempts a log in so it is possible that an account may appear locked but the last failed login attempt is older than the lockouttime of the password policy. This means that the user may attempt a login again. Modify a trust (for future use). Currently only the default option to modify the LDAP attributes is available. More specific options will be added in coming releases. Modify an automember rule. Remove conditions from an automember rule. Remove default (fallback) group for all unmatched entries. Search for automember rules. Set default (fallback) group for all unmatched entries. Unlock a user account An account may become locked if the password is entered incorrectly too many times within a specific time period as controlled by password policy. A locked account is a temporary condition and may be unlocked by an administrator. Vault Container object. Vault object. This is the equivalent of: ipa dnszone-mod example.com --dynamic-update=TRUE \ --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;" Add location: ipa location-add location --description 'My location' Add topology segment to 'ca' suffix: ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B Add topology segment to 'domain' suffix: ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B Delete location: ipa location-del location Delete topology segment in 'ca' suffix: ipa topologysegment-del ca segment_name Delete topology segment in 'domain' suffix: ipa topologysegment-del domain segment_name Find all locations: ipa location-find Find all servers: ipa server-find Find all suffixes: ipa topologysuffix-find List all topology segments in 'ca' suffix: ipa topologysegment-find ca List all topology segments in 'domain' suffix: ipa topologysegment-find domain Show configuration of a specific DNS server: ipa dnsserver-show Show specific location: ipa location-show location Show specific server: ipa server-show ipa.example.com Show status of 'DNS server' role on a server: ipa server-role-show ipa.example.com "DNS server" Show status of all configured roles on a server: ipa server-role-find ipa.example.com Update configuration of a specific DNS server: ipa dnsserver-mod Verify topology of 'ca' suffix: ipa topologysuffix-verify ca Verify topology of 'domain' suffix: ipa topologysuffix-verify domain Add LOC record for example.com: ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m" Add a condition to the rule: ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel Add a host that can manage this host's keytab and certificate: ipa host-add-managedby --hosts=test2 test Add a host to the rule: ipa sudorule-add-host readfiles --hosts server.example.com Add a host: ipa host-add web1.example.com Add a mail server for example.com: ipa dnsrecord-add example.com @ --mx-rec="10 mail1" Add a new host with a one-time password: ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Add a new host with a random one-time password: ipa host-add --os='Fedora 12' --random test.example.com Add a new host: ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com Add a new server: ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812 Add a new token: ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token" Add a new token: ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey" Add a permission that grants the ability to manage group membership: ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Add a permission that grants the creation of users: ipa permission-add --type=user --permissions=add "Add Users" Add a special Sudo rule for default Sudo server configuration: ipa sudorule-add defaults Add a standard vault: ipa vault-add [--user |--service |--shared] --type standard Add a symmetric vault: ipa vault-add [--user |--service |--shared] --type symmetric --password-file password.txt Add a user to the rule: ipa sudorule-add-user readfiles --users jsmith Add a user: ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott Add an asymmetric vault: ipa vault-add [--user |--service |--shared] --type asymmetric --public-key-file public.pem Add an exclusive condition to the rule to prevent auto assignment: ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers Add another record using MX record specific options: ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod, or dnsrecord-del are executed with no options): ipa dnsrecord-add example.com @ Please choose a type of DNS resource record to be added The most common types for this type of zone are: NS, MX, LOC DNS resource record type: MX MX Preference: 30 MX Exchanger: mail3 Record name: example.com MX record: 10 mail1, 20 mail2, 30 mail3 NS record: nameserver.example.com., nameserver2.example.com. Add new A record for www.example.com. Create a reverse record in appropriate reverse zone as well. In this case a PTR record "2" pointing to www.example.com will be created in zone 2.0.192.in-addr.arpa. ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse Add new PTR record for www.example.com ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com. Add new SRV records for LDAP servers. Three quarters of the requests should go to fast.example.com, one quarter to slow.example.com. If neither is available, switch to backup.example.com. ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com" ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com" ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com" Add new reverse zone specified by network IP address: ipa dnszone-add --name-from-ip=192.0.2.0/24 Add new zone: ipa dnszone-add example.com --admin-email=admin@example.com Add second nameserver for example.com: ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com Add sudo command object and add it as allowed command in the rule: ipa sudocmd-add /usr/bin/less ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less Add system permission that can be used for per-zone privilege delegation: ipa dnszone-add-permission example.com Add the initial group or hostgroup: ipa hostgroup-add --desc="Web Servers" webservers ipa group-add --desc="Developers" devel Add the initial rule: ipa automember-add --type=hostgroup webservers ipa automember-add --type=group devel Add vault members: ipa vault-add-member [--user |--service |--shared] [--users ] [--groups ] [--services ] Add vault owners: ipa vault-add-owner [--user |--service |--shared] [--users ] [--groups ] [--services ] After this modification, three fifths of the requests should go to fast.example.com and two fifths to slow.example.com. Allow user to create a keytab: ipa host-allow-create-keytab test2 --users=tuser1 Allow user to create a keytab: ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1 An example of the interactive mode for dnsrecord-del command: ipa dnsrecord-del example.com www No option to delete specific record provided. Delete all? Yes/No (default No): (do not delete all records) Current DNS record contents: A record: 192.0.2.2, 192.0.2.3 Delete A record '192.0.2.2'? Yes/No (default No): Delete A record '192.0.2.3'? Yes/No (default No): y Record name: www A record: 192.0.2.2 (A record 192.0.2.3 has been deleted) Archive data into asymmetric vault: ipa vault-archive [--user |--service |--shared] --in Archive data into standard vault: ipa vault-archive [--user |--service |--shared] --in Archive data into symmetric vault: ipa vault-archive [--user |--service |--shared] --in --password-file password.txt Change forward-policy for external.example.com: ipa dnsforwardzone-mod external.example.com --forward-policy=only Change the secret: ipa radiusproxy-mod MyRADIUS --secret Change the vendor: ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat" Create a new rule: ipa sudorule-add readfiles Delegate zone sub.example to another nameserver: ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1 ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com. Delete a configuration: ipa radiusproxy-del MyRADIUS Delete a host: ipa host-del test.example.com Delete a token: ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a Delete a vault: ipa vault-del [--user |--service |--shared] Delete an automember rule: ipa automember-del --type=hostgroup webservers ipa automember-del --type=group devel Delete forward zone external.example.com: ipa dnsforwardzone-del external.example.com Delete previously added nameserver from example.com: ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com. Delete vault members: ipa vault-remove-member [--user |--service |--shared] [--users ] [--groups ] [--services ] Delete vault owners: ipa vault-remove-owner [--user |--service |--shared] [--users ] [--groups ] [--services ] Delete zone example.com with all resource records: ipa dnszone-del example.com Disable global forwarding for given sub-tree: ipa dnszone-mod example.com --forward-policy=none Disable the host Kerberos key, SSL certificate and all of its services: ipa host-disable test.example.com Display a automember rule: ipa automember-show --type=hostgroup webservers ipa automember-show --type=group devel Display vault configuration: ipa vaultconfig-show Examine the configuration: ipa radiusproxy-show MyRADIUS Examine the token: ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a Find A records with value 192.0.2.2 in zone example.com ipa dnsrecord-find example.com --a-rec=192.0.2.2 Find all of the automember rules: ipa automember-find Find all servers whose entries include the string "example.com": ipa radiusproxy-find example.com Find records for resources with "www" in their name in zone example.com: ipa dnsrecord-find example.com www Find user-find parameters: ipa param-find user-find Find zone with "example" in its domain name: ipa dnszone-find example Forward all requests for the zone external.example.com to another forwarder using a "first" policy (it will send the queries to the selected forwarder and if not answered it will use global root servers): ipa dnsforwardzone-add external.example.com --forward-policy=first \ --forwarder=203.0.113.1 Generate and retrieve a keytab for an IPA service: ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab If a global forwarder is configured, all queries for which this server is not authoritative (e.g. sub.example.com) will be routed to the global forwarder. Global forwarding configuration can be overridden per-zone. List all forward zones: ipa dnsforwardzone-find List vaults: ipa vault-find [--user |--service |--shared] Modify asymmetric vault keys: ipa vault-mod [--user |--service |--shared] --private-key-file --public-key-file Modify global DNS configuration and set a list of global forwarders: ipa dnsconfig-mod --forwarder=203.0.113.113 Modify information about a host: ipa host-mod --os='Fedora 12' test.example.com Modify symmetric vault password: ipa vault-mod [--user |--service |--shared] --change-password ipa vault-mod [--user |--service |--shared] --old-password --new-password ipa vault-mod [--user |--service |--shared] --old-password-file --new-password-file Modify the automember rule: ipa automember-mod Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM: ipa dnszone-mod example.com --dynamic-update=TRUE Modify the zone to allow zone transfers for local network only: ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24 Modify vault description: ipa vault-mod [--user |--service |--shared] --desc Modify vault type: ipa vault-mod [--user |--service |--shared] --type [old password/private key] [new password/public key] Rebuild membership for all hosts: ipa automember-rebuild --type=hostgroup Rebuild membership for all users: ipa automember-rebuild --type=group Rebuild membership for specified hosts: ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com Rebuild membership for specified users: ipa automember-rebuild --users=tuser1 --users=tuser2 Remove SSH public keys of a host and update DNS to reflect this change: ipa host-mod --sshpubkey= --updatedns test.example.com Remove a condition from the rule: ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers Remove the default (fallback) target group: ipa automember-default-group-remove --type=hostgroup ipa automember-default-group-remove --type=group Resolve a host name to see if it exists (will add default IPA domain if one is not included): ipa dns-resolve www.example.com ipa dns-resolve www Retrieve data from asymmetric vault: ipa vault-retrieve [--user |--service |--shared] --out --private-key-file private.pem Retrieve data from standard vault: ipa vault-retrieve [--user |--service |--shared] --out Retrieve data from symmetric vault: ipa vault-retrieve [--user |--service |--shared] --out --password-file password.txt Semantics of forwarding in IPA matches BIND semantics and depends on the type of zone: * Master zone: local BIND replies authoritatively to queries for data in the given zone (including authoritative NXDOMAIN answers) and forwarding affects only queries for names below zone cuts (NS records) of locally served zones. * Forward zone: forward zone contains no authoritative data. BIND forwards queries, which cannot be answered from its local cache, to configured forwarders. Set a default Sudo option: ipa sudorule-add-option defaults --sudooption '!authenticate' Set the default (fallback) target group: ipa automember-default-group-set --default-group=webservers --type=hostgroup ipa automember-default-group-set --default-group=ipausers --type=group Show a vault: ipa vault-show [--user |--service |--shared] Show forward zone external.example.com: ipa dnsforwardzone-show external.example.com Show global DNS configuration: ipa dnsconfig-show Show records for resource www in zone example.com ipa dnsrecord-show example.com www Show the default (fallback) target group: ipa automember-default-group-show --type=hostgroup ipa automember-default-group-show --type=group Show user-find details: ipa command-show user-find Show zone example.com: ipa dnszone-show example.com The interactive mode can be used for easy modification: ipa dnsrecord-mod example.com _ldap._tcp No option to modify specific record provided. Current DNS record contents: SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No): Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y SRV Priority [0]: (keep the default value) SRV Weight [1]: 2 (modified value) SRV Port [389]: (keep the default value) SRV Target [slow.example.com]: (keep the default value) 1 SRV record skipped. Only one value per DNS record type can be modified at one time. Record name: _ldap._tcp SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com This configuration forwards all queries for names outside the example.com sub-tree to global forwarders. Normal recursive resolution process is used for names inside the example.com sub-tree (i.e. NS records are followed etc.). Verify automembership: ipa hostgroup-show webservers Host-group: webservers Description: Web Servers Member hosts: web1.example.com ipa group-show devel Group name: devel Description: Developers GID: 1004200000 Member users: tuser * A permission grants access to read, write, add, delete, read, search, or compare. * A privilege combines similar permissions (for example all the permissions needed to add a user). * A role grants a set of privileges to users, groups, hosts or hostgroups. A condition is a regular expression used by 389-ds to match a new incoming entry with an automember rule. If it matches an inclusive rule then the entry is added to the appropriate group or hostgroup. A default group or hostgroup could be specified for entries that do not match any rule. In case of user entries this group will be a fallback group because all users are by default members of group specified in IPA config. A permission enables fine-grained delegation of rights. A permission is a human-readable wrapper around a 389-ds Access Control Rule, or instruction (ACI). A permission grants the right to perform a specific task such as adding a user, modifying a group, etc. A permission is made up of a number of different parts: 1. The name of the permission. 2. The target of the permission. 3. The rights granted by the permission. A permission may not contain other permissions. A rule is directly associated with a group by name, so you cannot create a rule without an accompanying group or hostgroup. API Schema Add new ID range. To add a new ID range you always have to specify --base-id --range-size Additionally --rid-base --secondary-rid-base may be given for a new ID range for the local domain while --rid-base --dom-sid must be given to add a new range for a trusted AD domain. WARNING: DNA plugin in 389-ds will allocate IDs based on the ranges configured for the local domain. Currently the DNA plugin *cannot* be reconfigured itself based on the local ranges set via this family of commands. Manual configuration change has to be done in the DNA plugin configuration for the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be modified to match the new range. Add new trust to use. This command establishes trust relationship to another domain which becomes 'trusted'. As result, users of the trusted domain may access resources of this domain. Only trusts to Active Directory domains are supported right now. The command can be safely run multiple times against the same domain, this will cause change to trust relationship credentials on both sides. Additionally, there are the following convenience options. Setting one of these options will set the corresponding attribute(s). 1. type: a type of object (user, group, etc); sets subtree and target filter. 2. memberof: apply to members of a group; sets target filter 3. targetgroup: grant access to modify a specific group (such as granting the rights to manage group membership); sets target. Agreements are represented by topology segments. By default topology segment represents 2 replication agreements - one for each direction, e.g., A to B and B to A. Creation of unidirectional segments is not allowed. An order can be added to a sudorule to control the order in which they are evaluated (if the client supports it). This order is an integer and must be unique. Asymmetric vault is similar to the standard vault, but it pre-encrypts the secret using a public key before transport. The secret can only be retrieved using the private key. Auto Membership Rule. Automount Stores automount(8) configuration for autofs(8) in IPA. The base of an automount configuration is the configuration file auto.master. This is also the base location in IPA. Multiple auto.master configurations can be stored in separate locations. A location is implementation-specific with the default being a location named 'default'. For example, you can have locations by geographic region, by floor, by type, etc. Automount has three basic object types: locations, maps and keys. A location defines a set of maps anchored in auto.master. This allows you to store multiple automount configurations. A location in itself isn't very interesting, it is just a point to start a new automount map. A map is roughly equivalent to a discrete automount file and provides storage for keys. A key is a mount point associated with a map. When a new location is created, two maps are automatically created for it: auto.master and auto.direct. auto.master is the root map for all automount maps for the location. auto.direct is the default map for direct mounts and is mounted on /-. An automount map may contain a submount key. This key defines a mount location within the map that references another map. This can be done either using automountmap-add-indirect --parentmap or manually with automountkey-add and setting info to "-type=autofs :". EXAMPLES: Locations: Create a named location, "Baltimore": ipa automountlocation-add baltimore Display the new location: ipa automountlocation-show baltimore Find available locations: ipa automountlocation-find Remove a named automount location: ipa automountlocation-del baltimore Show what the automount maps would look like if they were in the filesystem: ipa automountlocation-tofiles baltimore Import an existing configuration into a location: ipa automountlocation-import baltimore /etc/auto.master The import will fail if any duplicate entries are found. For continuous operation where errors are ignored, use the --continue option. Maps: Create a new map, "auto.share": ipa automountmap-add baltimore auto.share Display the new map: ipa automountmap-show baltimore auto.share Find maps in the location baltimore: ipa automountmap-find baltimore Create an indirect map with auto.share as a submount: ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man This is equivalent to: ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Remove the auto.share map: ipa automountmap-del baltimore auto.share Keys: Create a new key for the auto.share map in location baltimore. This ties the map we previously created to auto.master: ipa automountkey-add baltimore auto.master --key=/share --info=auto.share Create a new key for our auto.share map, an NFS mount for man pages: ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Find all keys for the auto.share map: ipa automountkey-find baltimore auto.share Find all direct automount keys: ipa automountkey-find baltimore --key=/- Remove the man key from the auto.share map: ipa automountkey-del baltimore auto.share --key=man Based on the ownership there are three vault categories: * user/private vault * service vault * shared vault Based on the security mechanism there are three types of vaults: * standard vault * symmetric vault * asymmetric vault Baseuser This contains common definitions for user/stageuser Bring clarity to the membership of hosts and users by configuring inclusive or exclusive regex patterns, you can automatically assign a new entries into a group or hostgroup based upon attribute information. Classes to manage trust joins using DCE-RPC calls The code in this module relies heavily on samba4-python package and Samba4 python bindings. Cross-realm trusts Manage trust relationship between IPA and Active Directory domains. In order to allow users from a remote domain to access resources in IPA domain, trust relationship needs to be established. Currently IPA supports only trusts between IPA and Active Directory domains under control of Windows Server 2008 or later, with functional level 2008 or later. Please note that DNS on both IPA and Active Directory domain sides should be configured properly to discover each other. Trust relationship relies on ability to discover special resources in the other domain via DNS records. Examples: 1. Establish cross-realm trust with Active Directory using AD administrator credentials: ipa trust-add --type=ad --admin --password 2. List all existing trust relationships: ipa trust-find 3. Show details of the specific trust relationship: ipa trust-show 4. Delete existing trust relationship: ipa trust-del Once trust relationship is established, remote users will need to be mapped to local POSIX groups in order to actually use IPA resources. The mapping should be done via use of external membership of non-POSIX group and then this group should be included into one of local POSIX groups. Example: 1. Create group for the trusted domain admins' mapping and their local POSIX group: ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Add security identifier of Domain Admins of the to the ad_admins_external group: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group: ipa group-add-member ad_admins --groups ad_admins_external 4. List members of external members of ad_admins_external group to see their SIDs: ipa group-show ad_admins_external GLOBAL TRUST CONFIGURATION When IPA AD trust subpackage is installed and ipa-adtrust-install is run, a local domain configuration (SID, GUID, NetBIOS name) is generated. These identifiers are then used when communicating with a trusted domain of the particular type. 1. Show global trust configuration for Active Directory type of trusts: ipa trustconfig-show --type ad 2. Modify global configuration for all trusts of Active Directory type and set a different fallback primary group (fallback primary group GID is used as a primary user GID if user authenticating to IPA domain does not have any other primary GID already set): ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group" 3. Change primary fallback group back to default hidden group (any group with posixGroup object class is allowed): ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group" DNS configuration passed to command line install script is stored in a local configuration file on each IPA server where DNS service is configured. These local settings can be overridden with a common configuration stored in LDAP server: DNS server configuration Data stored on IPA servers is replicated to other IPA servers. The way it is replicated is defined by replication agreements. Replication agreements needs to be set for both suffixes separately. On domain level 0 they are managed using ipa-replica-manage and ipa-csreplica-manage tools. With domain level 1 they are managed centrally using `ipa topology*` commands. Deleting or renaming a managed permission, as well as changing its target, is not allowed. Domain Name System (DNS) ENROLLMENT: There are three enrollment scenarios when enrolling a new client: 1. You are enrolling as a full administrator. The host entry may exist or not. A full administrator is a member of the hostadmin role or the admins group. 2. You are enrolling as a limited administrator. The host must already exist. A limited administrator is a member a role with the Host Enrollment privilege. 3. The host has been created with a one-time password. EXAMPLES: FreeIPA provides a designated binddn to use with Sudo located at: uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com FreeIPA provides a means to configure the various aspects of Sudo: Users: The user(s)/group(s) allowed to invoke Sudo. Hosts: The host(s)/hostgroup(s) which the user is allowed to to invoke Sudo. Allow Command: The specific command(s) permitted to be run via Sudo. Deny Command: The specific command(s) prohibited to be run via Sudo. RunAsUser: The user(s) or group(s) of users whose rights Sudo will be invoked with. RunAsGroup: The group(s) whose gid rights Sudo will be invoked with. Options: The various Sudoers Options that can modify Sudo's behavior. Get information about installed IPA servers. Get status of roles (DNS server, CA, etc.) provided by IPA masters. Group to Group Delegation A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. Group to Group Delegations grants the members of one group to update a set of attributes of members of another group. EXAMPLES: Add a delegation rule to allow managers to edit employee's addresses: ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add postalCode to the list: ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street" Display our updated rule: ipa delegation-show "managers edit employees' street" Delete a rule: ipa delegation-del "managers edit employees' street" Groups of Sudo Commands Manage groups of Sudo Commands. EXAMPLES: Add a new Sudo Command Group: ipa sudocmdgroup-add --desc='administrators commands' admincmds Remove a Sudo Command Group: ipa sudocmdgroup-del admincmds Manage Sudo Command Group membership, commands: ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds Manage Sudo Command Group membership, commands: ipa group-remove-member --sudocmds=/usr/bin/less admincmds Show a Sudo Command Group: ipa group-show localadmins Groups of Sudo Commands Manage groups of Sudo Commands. EXAMPLES: Add a new Sudo Command Group: ipa sudocmdgroup-add --desc='administrators commands' admincmds Remove a Sudo Command Group: ipa sudocmdgroup-del admincmds Manage Sudo Command Group membership, commands: ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds Manage Sudo Command Group membership, commands: ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds Show a Sudo Command Group: ipa sudocmdgroup-show admincmds Groups of hosts. Manage groups of hosts. This is useful for applying access control to a number of hosts by using Host-based Access Control. EXAMPLES: Add a new host group: ipa hostgroup-add --desc="Baltimore hosts" baltimore Add another new host group: ipa hostgroup-add --desc="Maryland hosts" maryland Add members to the hostgroup (using Bash brace expansion): ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore Add a hostgroup as a member of another hostgroup: ipa hostgroup-add-member --hostgroups=baltimore maryland Remove a host from the hostgroup: ipa hostgroup-remove-member --hosts=box2 baltimore Display a host group: ipa hostgroup-show baltimore Delete a hostgroup: ipa hostgroup-del baltimore Groups of users Manage groups of users. By default, new groups are POSIX groups. You can add the --nonposix option to the group-add command to mark a new group as non-POSIX. You can use the --posix argument with the group-mod command to convert a non-POSIX group into a POSIX group. POSIX groups cannot be converted to non-POSIX groups. Every group must have a description. POSIX groups must have a Group ID (GID) number. Changing a GID is supported but can have an impact on your file permissions. It is not necessary to supply a GID when creating a group. IPA will generate one automatically if it is not provided. EXAMPLES: Add a new group: ipa group-add --desc='local administrators' localadmins Add a new non-POSIX group: ipa group-add --nonposix --desc='remote administrators' remoteadmins Convert a non-POSIX group to posix: ipa group-mod --posix remoteadmins Add a new POSIX group with a specific Group ID number: ipa group-add --gid=500 --desc='unix admins' unixadmins Add a new POSIX group and let IPA assign a Group ID number: ipa group-add --desc='printer admins' printeradmins Remove a group: ipa group-del unixadmins To add the "remoteadmins" group to the "localadmins" group: ipa group-add-member --groups=remoteadmins localadmins Add multiple users to the "localadmins" group: ipa group-add-member --users=test1 --users=test2 localadmins Remove a user from the "localadmins" group: ipa group-remove-member --users=test2 localadmins Display information about a named group. ipa group-show localadmins External group membership is designed to allow users from trusted domains to be mapped to local POSIX groups in order to actually use IPA resources. External members should be added to groups that specifically created as external and non-POSIX. Such group later should be included into one of POSIX groups. An external group member is currently a Security Identifier (SID) as defined by the trusted domain. When adding external group members, it is possible to specify them in either SID, or DOM ame, or name@domain format. IPA will attempt to resolve passed name to SID with the use of Global Catalog of the trusted domain. Example: 1. Create group for the trusted domain admins' mapping and their local POSIX group: ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Add security identifier of Domain Admins of the to the ad_admins_external group: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group: ipa group-add-member ad_admins --groups ad_admins_external 4. List members of external members of ad_admins_external group to see their SIDs: ipa group-show ad_admins_external Groups of users Manage groups of users. By default, new groups are POSIX groups. You can add the --nonposix option to the group-add command to mark a new group as non-POSIX. You can use the --posix argument with the group-mod command to convert a non-POSIX group into a POSIX group. POSIX groups cannot be converted to non-POSIX groups. Every group must have a description. POSIX groups must have a Group ID (GID) number. Changing a GID is supported but can have an impact on your file permissions. It is not necessary to supply a GID when creating a group. IPA will generate one automatically if it is not provided. EXAMPLES: Add a new group: ipa group-add --desc='local administrators' localadmins Add a new non-POSIX group: ipa group-add --nonposix --desc='remote administrators' remoteadmins Convert a non-POSIX group to posix: ipa group-mod --posix remoteadmins Add a new POSIX group with a specific Group ID number: ipa group-add --gid=500 --desc='unix admins' unixadmins Add a new POSIX group and let IPA assign a Group ID number: ipa group-add --desc='printer admins' printeradmins Remove a group: ipa group-del unixadmins To add the "remoteadmins" group to the "localadmins" group: ipa group-add-member --groups=remoteadmins localadmins Add multiple users to the "localadmins" group: ipa group-add-member --users=test1 --users=test2 localadmins Remove a user from the "localadmins" group: ipa group-remove-member --users=test2 localadmins Display information about a named group. ipa group-show localadmins External group membership is designed to allow users from trusted domains to be mapped to local POSIX groups in order to actually use IPA resources. External members should be added to groups that specifically created as external and non-POSIX. Such group later should be included into one of POSIX groups. An external group member is currently a Security Identifier (SID) as defined by the trusted domain. When adding external group members, it is possible to specify them in either SID, or DOM\name, or name@domain format. IPA will attempt to resolve passed name to SID with the use of Global Catalog of the trusted domain. Example: 1. Create group for the trusted domain admins' mapping and their local POSIX group: ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Add security identifier of Domain Admins of the to the ad_admins_external group: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group: ipa group-add-member ad_admins --groups ad_admins_external 4. List members of external members of ad_admins_external group to see their SIDs: ipa group-show ad_admins_external HBAC Service Groups HBAC service groups can contain any number of individual services, or "members". Every group must have a description. EXAMPLES: Add a new HBAC service group: ipa hbacsvcgroup-add --desc="login services" login Add members to an HBAC service group: ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login Display information about a named group: ipa hbacsvcgroup-show login Delete an HBAC service group: ipa hbacsvcgroup-del login HBAC Services The PAM services that HBAC can control access to. The name used here must match the service name that PAM is evaluating. EXAMPLES: Add a new HBAC service: ipa hbacsvc-add tftp Modify an existing HBAC service: ipa hbacsvc-mod --desc="TFTP service" tftp Search for HBAC services. This example will return two results, the FTP service and the newly-added tftp service: ipa hbacsvc-find ftp Delete an HBAC service: ipa hbacsvc-del tftp Host-based access control Control who can access what services on what hosts. You can use HBAC to control which users or groups can access a service, or group of services, on a target host. You can also specify a category of users and target hosts. This is currently limited to "all", but might be expanded in the future. Target hosts in HBAC rules must be hosts managed by IPA. The available services and groups of services are controlled by the hbacsvc and hbacsvcgroup plug-ins respectively. EXAMPLES: Create a rule, "test1", that grants all users access to the host "server" from anywhere: ipa hbacrule-add --usercat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Display the properties of a named HBAC rule: ipa hbacrule-show test1 Create a rule for a specific service. This lets the user john access the sshd service on any machine from any machine: ipa hbacrule-add --hostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd Create a rule for a new service group. This lets the user john access the FTP service on any machine from any machine: ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers ipa hbacrule-add --hostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp Disable a named HBAC rule: ipa hbacrule-disable test1 Remove a named HBAC rule: ipa hbacrule-del allow_server Hosts/Machines A host represents a machine. It can be used in a number of contexts: - service entries are associated with a host - a host stores the host/ service principal - a host can be used in Host-based Access Control (HBAC) rules - every enrolled client generates a host entry IPA certificate operations Implements a set of commands for managing server SSL certificates. Certificate requests exist in the form of a Certificate Signing Request (CSR) in PEM format. The dogtag CA uses just the CN value of the CSR and forces the rest of the subject to values configured in the server. A certificate is stored with a service principal and a service principal needs a host. In order to request a certificate: * The host must exist * The service must exist (or you use the --add option to automatically add it) SEARCHING: Certificates may be searched on by certificate subject, serial number, revocation reason, validity dates and the issued date. When searching on dates the _from date does a >= search and the _to date does a <= search. When combined these are done as an AND. Dates are treated as GMT to match the dates in the certificates. The date format is YYYY-mm-dd. EXAMPLES: Request a new certificate and add the principal: ipa cert-request --add --principal=HTTP/lion.example.com example.csr Retrieve an existing certificate: ipa cert-show 1032 Revoke a certificate (see RFC 5280 for reason details): ipa cert-revoke --revocation-reason=6 1032 Remove a certificate from revocation hold status: ipa cert-remove-hold 1032 Check the status of a signing request: ipa cert-status 10 Search for certificates by hostname: ipa cert-find --subject=ipaserver.example.com Search for revoked certificates by reason: ipa cert-find --revocation-reason=5 Search for certificates based on issuance date ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07 IPA currently immediately issues (or declines) all certificate requests so the status of a request is not normally useful. This is for future use or the case where a CA does not immediately issue a certificate. The following revocation reasons are supported: * 0 - unspecified * 1 - keyCompromise * 2 - cACompromise * 3 - affiliationChanged * 4 - superseded * 5 - cessationOfOperation * 6 - certificateHold * 8 - removeFromCRL * 9 - privilegeWithdrawn * 10 - aACompromise Note that reason code 7 is not used. See RFC 5280 for more details: http://www.ietf.org/rfc/rfc5280.txt IPA locations IPA server roles IPA server's data is stored in LDAP server in two suffixes: * domain suffix, e.g., 'dc=example,dc=com', contains all domain related data * ca suffix, 'o=ipaca', is present only on server with CA installed. It contains data for Certificate Server component IPA servers IPA supports the use of OTP tokens for multi-factor authentication. This code enables the management of OTP tokens. IPA supports the use of an external RADIUS proxy server for krb5 OTP authentications. This permits a great deal of flexibility when integrating with third-party authentication services. It may be difficult to manipulate such DNS records without making a mistake and entering an invalid value. DNS module provides an abstraction over these raw records and allows to manipulate each RR type with specific options. For each supported RR type, DNS module provides a standard option to manipulate a raw records with format ---rec, e.g. --mx-rec, and special options for every part of the RR structure with format ---, e.g. --mx-preference and --mx-exchanger. Joining an IPA domain Kerberos pkinit options Enable or disable anonymous pkinit using the principal WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with pkinit support. EXAMPLES: Enable anonymous pkinit: ipa pkinit-anonymous enable Disable anonymous pkinit: ipa pkinit-anonymous disable For more information on anonymous pkinit see: http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Kerberos ticket policy There is a single Kerberos ticket policy. This policy defines the maximum ticket lifetime and the maximum renewal age, the period during which the ticket is renewable. You can also create a per-user ticket policy by specifying the user login. For changes to the global policy to take effect, restarting the KDC service is required, which can be achieved using: service krb5kdc restart Changes to per-user policies take effect immediately for newly requested tickets (e.g. when the user next runs kinit). EXAMPLES: Display the current Kerberos ticket policy: ipa krbtpolicy-show Reset the policy to the default: ipa krbtpolicy-reset Modify the policy to 8 hours max life, 1-day max renewal: ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Display effective Kerberos ticket policy for user 'admin': ipa krbtpolicy-show admin Reset per-user policy for user 'admin': ipa krbtpolicy-reset admin Modify per-user policy for user 'admin': ipa krbtpolicy-mod admin --maxlife=3600 Manage CA ACL rules. This plugin is used to define rules governing which principals are permitted to have certificates issued using a given certificate profile. PROFILE ID SYNTAX: A Profile ID is a string without spaces or punctuation starting with a letter and followed by a sequence of letters, digits or underscore ("_"). EXAMPLES: Create a CA ACL "test" that grants all users access to the "UserCert" profile: ipa caacl-add test --usercat=all ipa caacl-add-profile test --certprofiles UserCert Display the properties of a named CA ACL: ipa caacl-show test Create a CA ACL to let user "alice" use the "DNP3" profile: ipa caacl-add-profile alice_dnp3 --certprofiles DNP3 ipa caacl-add-user alice_dnp3 --user=alice Disable a CA ACL: ipa caacl-disable test Remove a CA ACL: ipa caacl-del test Manage Certificate Profiles Certificate Profiles are used by Certificate Authority (CA) in the signing of certificates to determine if a Certificate Signing Request (CSR) is acceptable, and if so what features and extensions will be present on the certificate. The Certificate Profile format is the property-list format understood by the Dogtag or Red Hat Certificate System CA. PROFILE ID SYNTAX: A Profile ID is a string without spaces or punctuation starting with a letter and followed by a sequence of letters, digits or underscore ("_"). EXAMPLES: Import a profile that will not store issued certificates: ipa certprofile-import ShortLivedUserCert \ --file UserCert.profile --desc "User Certificates" \ --store=false Delete a certificate profile: ipa certprofile-del ShortLivedUserCert Show information about a profile: ipa certprofile-show ShortLivedUserCert Save profile configuration to a file: ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg Search for profiles that do not store certificates: ipa certprofile-find --store=false PROFILE CONFIGURATION FORMAT: The profile configuration format is the raw property-list format used by Dogtag Certificate System. The XML format is not supported. The following restrictions apply to profiles managed by FreeIPA: - When importing a profile the "profileId" field, if present, must match the ID given on the command line. - The "classId" field must be set to "caEnrollImpl" - The "auth.instance_id" field must be set to "raCertAuth" - The "certReqInputImpl" input class and "certOutputImpl" output class must be used. Manage DNS zone and resource records. Manage OTP tokens. Manage RADIUS Proxy Servers. Manage YubiKey tokens. Manage vaults. Managed permissions Manipulate DNS locations Manipulate DNS server configuration Migration to IPA Migrate users and groups from an LDAP server to IPA. This performs an LDAP query against the remote server searching for users and groups in a container. In order to migrate passwords you need to bind as a user that can read the userPassword attribute on the remote server. This is generally restricted to high-level admins such as cn=Directory Manager in 389-ds (this is the default bind user). The default user container is ou=People. The default group container is ou=Groups. Users and groups that already exist on the IPA server are skipped. Two LDAP schemas define how group members are stored: RFC2307 and RFC2307bis. RFC2307bis uses member and uniquemember to specify group members, RFC2307 uses memberUid. The default schema is RFC2307bis. The schema compat feature allows IPA to reformat data for systems that do not support RFC2307bis. It is recommended that this feature is disabled during migration to reduce system overhead. It can be re-enabled after migration. To migrate with it enabled use the "--with-compat" option. Migrated users do not have Kerberos credentials, they have only their LDAP password. To complete the migration process, users need to go to http://ipa.example.com/ipa/migration and authenticate using their LDAP password in order to generate their Kerberos credentials. Migration is disabled by default. Use the command ipa config-mod to enable it: ipa config-mod --enable-migration=TRUE If a base DN is not provided with --basedn then IPA will use either the value of defaultNamingContext if it is set or the first value in namingContexts set in the root of the remote LDAP server. Users are added as members to the default user group. This can be a time-intensive task so during migration this is done in a batch mode for every 100 users. As a result there will be a window in which users will be added to IPA but will not be members of the default user group. EXAMPLES: The simplest migration, accepting all defaults: ipa migrate-ds ldap://ds.example.com:389 Specify the user and group container. This can be used to migrate user and group data from an IPA v1 server: ipa migrate-ds --user-container='cn=users,cn=accounts' --group-container='cn=groups,cn=accounts' ldap://ds.example.com:389 Since IPA v2 server already contain predefined groups that may collide with groups in migrated (IPA v1) server (for example admins, ipausers), users having colliding group as their primary group may happen to belong to an unknown group on new IPA v2 server. Use --group-overwrite-gid option to overwrite GID of already existing groups to prevent this issue: ipa migrate-ds --group-overwrite-gid --user-container='cn=users,cn=accounts' --group-container='cn=groups,cn=accounts' ldap://ds.example.com:389 Migrated users or groups may have object class and accompanied attributes unknown to the IPA v2 server. These object classes and attributes may be left out of the migration process: ipa migrate-ds --user-container='cn=users,cn=accounts' --group-container='cn=groups,cn=accounts' --user-ignore-objectclass=radiusprofile --user-ignore-attribute=radiusgroupname ldap://ds.example.com:389 LOGGING Migration will log warnings and errors to the Apache error log. This file should be evaluated post-migration to correct or investigate any issues that were discovered. For every 100 users migrated an info-level message will be displayed to give the current progress and duration to make it possible to track the progress of migration. If the log level is debug, either by setting debug = True in /etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed for each user added plus a summary when the default user group is updated. Migration to IPA Migrate users and groups from an LDAP server to IPA. This performs an LDAP query against the remote server searching for users and groups in a container. In order to migrate passwords you need to bind as a user that can read the userPassword attribute on the remote server. This is generally restricted to high-level admins such as cn=Directory Manager in 389-ds (this is the default bind user). The default user container is ou=People. The default group container is ou=Groups. Users and groups that already exist on the IPA server are skipped. Two LDAP schemas define how group members are stored: RFC2307 and RFC2307bis. RFC2307bis uses member and uniquemember to specify group members, RFC2307 uses memberUid. The default schema is RFC2307bis. The schema compat feature allows IPA to reformat data for systems that do not support RFC2307bis. It is recommended that this feature is disabled during migration to reduce system overhead. It can be re-enabled after migration. To migrate with it enabled use the "--with-compat" option. Migrated users do not have Kerberos credentials, they have only their LDAP password. To complete the migration process, users need to go to http://ipa.example.com/ipa/migration and authenticate using their LDAP password in order to generate their Kerberos credentials. Migration is disabled by default. Use the command ipa config-mod to enable it: ipa config-mod --enable-migration=TRUE If a base DN is not provided with --basedn then IPA will use either the value of defaultNamingContext if it is set or the first value in namingContexts set in the root of the remote LDAP server. Users are added as members to the default user group. This can be a time-intensive task so during migration this is done in a batch mode for every 100 users. As a result there will be a window in which users will be added to IPA but will not be members of the default user group. EXAMPLES: The simplest migration, accepting all defaults: ipa migrate-ds ldap://ds.example.com:389 Specify the user and group container. This can be used to migrate user and group data from an IPA v1 server: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Since IPA v2 server already contain predefined groups that may collide with groups in migrated (IPA v1) server (for example admins, ipausers), users having colliding group as their primary group may happen to belong to an unknown group on new IPA v2 server. Use --group-overwrite-gid option to overwrite GID of already existing groups to prevent this issue: ipa migrate-ds --group-overwrite-gid \ --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Migrated users or groups may have object class and accompanied attributes unknown to the IPA v2 server. These object classes and attributes may be left out of the migration process: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ --user-ignore-objectclass=radiusprofile \ --user-ignore-attribute=radiusgroupname \ ldap://ds.example.com:389 LOGGING Migration will log warnings and errors to the Apache error log. This file should be evaluated post-migration to correct or investigate any issues that were discovered. For every 100 users migrated an info-level message will be displayed to give the current progress and duration to make it possible to track the progress of migration. If the log level is debug, either by setting debug = True in /etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed for each user added plus a summary when the default user group is updated. Misc plug-ins Netgroups A netgroup is a group used for permission checking. It can contain both user and host values. EXAMPLES: Add a new netgroup: ipa netgroup-add --desc="NFS admins" admins Add members to the netgroup: ipa netgroup-add-member --users=tuser1 --users=tuser2 admins Remove a member from the netgroup: ipa netgroup-remove-member --users=tuser2 admins Display information about a netgroup: ipa netgroup-show admins Delete a netgroup: ipa netgroup-del admins Note the distinction between attributes and entries. The permissions are independent, so being able to add a user does not mean that the user will be editable. OTP Tokens OTP Tokens Manage OTP tokens. IPA supports the use of OTP tokens for multi-factor authentication. This code enables the management of OTP tokens. EXAMPLES: Add a new token: ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token" Examine the token: ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a Change the vendor: ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat" Delete a token: ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a OTP configuration Manage the default values that IPA uses for OTP tokens. EXAMPLES: Show basic OTP configuration: ipa otpconfig-show Show all OTP configuration options: ipa otpconfig-show --all Change maximum TOTP authentication window to 10 minutes: ipa otpconfig-mod --totp-auth-window=600 Change maximum TOTP synchronization window to 12 hours: ipa otpconfig-mod --totp-sync-window=43200 Change maximum HOTP authentication window to 5: ipa hotpconfig-mod --hotp-auth-window=5 Change maximum HOTP synchronization window to 50: ipa hotpconfig-mod --hotp-sync-window=50 Password policy A password policy sets limitations on IPA passwords, including maximum lifetime, minimum lifetime, the number of passwords to save in history, the number of character classes required (for stronger passwords) and the minimum password length. By default there is a single, global policy for all users. You can also create a password policy to apply to a group. Each user is only subject to one password policy, either the group policy or the global policy. A group policy stands alone; it is not a super-set of the global policy plus custom settings. Each group password policy requires a unique priority setting. If a user is in multiple groups that have password policies, this priority determines which password policy is applied. A lower value indicates a higher priority policy. Group password policies are automatically removed when the groups they are associated with are removed. EXAMPLES: Modify the global policy: ipa pwpolicy-mod --minlength=10 Add a new group password policy: ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Display the global password policy: ipa pwpolicy-show Display a group password policy: ipa pwpolicy-show localadmins Display the policy that would be applied to a given user: ipa pwpolicy-show --user=tuser1 Modify a group password policy: ipa pwpolicy-mod --minclasses=2 localadmins Permissions Permissions that come with IPA by default can be so-called "managed" permissions. These have a default set of attributes they apply to, but the administrator can add/remove individual attributes to/from the set. Ping the remote IPA server to ensure it is running. The ping command sends an echo request to an IPA server. The server returns its version information. This is used by an IPA client to confirm that the server is available and accepting requests. The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first. If it does not respond then the client will contact any servers defined by ldap SRV records in DNS. EXAMPLES: Ping an IPA server: ipa ping ------------------------------------------ IPA server version 2.1.9. API version 2.20 ------------------------------------------ Ping an IPA server verbosely: ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml' ----------------------------------------------------- IPA server version 2.1.9. API version 2.20 ----------------------------------------------------- Plugins not accessible directly through the CLI, commands used internally Privileges A privilege combines permissions into a logical task. A permission provides the rights to do a single task. There are some IPA operations that require multiple permissions to succeed. A privilege is where permissions are combined in order to perform a specific task. For example, adding a user requires the following permissions: * Creating a new user entry * Resetting a user password * Adding the new user to the default IPA users group Combining these three low-level tasks into a higher level task in the form of a privilege named "Add User" makes it easier to manage Roles. A privilege may not contain other privileges. See role and permission for additional information. Provides API introspection capabilities. RADIUS Proxy Servers RADIUS Proxy Servers Manage RADIUS Proxy Servers. IPA supports the use of an external RADIUS proxy server for krb5 OTP authentications. This permits a great deal of flexibility when integrating with third-party authentication services. EXAMPLES: Add a new server: ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812 Find all servers whose entries include the string "example.com": ipa radiusproxy-find example.com Examine the configuration: ipa radiusproxy-show MyRADIUS Change the secret: ipa radiusproxy-mod MyRADIUS --secret Delete a configuration: ipa radiusproxy-del MyRADIUS RE-ENROLLMENT: Host that has been enrolled at some point, and lost its configuration (e.g. VM destroyed) can be re-enrolled. For more information, consult the manual pages for ipa-client-install. A host can optionally store information such as where it is located, the OS that it runs, etc. Raise the IPA Domain Level. Realm domains Manage the list of domains associated with IPA realm. EXAMPLES: Display the current list of realm domains: ipa realmdomains-show Replace the list of realm domains: ipa realmdomains-mod --domain=example.com ipa realmdomains-mod --domain={example1.com,example2.com,example3.com} Add a domain to the list of realm domains: ipa realmdomains-mod --add-domain=newdomain.com Delete a domain from the list of realm domains: ipa realmdomains-mod --del-domain=olddomain.com Removal of '%(hostname)s' leads to disconnected topology in suffix '%(suffix)s': %(errors)s Replication topology in suffix '%(suffix)s' is disconnected: %(errors)s Rights define what operations are allowed, and may be one or more of the following: 1. write - write one or more attributes 2. read - read one or more attributes 3. search - search on one or more attributes 4. compare - compare one or more attributes 5. add - add a new entry to the tree 6. delete - delete an existing entry 7. all - all permissions are granted Roles A role is used for fine-grained delegation. A permission grants the ability to perform given low-level tasks (add a user, modify a group, etc.). A privilege combines one or more permissions into a higher-level abstraction such as useradmin. A useradmin would be able to add, delete and modify users. Privileges are assigned to Roles. Users, groups, hosts and hostgroups may be members of a Role. Roles can not contain other roles. EXAMPLES: Add a new role: ipa role-add --desc="Junior-level admin" junioradmin Add some privileges to this role: ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Add a group of users to this role: ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Display information about a role: ipa role-show junioradmin The result of this is that any users in the group 'junioradmin' can add users, reset passwords or add a user to the default IPA user group. SELinux User Mapping Map IPA users to SELinux users by host. Hosts, hostgroups, users and groups can be either defined within the rule or it may point to an existing HBAC rule. When using --hbacrule option to selinuxusermap-find an exact match is made on the HBAC rule name, so only one or zero entries will be returned. EXAMPLES: Create a rule, "test1", that sets all users to xguest_u:s0 on the host "server": ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1 ipa selinuxusermap-add-host --hosts=server.example.com test1 Create a rule, "test2", that sets all users to guest_u:s0 and uses an existing HBAC rule for users and hosts: ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2 Display the properties of a rule: ipa selinuxusermap-show test2 Create a rule for a specific user. This sets the SELinux context for user john to unconfined_u:s0-s0:c0.c1023 on any machine: ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined ipa selinuxusermap-add-user --users=john john_unconfined Disable a rule: ipa selinuxusermap-disable test1 Enable a rule: ipa selinuxusermap-enable test1 Find a rule referencing a specific HBAC rule: ipa selinuxusermap-find --hbacrule=allow_some Remove a rule: ipa selinuxusermap-del john_unconfined SEEALSO: The list controlling the order in which the SELinux user map is applied and the default SELinux user are available in the config-show command. SUPPORTED ZONE TYPES * Master zone (dnszone-*), contains authoritative data. * Forward zone (dnsforwardzone-*), forwards queries to configured forwarders (a set of DNS servers). Self-service Permissions A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. A Self-service permission defines what an object can change in its own entry. EXAMPLES: Add a self-service rule to allow users to manage their address (using Bash brace expansion): ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add telephoneNumber to the list (using Bash brace expansion): ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address" Display our updated rule: ipa selfservice-show "Users manage their own address" Delete a rule: ipa selfservice-del "Users manage their own address" Server configuration Manage the default values that IPA uses and some of its tuning parameters. NOTES: The password notification value (--pwdexpnotify) is stored here so it will be replicated. It is not currently used to notify users in advance of an expiring password. Some attributes are read-only, provided only for information purposes. These include: Certificate Subject base: the configured certificate subject base, e.g. O=EXAMPLE.COM. This is configurable only at install time. Password plug-in features: currently defines additional hashes that the password will generate (there may be other conditions). When setting the order list for mapping SELinux users you may need to quote the value so it isn't interpreted by the shell. EXAMPLES: Show basic server configuration: ipa config-show Show all configuration options: ipa config-show --all Change maximum username length to 99 characters: ipa config-mod --maxusername=99 Increase default time and size limits for maximum IPA server search: ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 Set default user e-mail domain: ipa config-mod --emaildomain=example.com Enable migration mode to make "ipa migrate-ds" command operational: ipa config-mod --enable-migration=TRUE Define SELinux user map order: ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' Service Constrained Delegation Manage rules to allow constrained delegation of credentials so that a service can impersonate a user when communicating with another service without requiring the user to actually forward their TGT. This makes for a much better method of delegating credentials as it prevents exposure of the short term secret of the user. The naming convention is to append the word "target" or "targets" to a matching rule name. This is not mandatory but helps conceptually to associate rules and targets. A rule consists of two things: - A list of targets the rule applies to - A list of memberPrincipals that are allowed to delegate for those targets A target consists of a list of principals that can be delegated. In English, a rule says that this principal can delegate as this list of principals, as defined by these targets. EXAMPLES: Add a new constrained delegation rule: ipa servicedelegationrule-add ftp-delegation Add a new constrained delegation target: ipa servicedelegationtarget-add ftp-delegation-target Add a principal to the rule: ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com ftp-delegation Add our target to the rule: ipa servicedelegationrule-add-target --servicedelegationtargets=ftp-delegation-target ftp-delegation Add a principal to the target: ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com ftp-delegation-target Display information about a named delegation rule and target: ipa servicedelegationrule_show ftp-delegation ipa servicedelegationtarget_show ftp-delegation-target Remove a constrained delegation: ipa servicedelegationrule-del ftp-delegation-target ipa servicedelegationtarget-del ftp-delegation In this example the ftp service can get a TGT for the ldap service on the bound user's behalf. It is strongly discouraged to modify the delegations that ship with IPA, ipa-http-delegation and its targets ipa-cifs-delegation-targets and ipa-ldap-delegation-targets. Incorrect changes can remove the ability to delegate, causing the framework to stop functioning. Services A IPA service represents a service that runs on a host. The IPA service record can store a Kerberos principal, an SSL certificate, or both. An IPA service can be managed directly from a machine, provided that machine has been given the correct permission. This is true even for machines other than the one the service is associated with. For example, requesting an SSL certificate using the host service principal credentials of the host. To manage a service using host credentials you need to kinit as the host: # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM Adding an IPA service allows the associated service to request an SSL certificate or keytab, but this is performed as a separate step; they are not produced as a result of adding the service. Only the public aspect of a certificate is stored in a service record; the private key is not stored. EXAMPLES: Add a new IPA service: ipa service-add HTTP/web.example.com Allow a host to manage an IPA service certificate: ipa service-add-host --hosts=web.example.com HTTP/web.example.com ipa role-add-member --hosts=web.example.com certadmin Override a default list of supported PAC types for the service: ipa service-mod HTTP/web.example.com --pac-type=MS-PAC A typical use case where overriding the PAC type is needed is NFS. Currently the related code in the Linux kernel can only handle Kerberos tickets up to a maximal size. Since the PAC data can become quite large it is recommended to set --pac-type=NONE for NFS services. Delete an IPA service: ipa service-del HTTP/web.example.com Find all IPA services associated with a host: ipa service-find web.example.com Find all HTTP services: ipa service-find HTTP Disable the service Kerberos key and SSL certificate: ipa service-disable HTTP/web.example.com Request a certificate for an IPA service: ipa cert-request --principal=HTTP/web.example.com example.csr Set a user's password If someone other than a user changes that user's password (e.g., Helpdesk resets it) then the password will need to be changed the first time it is used. This is so the end-user is the only one who knows the password. The IPA password policy controls how often a password may be changed, what strength requirements exist, and the length of the password history. EXAMPLES: To reset your own password: ipa passwd To change another user's password: ipa passwd tuser1 Simulate use of Host-based access controls HBAC rules control who can access what services on what hosts. You can use HBAC to control which users or groups can access a service, or group of services, on a target host. Since applying HBAC rules implies use of a production environment, this plugin aims to provide simulation of HBAC rules evaluation without having access to the production environment. Test user coming to a service on a named host against existing enabled rules. ipa hbactest --user= --host= --service= [--rules=rules-list] [--nodetail] [--enabled] [--disabled] [--sizelimit= ] --user, --host, and --service are mandatory, others are optional. If --rules is specified simulate enabling of the specified rules and test the login of the user using only these rules. If --enabled is specified, all enabled HBAC rules will be added to simulation If --disabled is specified, all disabled HBAC rules will be added to simulation If --nodetail is specified, do not return information about rules matched/not matched. If both --rules and --enabled are specified, apply simulation to --rules _and_ all IPA enabled rules. If no --rules specified, simulation is run against all IPA enabled rules. By default there is a IPA-wide limit to number of entries fetched, you can change it with --sizelimit option. EXAMPLES: 1. Use all enabled HBAC rules in IPA database to simulate: $ ipa hbactest --user=a1a --host=bar --service=sshd -------------------- Access granted: True -------------------- Not matched rules: my-second-rule Not matched rules: my-third-rule Not matched rules: myrule Matched rules: allow_all 2. Disable detailed summary of how rules were applied: $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Access granted: True -------------------- 3. Test explicitly specified HBAC rules: $ ipa hbactest --user=a1a --host=bar --service=sshd \ --rules=myrule --rules=my-second-rule --------------------- Access granted: False --------------------- Not matched rules: my-second-rule Not matched rules: myrule 4. Use all enabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd \ --rules=myrule --rules=my-second-rule --enabled -------------------- Access granted: True -------------------- Not matched rules: my-second-rule Not matched rules: my-third-rule Not matched rules: myrule Matched rules: allow_all 5. Test all disabled HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Access granted: False --------------------- Not matched rules: new-rule 6. Test all disabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd \ --rules=myrule --rules=my-second-rule --disabled --------------------- Access granted: False --------------------- Not matched rules: my-second-rule Not matched rules: my-third-rule Not matched rules: myrule 7. Test all (enabled and disabled) HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd \ --enabled --disabled -------------------- Access granted: True -------------------- Not matched rules: my-second-rule Not matched rules: my-third-rule Not matched rules: myrule Not matched rules: new-rule Matched rules: allow_all HBACTEST AND TRUSTED DOMAINS When an external trusted domain is configured in IPA, HBAC rules are also applied on users accessing IPA resources from the trusted domain. Trusted domain users and groups (and their SIDs) can be then assigned to external groups which can be members of POSIX groups in IPA which can be used in HBAC rules and thus allowing access to resources protected by the HBAC system. hbactest plugin is capable of testing access for both local IPA users and users from the trusted domains, either by a fully qualified user name or by user SID. Such user names need to have a trusted domain specified as a short name (DOMAIN\Administrator) or with a user principal name (UPN), Administrator@ad.test. Please note that hbactest executed with a trusted domain user as --user parameter can be only run by members of "trust admins" group. EXAMPLES: 1. Test if a user from a trusted domain specified by its shortname matches any rule: $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 2. Test if a user from a trusted domain specified by its domain name matches any rule: $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 3. Test if a user from a trusted domain specified by its SID matches any rule: $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \ --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 4. Test if other user from a trusted domain specified by its SID matches any rule: $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \ --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Not matched rules: can_login 5. Test if other user from a trusted domain specified by its shortname matches any rule: $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Not matched rules: can_login Stageusers Manage stage user entries. Stage user entries are directly under the container: "cn=stage users, cn=accounts, cn=provisioning, SUFFIX". Users can not authenticate with those entries (even if the entries contain credentials). Those entries are only candidate to become Active entries. Active user entries are Posix users directly under the container: "cn=accounts, SUFFIX". Users can authenticate with Active entries, at the condition they have credentials. Deleted user entries are Posix users directly under the container: "cn=deleted users, cn=accounts, cn=provisioning, SUFFIX". Users can not authenticate with those entries, even if the entries contain credentials. The stage user container contains entries: - created by 'stageuser-add' commands that are Posix users, - created by external provisioning system. A valid stage user entry MUST have: - entry RDN is 'uid', - ipaUniqueID is 'autogenerate'. IPA supports a wide range of username formats, but you need to be aware of any restrictions that may apply to your particular environment. For example, usernames that start with a digit or usernames that exceed a certain length may cause problems for some UNIX systems. Use 'ipa config-mod' to change the username format allowed by IPA tools. EXAMPLES: Add a new stageuser: ipa stageuser-add --first=Tim --last=User --password tuser1 Add a stageuser from the deleted users container: ipa stageuser-add --first=Tim --last=User --from-delete tuser1 Standard vault uses a secure mechanism to transport and store the secret. The secret can only be retrieved by users that have access to the vault. Sudo (su "do") allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands and their arguments. Sudo Commands Commands used as building blocks for sudo EXAMPLES: Create a new command ipa sudocmd-add --desc='For reading log files' /usr/bin/less Remove a command ipa sudocmd-del /usr/bin/less Sudo Commands Commands used as building blocks for sudo EXAMPLES: Create a new command ipa sudocmd-add --desc='For reading log files' /usr/bin/less Remove a command ipa sudocmd-del /usr/bin/less Sudo Rules Symmetric vault is similar to the standard vault, but it pre-encrypts the secret using a password before transport. The secret can only be retrieved using the same password. The automember-rebuild command can be used to retroactively run automember rules against existing entries, thus rebuilding their membership. There are a number of allowed targets: 1. subtree: a DN; the permission applies to the subtree under this DN 2. target filter: an LDAP filter 3. target: DN with possible wildcards, specifies entries permission applies to There are many structured DNS RR types where DNS data stored in LDAP server is not just a scalar value, for example an IP address or a domain name, but a data structure which may be often complex. A good example is a LOC record [RFC1876] which consists of many mandatory and optional parts (degrees, minutes, seconds of latitude and longitude, altitude or precision). This code is an extension to the otptoken plugin and provides support for reading/writing YubiKey tokens directly. To enable the binddn run the following command to set the password: LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -h ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com To verify that no server is disconnected in the topology of the given suffix, use: ipa topologysuffix-verify $suffix Topology Management of a replication topology at domain level 1. Topology Management of a replication topology. Requires minimum domain level 1. USING STRUCTURED PER-TYPE OPTIONS User vaults are vaults owned used by a particular user. Private vaults are vaults owned the current user. Service vaults are vaults owned by a service. Shared vaults are owned by the admin but they can be used by other users or services. Users Manage user entries. All users are POSIX users. IPA supports a wide range of username formats, but you need to be aware of any restrictions that may apply to your particular environment. For example, usernames that start with a digit or usernames that exceed a certain length may cause problems for some UNIX systems. Use 'ipa config-mod' to change the username format allowed by IPA tools. Disabling a user account prevents that user from obtaining new Kerberos credentials. It does not invalidate any credentials that have already been issued. Password management is not a part of this module. For more information about this topic please see: ipa help passwd Account lockout on password failure happens per IPA master. The user-status command can be used to identify which master the user is locked out on. It is on that master the administrator must unlock the user. EXAMPLES: Add a new user: ipa user-add --first=Tim --last=User --password tuser1 Find all users whose entries include the string "Tim": ipa user-find Tim Find all users with "Tim" as the first name: ipa user-find --first=Tim Disable a user account: ipa user-disable tuser1 Enable a user account: ipa user-enable tuser1 Delete a user: ipa user-del tuser1 Vaults Verify replication topology for suffix. Checks done: 1. check if a topology is not disconnected. In other words if there are replication paths between all servers. 2. check if servers don't have more than the recommended number of replication agreements When adding a record, either RR specific options or standard option for a raw value can be used, they just should not be combined in one add operation. When modifying an existing entry, new RR specific options can be used to change one part of a DNS record, where the standard option for raw value is used to specify the modified value. The following example demonstrates a modification of MX record preference from 0 to 1 in a record without modifying the exchanger: ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1 YubiKey Tokens ipa --help -8 '${cn}' Alternatively, following servers are capable of running this command: %(masters)s"%s" is not a valid permission type"%s" is not an object type${count} certificate(s) present${count} item(s) added${count} item(s) deleted${count} item(s) disabled${count} item(s) enabled${count} item(s) removed${count} option(s) removed${count} user(s) activated${count} user(s) restored${count} users(s) staged${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} applies to:${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:${primary_key} overrides:${product}, version: ${version}%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(container)s LDAP search did not return any result (search base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d CA ACL matched%(count)d CA ACLs matched%(count)d CA matched%(count)d CAs matched%(count)d DNS server matched%(count)d DNS servers matched%(count)d Group ID override matched%(count)d Group ID overrides matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d ID View matched%(count)d ID Views matched%(count)d ID override matched%(count)d ID overrides matched%(count)d IPA location matched%(count)d IPA locations matched%(count)d IPA server matched%(count)d IPA servers matched%(count)d OTP token matched%(count)d OTP tokens matched%(count)d RADIUS proxy server matched%(count)d RADIUS proxy servers matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d User ID override matched%(count)d User ID overrides matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d certificate matched%(count)d certificates matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d profile matched%(count)d profiles matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d segment matched%(count)d segments matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service delegation rule matched%(count)d service delegation rules matched%(count)d service delegation target matched%(count)d service delegation targets matched%(count)d service matched%(count)d services matched%(count)d topology suffix matched%(count)d topology suffixes matched%(count)d trust matched%(count)d trusts matched%(count)d user matched%(count)d users matched%(count)d variables%(count)d vault matched%(count)d vaults matched%(count)s server role matched%(count)s server roles matched%(cver)s client incompatible with %(sver)s server at '%(server)s'%(desc)s: %(info)s%(exception)s%(host)s failed%(host)s failed: %(error)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(label)s %(key)s cannot be deleted/modified: %(reason)s%(line)s%(name)s certificate is not valid%(obj)s default attribute %(attr)s would not be allowed!%(oname)s with name "%(pkey)s" already exists%(otype)s "%(oname)s" not found%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(task)s LDAP task timeout, Task DN: '%(task_dn)s'%(type)s category cannot be set to 'all' while there are allowed %(objects)s%(user)s is not a POSIX user%(value)s%i CA added.%i CA removed.%i CAs added.%i CAs removed.%i host or hostgroup added.%i host or hostgroup removed.%i hosts or hostgroups added.%i hosts or hostgroups removed.%i profile added.%i profile removed.%i profiles added.%i profiles removed.%i service added.%i service removed.%i services added.%i services removed.%i user or group added.%i user or group removed.%i users or groups added.%i users or groups removed.%s%s Record%s is not a valid attribute.%s record%s to add%s to exclude from migration%s to remove%s: group not found%s: user is already preserved'${port}' is not a valid port'%(command)s' is deprecated. %(additional_info)s'%(entry)s' doesn't have a certificate.'%(name)s' is required'%(option)s' option is deprecated. %(additional_info)s'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record(deprecated)(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reason One-Time-Password(OTP): Generate new OTP code for each OTP field. To login with Kerberos, please make sure you have valid tickets (obtainable via kinit) and configured the browser correctly, then click Login. To login with username and password, enter them in the corresponding fields, then click Login.
  1. Create a certificate database or use an existing one. To create a new database:
    # certutil -N -d <database path>
  2. Create a CSR with subject CN=<${cn_name}>,O=<realm>, for example:
    # certutil -R -d <database path> -a -g <key size> -s 'CN=${cn},O=${realm}'${san}
  3. Copy and paste the CSR (from -----BEGIN NEW CERTIFICATE REQUEST----- to -----END NEW CERTIFICATE REQUEST-----) into the text area below:

Implicit method (password) will be used if no method is chosen.

Password + Two-factor: LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.

RADIUS with another type: Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.

Per-user setting, overwrites the global setting if any option is checked.

Password + Two-factor: LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.

RADIUS with another type: Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.

A Create reverseA IP AddressA SYSTEM permission may not be modified or removedA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this RADIUS proxy serverA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA list of SELinux users delimited by $ expectedA managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA recordA space separated list of attributes which are removed from replication updates.A string searched in all relevant object attributesA6 Record dataA6 recordAA CompromiseAAAA Create reverseAAAA IP AddressAAAA recordACIACI nameACI of permission %s was not foundACI prefixACI prefix is requiredACI with name "%s" not foundACIsACL nameAD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issueAD Trust setupAD domain controllerAD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for exampleAFSDB HostnameAFSDB SubtypeAFSDB recordAPI BrowserAPI Version number was not sent, forward compatibility not guaranteed. Assuming server's API version, %(server_version)sAPL recordAboutAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActivateActivate a stage user "%(value)s"Activate a stage user.Active Directory domainActive Directory domain administratorActive Directory domain administrator's passwordActive Directory domain rangeActive Directory domain with POSIX attributesActive Directory trust range with POSIX attributesActive Directory winsyncActive directory domain administrator's passwordActive usersActive zoneAddAdd ${entity}Add ${entity} ${primary_key} into ${other_entity}Add ${other_entity} Managing ${entity} ${primary_key}Add ${other_entity} into ${entity} ${primary_key}Add Allow ${other_entity} into ${entity} ${primary_key}Add CAs to a CA ACL.Add Condition into ${pkey}Add Custom AttributeAdd Custom Authentication IndicatorAdd Deny ${other_entity} into ${entity} ${primary_key}Add Kerberos Principal AliasAdd ManyAdd OTP TokenAdd PermissionAdd RuleAdd RunAs ${other_entity} into ${entity} ${primary_key}Add RunAs Groups into ${entity} ${primary_key}Add a manager to the stage user entryAdd a manager to the user entryAdd a new DNS server.Add a new Group ID override.Add a new HBAC service group.Add a new HBAC service.Add a new ID View.Add a new ID override.Add a new IPA location.Add a new IPA new service.Add a new IPA service.Add a new OTP token.Add a new RADIUS proxy server.Add a new User ID override.Add a new YubiKey OTP token.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new segment.Add a new self-service permission.Add a new stage user.Add a new topology suffix to be managed.Add a new user.Add a permission for per-forward zone access delegation.Add a permission for per-zone access delegation.Add a system permission without an ACI (internal command)Add an attribute/value pair. Format is attr=value. The attribute must be part of the schema.Add an automember rule.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd certificates to host entryAdd commands and sudo command groups affected by Sudo Rule.Add conditions to an automember rule.Add custom valueAdd domainAdd forward record for nameserver located in the created zoneAdd group for Sudo to execute as.Add hosts and hostgroups affected by Sudo Rule.Add hosts that can manage this host.Add hosts that can manage this service.Add member to a named service delegation rule.Add member to a named service delegation target.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a privilege.Add members to a role.Add members to a vault.Add members to an HBAC service group.Add migrated users without a group to a default group (default: true)Add new DNS resource record.Add new certificates to a serviceAdd new principal alias to a serviceAdd new principal alias to host entryAdd one or more certificates to the idoverrideuser entryAdd one or more certificates to the user entryAdd owners to a vault container.Add owners to a vault.Add permissions to a privilege.Add principalAdd privileges to a role.Add profiles to a CA ACL.Add services to a CA ACL.Add services to an HBAC rule.Add target hosts and hostgroups to a CA ACL.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add target to a named service delegation rule.Add target to a named service delegation.Add the host to DNS with this IP addressAdd to default groupAdd users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to a CA ACL.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Add users that can manage this token.Added %(map)sAdded %(src)s to %(dst)sAdded Active Directory trust for realm "%(value)s"Added CA ACL "%(value)s"Added Group ID override "%(value)s"Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID View "%(value)s"Added ID override "%(value)s"Added ID range "%(value)s"Added IPA location "%(value)s"Added OTP token "%(value)s"Added RADIUS proxy server "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added User ID override "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added certificates to host "%(value)s"Added certificates to idoverrideuser "%(value)s"Added certificates to service principal "%(value)s"Added certificates to user "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added new DNS server "%(value)s"Added new aliases to host "%(value)s"Added new aliases to the service principal "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added segment "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added service delegation rule "%(value)s"Added service delegation target "%(value)s"Added stage user "%(value)s"Added system permission "%(value)s"Added topology suffix "%(value)s"Added user "%(value)s"Added vault "%(value)s"Additional instructions:Address not valid, can't redirectAdministrative accountAdministrator e-mail addressAdvertised by serversAffiliation ChangedAgreements deletedAlgorithmAllAll attributes to which the permission appliesAll commands should at least have a resultAll target filters, including those implied by type and memberofAllowAllow ${other_entity} to create keytab of ${primary_key}Allow ${other_entity} to retrieve keytab of ${primary_key}Allow PTR syncAllow access from the trusted domainAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow falling back to AD DC LDAP when resolving AD trusted objects. For two-way trusts only.Allow in-line DNSSEC signingAllow inline DNSSEC signing of records in the zoneAllow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllow use of IPA resources by the domain of the trustAllow users, groups, hosts or host groups to create a keytab of this host.Allow users, groups, hosts or host groups to create a keytab of this service.Allow users, groups, hosts or host groups to retrieve a keytab of this host.Allow users, groups, hosts or host groups to retrieve a keytab of this service.Allowed TargetAllowed to ImpersonateAllowed to create keytabAllowed to retrieve keytabAllows migration despite the usage of compat pluginAlready registeredAlternative UPN suffixesAltitudeAlways askAmbiguous search, user domain was not specifiedAn IPA master host cannot be deleted or disabledAn error has occurred (${error})An error occurred while fetching dns zones.An id range already exists for this trust. You should either delete the old range, or exclude --base-id/--range-size options from the command.An interval between regular polls of the name server for new DNS zonesAnchor '%(anchor)s' could not be resolved.Anchor to overrideAny CAAny CommandAny GroupAny HostAny ProfileAny ServiceAnyoneApplied to hostsApplies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overridden.Applies ID View to specified hosts or current members of specified hostgroups. If any other ID View is applied to the host, it is overriden.ApplyApply ACI to your own entry (self)Apply ID View ${primary_key} on hosts of ${entity}Apply ID view ${primary_key} on ${entity}Apply to host groupsApply to hostsArbitrary string identifying the segmentArchive data into a vault.Archived data into vault "%(value)s"Are you sure you want to ${action} the user?
The change will take effect immediately.Are you sure you want to activate ${object}?Are you sure you want to activate selected users?Are you sure you want to add permission for DNS Zone ${object}?Are you sure you want to delete ${object}?Are you sure you want to delete selected entries?Are you sure you want to disable ${object}?Are you sure you want to disable selected entries?Are you sure you want to enable ${object}?Are you sure you want to enable selected entries?Are you sure you want to proceed with the action?Are you sure you want to rebuild auto membership?Are you sure you want to remove permission for DNS Zone ${object}?Are you sure you want to restore ${object}?Are you sure you want to restore selected users?Are you sure you want to stage ${object}?Are you sure you want to stage selected users?Are you sure you want to un-apply ID view from selected entries?Are you sure you want to unlock user ${object}?Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?As WhomAsks for a non-random password to use for the principalAssigned ID ViewAssigned manager of the token (default: self)Assigned user of the token (default: self)At least the domain or IP address should be specifiedAttributeAttribute KeyAttribute breakdownAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAttributes for total updateAttributes that are not replicated to a consumer server during a fractional update. E.g., `(objectclass=*) $ EXCLUDE accountlockout memberofAttributes that are not replicated to a consumer server during a total update. E.g. (objectclass=*) $ EXCLUDE accountlockoutAttributes to be ignored for group entries in DSAttributes to be ignored for user entries in DSAttributes to stripAttributes to which the delegation appliesAttributes to which the permission appliesAttributes to which the permission applies by defaultAttributes to which the permission applies.AuditAuthenticationAuthentication IndicatorsAuthentication indicatorAuthentication indicatorsAuthoritative nameserverAuthoritative nameserver changeAuthoritative nameserver domain nameAuthority IDAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!AutogeneratedAutomatic update of DNS system records failed. Please re-run update of system records manually to get list of missing records.AutomemberAutomember RuleAutomember rebuild membership task completedAutomember rebuild membership task startedAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad or unsupported salt type. Bad search filterBad search filter %(info)sBase DNBase DN on remote LDAP serverBase IDBase for certificate subjects (OU=Test,O=Example)Base-64 encoded host certificateBase-64 encoded server certificateBase-64 encoded service certificateBase-64 encoded user certificateBase64 decoding failed: %(reason)sBinary data to archiveBind DNBind failed: %s Bind password required when using a bind DN. Bind rule typeBrief description of this profileCACA '%s' is disabledCA ACLCA ACLsCA CompromiseCA categoryCA category cannot be set to 'all' while there are allowed CAsCA category the ACL applies toCA certificateCA is not configuredCAsCAs cannot be added when CA category='all'CERT AlgorithmCERT Certificate TypeCERT Certificate/CRLCERT Key TagCERT recordCIFS credentials objectCIFS server %(host)s denied your credentialsCIFS server denied your credentialsCLI metavarCLI nameCNAME HostnameCNAME recordCNAME record is not allowed to coexist with any other record (RFC 1034, section 3.6.2)CSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot decode file '%(filename)s': %(exc)sCannot establish LSA connection to %(host)s. Is CIFS server running?Cannot establish a trust to AD deployed in the same domain as IPA. Such setup is not supported.Cannot find specified domain or server nameCannot perform SID validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform external member validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform join operation without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot perform the selected command without Samba 4 instance configured on this machine. Make sure you have run ipa-adtrust-install on this server.Cannot perform the selected command without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA.Cannot read file '%(filename)s': %(exc)sCannot resolve KDC for requested realmCannot retrieve trusted domain GC listCannot search in trusted domains without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot store permission ACI to %sCannot use %(old_name)s with %(new_name)sCar LicenseCertificateCertificate Association DataCertificate AuthoritiesCertificate AuthorityCertificate HoldCertificate Hold RemovedCertificate ProfileCertificate Profile to useCertificate ProfilesCertificate RevokedCertificate Subject baseCertificate TypeCertificate UsageCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate in base64 or PEM formatCertificate operation cannot be completed: %(error)sCertificate profiles cannot be renamedCertificate requestedCertificate subject base is: %s Certificate with serial number %(serial)s issued by CA '%(ca)s' not foundCertificate(s) stored in file '%(file)s'Certificate/CRLCertificatesCessation of OperationChange current Domain Level.Change passwordChange to POSIX groupChange to external groupChanged password for "%(value)s"Character classesCheck DNSCheck connection to remote IPA server.Check the status of a certificate signing request.Checking if record exists.Checks if any of the servers has the CA service enabled.CityClassClears ID View from specified hosts or current members of specified hostgroups.Click to ${action}Client credentials may be delegated to the serviceClient is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.Clock intervalClock offsetCloseClosing keytab failed Collapse AllComma separated encryption types listCommand '%(name)s' has been deprecatedCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfigure your tokenConfigure your token by scanning the QR code below. Click on the QR code if you see this on the device you want to configure.Configured administrative server limit exceededConfigured size limit exceededConfigured time limit exceededConfirm (password)ConfirmationConnectivityConsecutive failures before lockoutContact SettingsContact this specific KDC ServerContinueContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Convert on serverCould not get %(name)s interactivelyCould not read UPG Definition originfilter. Check your permissions.CounterCounter-based (HOTP)Create Stage user in from a delete userCreate a CA.Create a new CA ACL.Create a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create a new service delegation rule.Create a new service delegation target.Create a new vault.Create as a non-POSIX groupCreate dns recordCreate new ACI.Create new DNS forward zone.Create new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Created CA "%(value)s"Creating record.Credentials cache permissions incorrectCross-realm trusts are not configured. Make sure you have run ipa-adtrust-install on the IPA server firstCurrent DNS record contents: Current PasswordCurrent domain level:Current password is requiredCustom valueDHCID recordDLV AlgorithmDLV DigestDLV Digest TypeDLV Key TagDLV recordDN commonName does not match user's loginDN emailAddress does not match any of user's email addressesDN of container for groups in DS relative to base DNDN of container for users in DS relative to base DNDN of the started taskDN to bind as if not using kerberosDNAME TargetDNAME recordDNSDNS Forward ZoneDNS Forward ZonesDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ServerDNS Server nameDNS ServersDNS ZoneDNS Zone SettingsDNS ZonesDNS check failed: Expected {%(expected)s} got {%(got)s}DNS classDNS configuration optionsDNS forward zoneDNS forward zonesDNS forwarderDNS forwarder semantics changed since IPA 4.0. You may want to use forward zones (dnsforwardzone-*) instead. For more details read the docs.DNS is not configuredDNS label cannot be longer than 63 charactersDNS label cannot be longer that 63 charactersDNS record was deleted because it contained no data.DNS record(s) of host %(host)s could not be removed. (%(reason)s)DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone %(revzone)s for IP address %(addr)s is not managed by this serverDNS serverDNS server %(server)s does not support DNSSEC: %(error)s. If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s does not support EDNS0 (RFC 6891): %(error)s. If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s: %(error)s.DNS serversDNS zoneDNS zone %(zone)s not foundDNS zone for each realmdomain must contain SOA or NS records. No records found for: %sDNS zone root record cannot be renamedDNS zonesDNSKEY recordDNSSEC support is experimental. %(additional_info)sDNSSEC validation failed: %(error)s. Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.DS AlgorithmDS DigestDS Digest TypeDS Key TagDS recordDS record must not be in zone apex (RFC 4035 section 2.4)DS record requires to coexist with an NS record (RFC 4592 section 4.6, RFC 4035 section 2.4)DataDebugging outputDefaultDefault (fallback) GroupDefault (fallback) group for entries to landDefault PAC typesDefault SELinux userDefault SELinux user when no match is found in SELinux map ruleDefault Trust View cannot be applied on hostsDefault Trust View cannot contain IPA usersDefault attributesDefault e-mail domainDefault fromDefault group for entries to landDefault group for new usersDefault group for new users is not POSIXDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default host groupDefault location of home directoriesDefault shellDefault shell for new usersDefault ticket policy could not be readDefault types of PAC supported for servicesDefault types of supported user authenticationDefault user authentication typesDefault user groupDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDefines a whitelist for Authentication Indicators. Use 'otp' to allow OTP-based 2FA authentications. Use 'radius' to allow RADIUS-based 2FA authentications. Other values may be used for custom configurations.Degrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete ACI.Delete DNS forward zone.Delete DNS resource record.Delete DNS zone (SOA record).Delete IPA server.Delete Key, UnprovisionDelete ServerDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a CA ACL.Delete a CA.Delete a Certificate Profile.Delete a DNS serverDelete a RADIUS proxy server.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a segment.Delete a self-service permission.Delete a stage user.Delete a topology suffix.Delete a trust.Delete a userDelete a user, keeping the entry available for future useDelete a user.Delete a vault container.Delete a vault.Delete all associated recordsDelete all?Delete an Group ID override.Delete an HBAC rule.Delete an HBAC service group.Delete an ID View.Delete an ID override.Delete an ID range.Delete an IPA location.Delete an IPA service.Delete an OTP token.Delete an User ID override.Delete an attribute/value pair. The option will be evaluated last, after all sets and adds.Delete an automember rule.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete domainDelete group.Delete modeDelete service delegation target.Delete service delegation.Deleted ACI "%(value)s"Deleted CA "%(value)s"Deleted CA ACL "%(value)s"Deleted DNS forward zone "%(value)s"Deleted DNS server "%(value)s"Deleted DNS zone "%(value)s"Deleted Group ID override "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID View "%(value)s"Deleted ID override "%(value)s"Deleted ID range "%(value)s"Deleted IPA location "%(value)s"Deleted IPA server "%(value)s"Deleted OTP token "%(value)s"Deleted RADIUS proxy server "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted User ID override "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted profile "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted segment "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted service delegation "%(value)s"Deleted service delegation target "%(value)s"Deleted stage user "%(value)s"Deleted topology suffix "%(value)s"Deleted trust "%(value)s"Deleted user "%(value)s"Deleted vault "%(value)s"Deleted vault containerDeleting a managed group is not allowed. It must be detached first.Deleting this server is not allowed as it would leave your installation without a CA.Deleting this server will leave your installation without a DNS.DenyDepartment NumberDeprecated optionsDeprecated; use %sDescriptionDescription of the purpose of the CADetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"DetectDetermine whether Schema Compatibility plugin is configured to serve trusted domain users and groupsDetermine whether ipa-adtrust-install has been run on this systemDetermine whether ipa-adtrust-install has been run with sidgen taskDict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping variable name to valueDigestDigest TypeDigitsDirectDirect MembershipDirection LatitudeDirection LongitudeDirection of replication between left and right replication nodeDisableDisable DNS Forward Zone.Disable DNS Zone.Disable a CA ACL.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable per-user overrideDisable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.Disable tokenDisable use of IPA resources by the domain of the trustDisabledDisabled CA ACL "%(value)s"Disabled DNS forward zone "%(value)s"Disabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled host "%(value)s"Disabled service "%(value)s"Disabled trust domain "%(value)s"Disabled user account "%(value)s"Disallow ${other_entity} to create keytab of ${primary_key}Disallow ${other_entity} to retrieve keytab of ${primary_key}Disallow users, groups, hosts or host groups to create a keytab of this host.Disallow users, groups, hosts or host groups to create a keytab of this service.Disallow users, groups, hosts or host groups to retrieve a keytab of this host.Disallow users, groups, hosts or host groups to retrieve a keytab of this service.Display DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display a segment.Display a single ACI given an ACI name.Display an automount key.Display an automount location.Display an automount map.Display configuration of a DNS server.Display effective policy for a specific userDisplay information about a DNS forward zone.Display information about a DNS zone (SOA record).Display information about a RADIUS proxy server.Display information about a command output.Display information about a command parameter.Display information about a command.Display information about a delegation.Display information about a help topic.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a named service delegation rule.Display information about a named service delegation target.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a stage user.Display information about a trust.Display information about a user.Display information about a vault container.Display information about a vault.Display information about an Group ID override.Display information about an HBAC service group.Display information about an HBAC service.Display information about an ID View.Display information about an ID override.Display information about an IPA location.Display information about an IPA service.Display information about an OTP token.Display information about an User ID override.Display information about an automember rule.Display information about password policy.Display information about the default (fallback) automember groups.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the list of realm domains.Display the properties of a CA ACL.Display the properties of a CA.Display the properties of a Certificate Profile.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDo not display QR codeDo you also want to perform DNS check?Do you want to check if new authoritative nameserver address is in DNSDo you want to remove kerberos alias ${alias}?Do you want to remove the certificate hold?Do you want to revoke this certificate? Select a reason from the pull-down list.Do you want to update system DNS records?DocumentationDogtag Authority IDDomainDomain '%(domain)s' is not a root domain for forest '%(forest)s'Domain GUIDDomain LevelDomain Level cannot be lowered.Domain Level cannot be raised to {0}, server {1} does not support it.Domain NetBIOS nameDomain SIDDomain SID of the trusted domainDomain Security IdentifierDomain controller for the Active Directory domain (optional)Domain enabledDomain nameDon't create user private groupDon't wait for rebuilding membershipDownloadDownload certificate as PEM formatted file.Dry runDuplicate keys skipped:Duplicate maps skipped:Dynamic updateEditEdit ${entity}Effective attributesEmail addressEmployee InformationEmployee NumberEmployee TypeEnableEnable DNS Forward Zone.Enable DNS Zone.Enable a CA ACL.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.Enable tokenEnabledEnabled CA ACL "%(value)s"Enabled DNS forward zone "%(value)s"Enabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled server rolesEnabled trust domain "%(value)s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed! EnrolledEnrollmentEnrollment failed. %s Enter %(label)s again to verify: Enter trusted group name.Enter trusted or IPA group name. Note: search doesn't list groups from trusted domains.Enter trusted or IPA user login. Note: search doesn't list users from trusted domains.Enter trusted user login.EntryEntry %s does not existEntry %s not foundEntry RDN is not 'uid'Entry has no '%(attribute)s'Enumerate all the hosts the view applies to.ErrorError changing account statusError getting default Kerberos realm: %s. Error obtaining initial credentials: %s. Error parsing "%1$s": %2$s. Error resolving keytab: %s. Error storing creds in credential cache: %s. Establish bi-directional trust. By default trust is inbound one-way only.Establish external trust to a domain in another forest. The trust is not transitive beyond the domain.Establish usingEstablished and verifiedExchangerExclude fromExcluded attributesExclusiveExclusive RegexExpand AllExpires OnExport plugin meta-data for the webUI.ExpressionExternalExternal Group the commands can run as (sudorule-find only)External Groups of RunAs UsersExternal Groups of users that the command can run asExternal UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExternal trustExtra hashes to generate in password plug-inExtra target filterFailed CAsFailed RunAsFailed RunAsGroupFailed allowed to create keytabFailed allowed to retrieve keytabFailed hosts/hostgroupsFailed loginsFailed managedbyFailed membersFailed ownersFailed profilesFailed service/service groupsFailed source hosts/hostgroupsFailed targetsFailed to addFailed to add key to the keytab Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to authenticate to CA REST APIFailed to bind to server! Failed to clean memberPrincipal %(principal)s from s4u2proxy entry %(dn)s: %(err)sFailed to clean up DNA hostname entries for %(master)s: %(err)sFailed to cleanup %(hostname)s DNS entries: %(err)sFailed to cleanup server principals/keys: %(err)sFailed to close the keytab Failed to create control! Failed to create key material Failed to create key! Failed to create random key! Failed to decode control reply! Failed to get keytab Failed to get keytab! Failed to get result: %s Failed to open Keytab Failed to open config file %s Failed to open keytab Failed to open keytab '%1$s': %2$s Failed to parse config file %s Failed to parse extended result: %s Failed to parse result: %s Failed to removeFailed to remove server %(master)s from server list: %(err)sFailed to retrieve any keysFailed to retrieve encryption type %1$s (#%2$d) Failed to retrieve encryption type type #%d Failed users/groupsFailure decoding Certificate Signing Request: %sFailure reset intervalFallback primary groupFallback to AD DC LDAPFalseFalse if migration fails because the compatibility plug-in is enabled.False if migration mode was disabled.Fax NumberFetch domainsFetching DNS zones.Fetching domains from trusted forest failed. See details in the error_logFile %(file)s not foundFile containing data to archiveFile containing profile configurationFile containing the new vault passwordFile containing the new vault public keyFile containing the old vault passwordFile containing the old vault private keyFile containing the vault passwordFile containing the vault private keyFile containing the vault public keyFile to load the certificate from.File to store retrieved dataFile to store the certificate in.File were to store the keytab informationFilename is emptyFilename of a raw profile. The XML format is not supported.FilterFilter available ${other_entity}FindFind a server role on a server(s)FingerprintFingerprint (SHA1)Fingerprint TypeFingerprintsFirstFirst CodeFirst OTPFirst Posix ID of the rangeFirst Posix ID of the range reserved for the trusted domainFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst date/time the token can be usedFirst nameFlagsFollowing segments were not deleted:ForceForce DNS zone creation even if it will overlap with an existing zone.Force DNS zone creation even if nameserver is not resolvable.Force DNS zone creation even if nameserver is not resolvable. (Deprecated)Force UpdateForce adding domain even if not in DNSForce nameserver change even if nameserver not in DNSForce server removalForce server removal even if it does not existForce the host join. Rejoin even if already joined.Forcing removal of %(hostname)sFormat errorForward firstForward onlyForward policyForward policy is defined for it in IPA DNS, perhaps forwarder points to incorrect host?Forward to server instead of running locallyForward zones onlyForwardersForwarding disabledForwarding policy conflicts with some automatic empty zones. Queries for zones specified by RFC 6303 will ignore forwarding and recursion and always result in NXDOMAIN answers. To override this behavior use forward policy 'only'.Found '%(value)s'Full nameFully Qualified Host NameGECOSGIDGID (use this option to set it manually)GeneralGenerate OTPGenerate a random password to be used in bulk enrollmentGenerate a random user passwordGenerate automount files for a specific location.Generated OTPGetGet CertificateGlobal DNS configuration is emptyGlobal Trust ConfigurationGlobal forwardersGlobal forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Global forwarding policy. Set to "none" to disable any configured global forwarders.Granted rightsGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup ID overrideGroup ID overridesGroup OptionsGroup SettingsGroup TypeGroup containerGroup descriptionGroup nameGroup object classGroup object overridesGroup search fieldsGroup to apply ACI toGroup to overrideGrouping TypeGrouping to which the rule appliesGroupsGroups allowed to create keytabGroups allowed to retrieve keytabGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC service groups to addHBAC service groups to removeHBAC servicesHBAC services to addHBAC services to removeHIP recordHOTP Authentication WindowHOTP Synchronization WindowHOTP authentication skip-aheadHOTP synchronization skip-aheadHTTP ErrorHardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Help topicHideHide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost '%(hostname)s' does not have corresponding DNS A/AAAA recordHost CertificateHost GroupHost Group SettingsHost GroupsHost Groups allowed to create keytabHost Groups allowed to retrieve keytabHost MasksHost NameHost SettingsHost categoryHost category (semantics placed on this attribute are for local interpretation)Host category the ACL applies toHost category the rule applies toHost group ruleHost group rulesHost hardware platform (e.g. "Lenovo T61")Host is already joined. Host is not supportedHost locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host unprovisionedHost-based access control commandsHost-groupHostgroups to whose hosts apply the ID View to. Please note that view is not applied automatically to any hosts added to the hostgroup after running the idview-apply command.Hostgroups whose hosts should have ID Views cleared. Note that view is not cleared automatically from any host added to the hostgroup after running idview-unapply command.HostnameHostname (FQDN)Hostname of this serverHostsHosts allowed to create keytabHosts allowed to retrieve keytabHosts or hostgroups that ID View could not be cleared from.Hosts or hostgroups that this ID View could not be applied to.Hosts that ID View was cleared from.Hosts that this ID View was applied to.Hosts the view applies toHosts to apply the ID View toHosts to clear (any) ID View from.How long should negative responses be cachedID RangeID RangesID ViewID View NameID View already appliedID View applied to %i host.ID View applied to %i hosts.ID View cleared from %i host.ID View cleared from %i hosts.ID ViewsID overrideID overrides cannot be renamedID range for the trusted domain already exists, but it has a different type. Please remove the old range manually, or do not enforce type via --range-type option.ID range type, one of ipa-ad-trust-posix, ipa-ad-trust, ipa-localID range type, one of {vals}ID range with the same name but different domain SID already exists. The ID range for the new trusted domain must be created manually.IP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP network to create reverse zone name fromIPA AD trust agentsIPA AD trust controllersIPA CA cannot be deletedIPA CA renewal masterIPA CA serversIPA DNS recordsIPA DNS serversIPA DNS versionIPA DNSSec key masterIPA ErrorIPA KRA serversIPA LocationIPA Location descriptionIPA LocationsIPA NTP serversIPA Range type must be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is specifiedIPA Range type must not be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is not specified.IPA ServerIPA Server RoleIPA Server RolesIPA Server to useIPA ServersIPA does not manage the zone %(zone)s, please add records to your DNS server manuallyIPA location nameIPA location recordsIPA master denied trust validation requests from AD DC %(count)d times. Most likely AD DC contacted a replica that has no trust information replicated yet. Additionally, please check that AD DNS is able to resolve %(records)s SRV records to the correct IPA server.IPA mastersIPA namingContext not found IPA objectIPA role nameIPA server configured as DNSSec key masterIPA server domain cannot be deletedIPA server domain cannot be omittedIPA server hostnameIPA server role nameIPA servers configured as AD trust agentsIPA servers configured as AD trust controllersIPA servers configured as certificate authorityIPA servers configured as key recovery agentsIPA servers with enabled NTPIPA trustIPA unique IDIPSECKEY recordIdentityIdentity SettingsIf no CAs are specified, requests to the default CA are allowed.If the problem persists please contact the system administrator.Ignore check for last remaining CA or DNS serverIgnore compat pluginIgnore group attributeIgnore group object classIgnore topology connectivity problems after removalIgnore topology errorsIgnore user attributeIgnore user object classIgnored %(src)s to %(dst)sIgnored keys:Ignoring these warnings and proceeding with removalIgnoring topology connectivity errors.Import a Certificate Profile.Import automount files for a specific location.Imported keys:Imported maps:Imported profile "%(value)s"Include DisabledInclude EnabledInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]Include inIncluded attributesInclusiveInclusive RegexIncompatible options provided (-r and -P) IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of host-groupIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInherited from server configurationInitialize left nodeInitialize right nodeInitialsInput data specified multiple timesInput filenameInput form contains invalid or missing values.Insufficient 'add' privilege for entry '%s'.Insufficient 'write' privilege to the 'krbLastPwdChange' attribute of entry '%s'.Insufficient 'write' privilege to the 'userCertificate' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to create a certificate with subject alt name '%s'.Internal ErrorInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid MCS value, must match c[0-1023].c[0-1023] and/or c[0-1023]-c[0-c0123]Invalid MLS value, must match s[0-15](-s[0-15])Invalid Service Principal Name Invalid credentialsInvalid format. Should be name=valueInvalid number of parts!Invalid or unsupported type. Allowed values are: %sInvalid or unsupported vault public key: %sInvalid vault typeIs zone active?IssueIssue New CertificateIssue New Certificate for ${entity} ${primary_key}Issued ByIssued OnIssued ToIssued on fromIssued on from this date (YYYY-mm-dd)Issued on toIssued on to this date (YYYY-mm-dd)IssuerIssuer DNIssuer Distinguished NameIssuing CAIt is used only for setting the SOA MNAME attribute.Job TitleJoin an IPA domainKEY recordKRA service is not enabledKX ExchangerKX PreferenceKX recordKerberos Credential Cache not found. Do you have a Kerberos Ticket? Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache? Kerberos context initialization failed Kerberos context initialization failed: %1$s (%2$d) Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal expirationKerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s LDAP DNLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLDAP search scope for users and groups: base, onelevel, or subtree. Defaults to onelevelLDAP suffix to be managedLDAP timeoutLOC AltitudeLOC Degrees LatitudeLOC Degrees LongitudeLOC Direction LatitudeLOC Direction LongitudeLOC Horizontal PrecisionLOC Minutes LatitudeLOC Minutes LongitudeLOC Seconds LatitudeLOC Seconds LongitudeLOC SizeLOC Vertical PrecisionLOC recordLabelLastLast date/time the token can be usedLast failed authenticationLast nameLast successful authenticationLeading and trailing spaces are not allowedLeft nodeLeft replication node - an IPA serverLegal LDAP filter (e.g. ou=Engineering)Length of TOTP token code validityLevelList all service vaultsList all user vaultsList of IPA masters configured as DNS serversList of all IPA mastersList of deletions that failedList of enabled rolesList of servers which advertise the given locationList of trust domains successfully refreshed. Use trustdomain-find command to list them.Lists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Load CA certificate of LDAP server from FILELocal domainLocalityLocationLocation nameLocation of the ACILockout durationLogged In AsLoginLogin shellLogoutLogout errorMAC addressMS-PACMX ExchangerMX PreferenceMX recordMailing AddressMalformed DNMalformed principalManage password policy for specific groupManage ticket policy for specific userManaged LDAP suffix DNManaged byManaged suffixManaged suffixesManaged topology requires minimal domain level ${domainlevel}Managedby permissionManagerManagingMapMap TypeMark the token as disabled (default: false)Master fileMatchedMatched rulesMatching TypeMax domain levelMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (-1 or 0 is unlimited)Maximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum domain levelMaximum number of agreements per replicaMaximum number of certs returnedMaximum number of entries returnedMaximum number of entries returned (0 is unlimited)Maximum number of records to search (-1 is unlimited)Maximum number of records to search (-1 or 0 is unlimited)Maximum number of rules to process when no --rules is specifiedMaximum password life must be greater than minimum.Maximum password lifetime (in days)Maximum renewable age (seconds)Maximum serial numberMaximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember GroupMember HBAC serviceMember HBAC service groupsMember HostMember HostgroupMember Sudo commandsMember UserMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of HBAC ruleMember of Sudo ruleMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember principalsMember service groupsMember servicesMember user groupMember usersMembers of a trusted domain in DOM\name or name@domain formMembers that could not be addedMembers that could not be removedMigrate users and groups from DS to IPA.Migration mode is disabled. Use 'ipa config-mod --enable-migration=TRUE' to enable it.Migration of LDAP search reference is not supported.Min domain levelMin lengthMin lifetime (hours)Minimum domain levelMinimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum serial numberMinimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing new vault public keyMissing or invalid HTTP Referer, %(referer)sMissing reply control list! Missing reply control! Missing values: Missing vault private keyMissing vault public keyMobile Telephone NumberModelModifiedModified "%(value)s" trust configurationModified ACI "%(value)s"Modified CA "%(value)s"Modified CA ACL "%(value)s"Modified Certificate Profile "%(value)s"Modified DNS server "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified IPA location "%(value)s"Modified IPA server "%(value)s"Modified OTP token "%(value)s"Modified RADIUS proxy server "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified an Group ID override "%(value)s"Modified an ID View "%(value)s"Modified an ID override "%(value)s"Modified an User ID override "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified segment "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified stage user "%(value)s"Modified topology suffix "%(value)s"Modified trust "%(value)s" (change will be effective in 60 seconds)Modified user "%(value)s"Modified vault "%(value)s"Modified: key not setModify %(name)s '%(value)s'?Modify ACI.Modify CA configuration.Modify Certificate Profile configuration.Modify DNS forward zone.Modify DNS server configurationModify DNS zone (SOA record).Modify ID range.Modify ID range. {0} Modify Kerberos ticket policy.Modify OTP configuration options.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a CA ACL.Modify a DNS resource record.Modify a OTP token.Modify a RADIUS proxy server.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a segment.Modify a self-service permission.Modify a stage user.Modify a topology suffix.Modify a user.Modify a vault.Modify an Group ID override.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an ID View.Modify an ID override.Modify an User ID override.Modify an automember rule.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify global trust configuration.Modify information about a host.Modify information about an IPA location.Modify information about an IPA server.Modify realm domains.Modify trustdomain of the trustMore than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMove deleted user into staged areaMulti-valueMust be a decimal numberMust be an UTC date/time value (e.g., "2014-01-20 17:58:01Z")Must be an integerNAPTR FlagsNAPTR OrderNAPTR PreferenceNAPTR Regular ExpressionNAPTR ReplacementNAPTR ServiceNAPTR recordNIS domain nameNONE value cannot be combined with other PAC typesNS HostnameNS recordNS record is not allowed to coexist with an %(type)s record except when located in a zone root record (RFC 2181, section 6.1)NS record(s) can be edited in zone apex - '@'. NSEC recordNSEC3 recordNSEC3PARAM recordNSEC3PARAM record for zone in format: hash_algorithm flags iterations saltNameName for referencing the CAName of command to exportName of host-groupName of issuing CAName of method to exportName of object to exportName of parent automount map (default: auto.master).Name of the trusted domainNameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver for reverse zone cannot be a relative DNS nameNeither --del-all nor options to delete a specific record provided. Command help may be consulted for all supported record types.Nested Methods to executeNetBIOS nameNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNetwork ServicesNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew kerberos principal aliasNew mount informationNew password is requiredNew public key specified multiple timesNew vault passwordNew: key not setNew: key setNextNo A, AAAA, SSHFP or PTR records found.No Common Name was found in subject of request.No DNS servers in IPA location %(location)s. Without DNS servers location is not working as expected.No DNSSEC key master is installed. DNSSEC zone signing will not work until the DNSSEC key master is installed.No Valid CertificateNo archived data.No credentials cache foundNo default (fallback) group setNo entries.No file to readNo free YubiKey slot!No keys accepted by KDC No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain. No private groupNo responseNo such attribute on this entryNo such virtual commandNo system preferred enctypes ?! No trusted domain is not configuredNo values for %sNo waitNo write permissions on keytab file '%s' Non-2xx response from CA REST API: %(status)d. %(explanation)sNon-Active Directory domainNon-existent or invalid rulesNon-transitive external trust to a domain in another Active Directory forestNonceNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot a valid network address (examples: 2001:db8::/64, 192.0.2.0/24)Not allowed on non-leaf entryNot enough arguments specified to perform trust setupNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of digits each token code will haveNumber of entries returnedNumber of hosts that had a ID View was unset:Number of hosts the ID View was applied to:Number of members addedNumber of members removedNumber of owners addedNumber of owners removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of seconds outbound LDAP operations waits for a response from the remote replica before timing out and failingNumber of variables returned (<= total)OKOTPOTP ConfigurationOTP TokenOTP Token SettingsOTP TokensOTP configuration optionsOTP setOTP tokenOTP tokensObjectclasses to be ignored for group entries in DSObjectclasses to be ignored for user entries in DSObjectclasses used to search for group entries in DSObjectclasses used to search for user entries in DSOld vault passwordOld vault private keyOne Time PasswordOne of group, permission or self is requiredOne time password commandsOne-Time-PasswordOne-Time-Password Not PresentOne-Time-Password PresentOnly one value is allowedOnly one zone type is allowed per zone nameOnly the ipa-ad-trust and ipa-ad-trust-posix are allowed values for --range-type when adding an AD trust.Operating System and version of the host (e.g. Fedora 9)Operating systemOperation failed: %s Operations ErrorOption addedOption groupOption rid-base must not be used when IPA range type is ipa-ad-trust-posixOptional DN subtree from where an entry can be moved (must be in the subtree, but may not yet exist)Optional DN subtree where an entry can be moved to (must be in the subtree, but may not yet exist)Optional DN to apply the permission to (must be in the subtree, but may not yet exist)OptionsOptions dom-sid and dom-name cannot be used togetherOptions dom-sid and rid-base must be used togetherOptions dom-sid and secondary-rid-base cannot be used togetherOptions dom-sid/dom-name and rid-base must be used togetherOptions dom-sid/dom-name and secondary-rid-base cannot be used togetherOptions secondary-rid-base and rid-base must be used togetherOrderOrder in increasing priority of SELinux users, delimited by $Org. UnitOrganizationOrganizational UnitOrigin DN subtreeOther Record TypesOur domain is not configuredOut of Memory! Out of memory Out of memory Out of memory!Out of memory! Out of memory!? Output file to store the transport certificateOutput filenameOutput only on errorsOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this service, e.g. this might be necessary for NFS services.Override existing passwordOverride inherited settingsOverwrite GIDOwnerOwner %sOwner groupsOwner servicesOwner usersOwners that could not be addedOwners that could not be removedPAC typePADPKINITPOSIXPTR HostnamePTR recordPagePager NumberParametersParent mapParse all raw DNS records and return them in a structured wayParse errorPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword can be specified only for symmetric vaultPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword or Password+One-Time-PasswordPassword plugin featuresPassword reset was not successful.Password specified multiple timesPassword used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords have been migrated in pre-hashed format. IPA is unable to generate Kerberos keys unless provided with clear text passwords. All migrated users need to login at https://your.domain/ipa/migration/ before they can use their Kerberos accounts.Passwords must matchPer-server conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-server forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Per-zone conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Period after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission denied: %(file)sPermission flagsPermission namePermission settingsPermission valuePermission with unknown flag %s may not be modified or removedPermissionsPermissions to grant (read, write). Default is write.Permissions to grant(read, write, add, delete, all)Permitted Encryption TypesPermitted to have certificates issuedPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease specify forwarders.Please try the following options:PolicyPortPositional argumentsPre-authentication is required for the servicePre-shared passwordPredefined profile '%(profile_id)s' cannot be deletedPreferencePreference given to this exchanger. Lower values are more preferredPreferred LanguagePrefix used to distinguish ACI types (permission, delegation, selfservice, none)Preserved userPreserved usersPrevPrimary RID basePrimary RID range and secondary RID range cannot overlapPrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal '%(principal)s' is not permitted to use CA '%(ca)s' with profile '%(profile_id)s' for certificate issuance.Principal '%s' in subject alt name does not match requested principalPrincipal for this certificate (e.g. HTTP/test.example.com)Principal is not of the form user@REALM: '%(principal)s'Principal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority of the policy (higher number means lower priorityPrivate key specified multiple timesPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProfile IDProfile ID '%(cli_value)s' does not match profile data '%(file_value)s'Profile ID for referring to this profileProfile categoryProfile category the ACL applies toProfile configurationProfile configuration stored in file '%(file)s'Profile descriptionProfilesPrompt to set the user passwordProspectiveProvisioningPublic keyPublic key can be specified only for asymmetric vaultPublic key specified multiple timesQR code width is greater than that of the output tty. Please resize your terminal.Query current Domain Level.Query returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.RADIUSRADIUS Proxy Server SettingsRADIUS ServerRADIUS ServersRADIUS proxy configurationRADIUS proxy serverRADIUS proxy server nameRADIUS proxy serversRADIUS proxy usernameREST API is not logged in.REVOKEDRFC4120-compliant Kerberos realmRFC822Name does not match any of user's email addressesRP recordRRSIG recordRandom passwordRange SettingsRange nameRange sizeRange typeRaw %s recordsRaw A recordsRaw A6 recordsRaw AAAA recordsRaw AFSDB recordsRaw APL recordsRaw CERT recordsRaw CNAME recordsRaw DHCID recordsRaw DLV recordsRaw DNAME recordsRaw DNSKEY recordsRaw DS recordsRaw HIP recordsRaw IPSECKEY recordsRaw KEY recordsRaw KX recordsRaw LOC recordsRaw MX recordsRaw NAPTR recordsRaw NS recordsRaw NSEC recordsRaw NSEC3 recordsRaw PTR recordsRaw RP recordsRaw RRSIG recordsRaw SIG recordsRaw SPF recordsRaw SRV recordsRaw SSHFP recordsRaw TA recordsRaw TKEY recordsRaw TLSA recordsRaw TSIG recordsRaw target filterRaw value of a DNS record was already set by "%(name)s" optionRe-established trust to domain "%(value)s"Realm DomainsRealm administrator password should be specifiedRealm domainsRealm nameRealm-domain mismatchReasonReason for RevocationReason for revoking the certificate (0-10)Reason for revoking the certificate (0-10). Type "ipa help cert" for revocation reason details. Rebuild auto membershipRebuild auto membership.Rebuild membership for all members of a groupingRebuild membership for specified hostsRebuild membership for specified usersRecommended maximum number of agreements per replica exceededRecord TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRedirection to PTR recordRefreshRefresh list of the domains associated with the trustRefresh the page.Regular ExpressionRelative record name '%(record)s' contains the zone name '%(zone)s' as a suffix, which results in FQDN '%(fqdn)s'. This is usually a mistake caused by a missing dot at the end of the name specification.Relative weight for server services (counts per location)Reload current settings from the server.Reload the browser.Remote IPA server hostnameRemote server nameRemove ${entity}Remove ${entity} ${primary_key} from ${other_entity}Remove ${other_entity} Managing ${entity} ${primary_key}Remove ${other_entity} from ${entity} ${primary_key}Remove A, AAAA, SSHFP and PTR records of the host(s) managed by IPA DNSRemove Allow ${other_entity} from ${entity} ${primary_key}Remove CAs from a CA ACL.Remove Certificate HoldRemove Certificate Hold for ${entity} ${primary_key}Remove Deny ${other_entity} from ${entity} ${primary_key}Remove HoldRemove Kerberos AliasRemove PermissionRemove RunAs ${other_entity} from ${entity} ${primary_key}Remove RunAs Groups from ${entity} ${primary_key}Remove a manager to the stage user entryRemove a manager to the user entryRemove a permission for per-forward zone access delegation.Remove a permission for per-zone access delegation.Remove all principals in this realmRemove an option from Sudo Rule.Remove certificates from a serviceRemove certificates from host entryRemove commands and sudo command groups affected by Sudo Rule.Remove conditions from an automember rule.Remove default (fallback) group for all unmatched entries.Remove entries from DNSRemove from CRLRemove group for Sudo to execute as.Remove holdRemove hosts and hostgroups affected by Sudo Rule.Remove hosts that can manage this host.Remove hosts that can manage this service.Remove member from a named service delegation rule.Remove member from a named service delegation target.Remove member from a named service delegation.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a privilegeRemove members from a role.Remove members from a vault.Remove members from an HBAC service group.Remove one or more certificates to the idoverrideuser entryRemove one or more certificates to the user entryRemove owners from a vault container.Remove owners from a vault.Remove permissions from a privilege.Remove principal alias from a host entryRemove principal alias from a serviceRemove privileges from a role.Remove profiles from a CA ACL.Remove service and service groups from an HBAC rule.Remove services from a CA ACL.Remove target from a named service delegation rule.Remove target hosts and hostgroups from a CA ACL.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from a CA ACL.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Remove users that can manage this token.Removed aliases from host "%(value)s"Removed aliases to the service principal "%(value)s"Removed certificates from host "%(value)s"Removed certificates from idoverrideuser "%(value)s"Removed certificates from service principal "%(value)s"Removed certificates from user "%(value)s"Removed condition(s) from "%(value)s"Removed default (fallback) group for automember "%(value)s"Removed information about the trusted domain "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing %(servers)s from replication topology, please wait...Removing principal %s RenameRename an ACI.Rename the %(ldap_obj_name)s objectRename the Group ID override objectRename the ID View objectRename the OTP token objectRename the User ID override objectRename the automount key objectRename the group objectRenamed ACI to "%(value)s"Renewal master for IPA certificate authorityReplacementReplica is active DNSSEC key master. Uninstall could break your DNS system. Please disable or replace DNSSEC key master first.Replication agreement enabledReplication configurationReplication refresh for segment: "%(pkey)s" requested.Replication topology of suffix "%(suffix)s" contains errors.Replication topology of suffix "%(suffix)s" is in order.Request a full re-initialization of the node retrieving data from the other node.Request idRequest is missing "method"Request is missing "params"Request must be a dictRequest statusRequiredRequired fieldRequires pre-authenticationResetReset Kerberos ticket policy to the default values.Reset OTPReset One-Time-PasswordReset PasswordReset Password and LoginReset your password.Resolve a host name in DNS.Resolve a host name in DNS. (Deprecated)Resolve security identifiers of users and groups in trusted domainsResponse from CA was not valid JSONRestoreResultResult of simulationResult of the commandResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Results should contain primary key attribute only ("anchor")Results should contain primary key attribute only ("cn")Results should contain primary key attribute only ("command")Results should contain primary key attribute only ("group")Results should contain primary key attribute only ("group-name")Results should contain primary key attribute only ("hostname")Results should contain primary key attribute only ("id")Results should contain primary key attribute only ("location")Results should contain primary key attribute only ("map")Results should contain primary key attribute only ("name")Results should contain primary key attribute only ("sudocmdgroup-name")RetriesRetrieve a data from a vault.Retrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve current keys without changing themRetrieved data from vault "%(value)s"Retrieving CA cert chain failed: %sRetrieving CA status failed with status %dRetrieving CA status failed: %sRetryRetrying with pre-4.0 keytab retrieval method... Return to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkReverse zone for PTR record should be a sub-zone of one the following fully qualified domains: %sRevertRevocation reasonRevokeRevoke CertificateRevoke Certificate for ${entity} ${primary_key}Revoke a certificate.RevokedRevoked on fromRevoked on from this date (YYYY-mm-dd)Revoked on toRevoked on to this date (YYYY-mm-dd)Right nodeRight replication node - an IPA serverRightsRights to grant (read, search, compare, write, add, delete, all)RoleRole SettingsRole nameRole statusRolesRoot domain of the trust is always enabled for the existing trustRule nameRule statusRule typeRule type (allow)RulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersRunAsGroup does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a user nameSELinux OptionsSELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user '%(user)s' is not valid: %(error)sSELinux user map default user not in order listSELinux user map list not found in configurationSELinux user map orderSHA1 FingerprintSHA256 FingerprintSIDSID blacklist incomingSID blacklist outgoingSID blacklistsSID does not match any trusted domainSID does not match exactlywith any trusted domain's SIDSID for the specified trusted domain name could not be found. Please specify the SID directly using dom-sid option.SID is not recognized as a valid SID for a trusted domainSID is not validSIG recordSOA classSOA expireSOA minimumSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA refreshSOA retrySOA serialSPF recordSRV PortSRV PrioritySRV TargetSRV WeightSRV recordSSH public keySSH public key fingerprintSSH public key:SSH public keysSSHFP AlgorithmSSHFP FingerprintSSHFP Fingerprint TypeSSHFP recordSSSD was unable to resolve the object to a valid SIDSaltSame as --%sSaveSearchSearch OptionsSearch command parameters.Search domains of the trustSearch for %(searched_object)s with these %(relationship)s %(ldap_object)s.Search for %(searched_object)s without these %(relationship)s %(ldap_object)s.Search for %1$s on rootdse failed with error %2$d Search for CA ACLs.Search for CAs.Search for Certificate Profiles.Search for DNS forward zones.Search for DNS resources.Search for DNS servers.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA locations.Search for IPA namingContext failed with error %d Search for IPA servers.Search for IPA services.Search for OTP token.Search for RADIUS proxy servers.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an Group ID override.Search for an HBAC service group.Search for an ID View.Search for an ID override.Search for an User ID override.Search for an automount key.Search for an automount location.Search for an automount map.Search for automember rules.Search for command outputs.Search for commands.Search for delegations.Search for existing certificates.Search for forward zones onlySearch for group password policies.Search for groups.Search for help topics.Search for hostgroups.Search for hosts with these member of HBAC rules.Search for hosts with these member of host groups.Search for hosts without these member of host groups.Search for hosts without these member of roles.Search for hosts without these member of sudo rules.Search for hosts.Search for ipaCertificateSubjectBase failed with error %dSearch for netgroups with these member groups.Search for netgroups with these member host groups.Search for netgroups with these member hosts.Search for netgroups with these member netgroups.Search for netgroups with these member of netgroups.Search for netgroups with these member users.Search for netgroups without these member groups.Search for netgroups without these member host groups.Search for netgroups without these member hosts.Search for netgroups without these member netgroups.Search for netgroups without these member of netgroups.Search for netgroups without these member users.Search for permissions.Search for privileges.Search for ranges.Search for roles.Search for service delegation target.Search for service delegations rule.Search for stage users.Search for topology segments.Search for topology suffices.Search for topology suffixes.Search for trusts.Search for users.Search for vaults.Search result has been truncated: %(reason)sSearch scopeSearch size limitSearch time limitSecond CodeSecond OTPSecondary RID baseSeconds LatitudeSeconds LongitudeSecretSecurity IdentifierSecurity Identifiers (SIDs)Segment detailsSegment nameSelect AllSelect entries to be removed.SelectorSelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemantic of %(label)s was changed. %(current_behavior)s %(hint)sSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSensitiveSerialSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServerServer "%(srv)s" has %(n)d agreements with servers:Server %(srv)s can't contact servers: %(replicas)sServer NameServer RoleServer RolesServer has already been deletedServer locationServer nameServer name not provided and unavailable Server removal aborted: %(reason)s.Server will check DNS forwarder(s).ServersServers details:Servers in locationServers that belongs to the IPA locationServiceService %(service)s requires restart on IPA server %(server)s to apply configuration changes.Service '%(service)s' not found in Kerberos databaseService CertificateService GroupsService OptionsService SettingsService categoryService category the ACL applies toService category the rule applies toService delegation ruleService delegation rulesService delegation targetService delegation targetsService group nameService nameService name of the service vaultService principalService principal aliasService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService relative weightService unprovisionedService weightService(s), shared, and user(s) options cannot be specified simultaneouslyService, shared and user options cannot be specified simultaneouslyService, shared, and user options cannot be specified simultaneouslyServicesSession errorSession key wrapped with transport certificateSession timeoutSetSet Domain LevelSet OTPSet One-Time-PasswordSet SSH keySet a user's password.Set an attribute to a name/value pair. Format is attr=value. For multi-valued attributes, the command replaces the values already present.Set default (fallback) group for all unmatched entries.Set default (fallback) group for automember "%(value)s"SettingsShared secret for the trustShared vaultShowShow IPA server.Show QR codeShow ResultsShow all loaded plugins.Show configuration uriShow detailsShow environment variables.Show global trust configuration.Show managed suffix.Show role status on a serverShow the current OTP configuration.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShow vault configuration.Show/Set keyShowing ${start} to ${end} of ${total} entries.Simple bind failed Simulate use of Host-based access controlsSizeSize LimitSize of data exceeds the limit. Current vault data size limit is %(limit)d BSize of the ID range reserved for the trusted domainSkip DNS checkSkip a check whether the last CA master or DNS server is removedSkip overlap checkSkipped %(key)sSkipped %(map)sSome entries were not deletedSome operations failed.Source Host GroupsSource HostsSource hostSource host categorySource host category the rule applies toSpecified CAsSpecified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified ProfilesSpecified Services and GroupsSpecified Users and GroupsSpecifies where to store keytab information.Specify external ${entity}StageStage UserStage UsersStage user %s activatedStage usersStaged user account "%(value)s"Standard Record TypesState/ProvinceStatusStatus of the roleStop already started refresh of chosen node(s)Stopping of replication refresh for segment: "%(pkey)s" requested.Store issued certificatesStreet addressStructuredSubjectSubject DNSubject Distinguished NameSubject alt name type %s is forbiddenSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSuccessSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSudo orderSuffix nameSupersededSupported encryption types: Suppress processing of membership attributes.Sync OTP TokenSynchronize an OTP token.Syntax Error: %(error)sSystem DNS records updatedTA recordTKEY recordTLSA Certificate Association DataTLSA Certificate UsageTLSA Matching TypeTLSA SelectorTLSA recordTOTP Synchronization WindowTOTP authentication WindowTOTP authentication time variance (seconds)TOTP synchronization time variance (seconds)TOTP token / FreeIPA server time differenceTSIG recordTake a revoked certificate off hold.TargetTarget DNTarget DN subtreeTarget groupTarget hostTarget members of a group (sets memberOf targetfilter)Target reverse zone not found.Target your own entry (self)Task DNTask DN = '%s'Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe --domain option cannot be used together with --add-domain or --del-domain. Use --domain to specify the whole realm domain list explicitly, to add/remove individual domains, use --add-domain/del-domain.The ACI for permission %(name)s was not found in %(dn)s The IPA realmThe _kerberos TXT record from domain %(domain)s could not be created (%(error)s). This can happen if the zone is not managed by IPA. Please create the record manually, containing the following value: '%(realm)s'The _kerberos TXT record from domain %(domain)s could not be removed (%(error)s). This can happen if the zone is not managed by IPA. Please remove the record manually.The automount key %(key)s with info %(info)s does not existThe character %(char)r is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain name of the target host or '.' if the service is decidedly not available at this domainThe following domains do not belong to this realm: %(domains)sThe group doesn't existThe host '%s' does not exist to add a service to.The hostname must be fully-qualified: %s The hostname must not be: %s The hostname or IP (with or without port)The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe keytab file to remove the principcal(s) fromThe most common types for this type of zone are: %s The number of times to retry authenticationThe password or username you entered is incorrect.The primary_key value of the entry, e.g. 'jdoe' for a userThe principal for this request doesn't exist.The principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The principal to remove from the keytab (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe realm of the following domains could not be detected: %(domains)s. If these are domains that belong to the this realm, please create a _kerberos TXT record containing "%(realm)s" in each of them.The schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The secret used to encrypt dataThe service principal for subject alt name %s in certificate request does not existThe topic or command name.The total timeout across all retries (in seconds)The username attribute on the user objectThe username, password or token codes are not correctThis command can not be used to change ID allocation for local IPA domain. Run `ipa help idrange` for more informationThis command relies on the existence of the "editors" group, but this group was not found.This command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis may take some time, please wait ...This page has unsaved changes. Please save or revert.This principal is required by the IPA masterTicket expiredTicket policy for %s could not be readTime LimitTime limit of search in secondsTime limit of search in seconds (0 is unlimited)Time nowTime to liveTime to live for records at zone apexTime-based (TOTP)TimeoutTimeout exceeded.To establish trust with Active Directory, the domain name and the realm name of the IPA server must matchTo get command help, use:Token IDToken description (informational only)Token hash algorithmToken model (informational only)Token secret (Base32; default: random)Token serial (informational only)Token synchronization failedToken vendor name (informational only)Token was synchronizedTopic commands:Topic or CommandTopologyTopology SegmentTopology SegmentsTopology does not allow server %(server)s to replicate with servers:Topology is disconnectedTopology management requires minimum domain level {0} Topology suffixTopology suffixesTotal number of variables env (>= count)Transport CertificateTrueTrue if not all results were returnedTrue means the operation was successfulTrustTrust SettingsTrust directionTrust setupTrust statusTrust typeTrust type (ad for Active Directory, default)Trusted domainTrusted domain %(domain)s is included among IPA realm domains. It needs to be removed prior to establishing the trust. See the "ipa realmdomains-mod --del-domain" command.Trusted domain and administrator account use different realmsTrusted domain did not return a unique objectTrusted domain did not return a valid SID for the objectTrusted domain partnerTrusted domainsTrusted for delegationTrusted forestTrusting forestTrustsTwo factor authentication (password + OTP)Two-way trustTypeType of IPA object (sets subtree and objectClass targetfilter)Type of the tokenType of trusted domain ID range, one of {vals}Types of supported user authenticationUIDUPN suffixesURIURLUn-applyUn-apply ID View ${primary_key} from hostsUn-apply ID View ${primary_key} from hosts of ${entity}Un-apply ID Views from hostsUn-apply ID Views from hosts of hostgroupsUn-apply from host groupsUn-apply from hostsUnable to communicate with CMSUnable to communicate with CMS (status %d)Unable to create private group. A group '%(group)s' already exists.Unable to determine IPA server from %s Unable to determine certificate subject of %s Unable to determine if Kerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Unable to determine root DN of %s Unable to display QR code using the configured output encoding. Please use the token URI to configure your OTP deviceUnable to enable SSL in LDAP Unable to generate Kerberos Credential Cache Unable to initialize connection to ldap server: %sUnable to initialize ldap library! Unable to join host: Kerberos Credential Cache not found Unable to join host: Kerberos User Principal not found and host password not provided. Unable to join host: Kerberos context initialization failed Unable to parse principal Unable to parse principal name Unable to parse principal: %1$s (%2$d) Unable to remove entry Unable to set LDAP version Unable to set LDAP_OPT_PROTOCOL_VERSION Unable to set LDAP_OPT_X_SASL_NOCANON Unable to set LDAP_OPT_X_TLS Unable to set LDAP_OPT_X_TLS_CERTIFICATE Unable to verify write permissions to the ADUndelete a delete user account.Undeleted user account "%(value)s"UndoUndo AllUndo all changes in this field.Undo this change.Unenroll this host from IPA serverUnenrollment failed. Unenrollment successful. Unique IDUnknownUnknown ErrorUnknown option: %(option)sUnlockUnlocked account "%(value)s"UnmatchedUnprovisionUnprovisioning ${entity}Unresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUnsupported valueUpdateUpdate DNS entriesUpdate System DNS RecordsUpdate location and IPA server DNS recordsUpdate of system record '%(record)s' failed with error: %(error)sUserUser GroupUser GroupsUser IDUser ID NumberUser ID Number (system will assign one if not provided)User ID overrideUser ID overridesUser OptionsUser attributeUser authentication typesUser categoriesUser categoryUser category (semantics placed on this attribute are for local interpretation)User category the ACL applies toUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group ruleUser group rulesUser group to apply delegation toUser group to apply permissions to (sets target)User loginUser nameUser object classUser object overridesUser passwordUser search fieldsUser to overrideUser-friendly description of action performedUser-specified attributes to which the permission appliesUser-specified attributes to which the permission explicitly does not applyUsernameUsername of the user vaultUsersUsers allowed to create keytabUsers allowed to retrieve keytabValid Certificate PresentValid fromValid not after fromValid not after from this date (YYYY-mm-dd)Valid not after toValid not after to this date (YYYY-mm-dd)Valid not before fromValid not before from this date (YYYY-mm-dd)Valid not before toValid not before to this date (YYYY-mm-dd)Valid toValidation errorValidityValidity endValidity startVaultVault ContainerVault ContainersVault configurationVault data encrypted with session keyVault descriptionVault nameVault passwordVault private keyVault public keyVault saltVault serviceVault typeVault userVaultsVendorVerify PasswordVerify Principal PasswordVersionVertical PrecisionVia ServiceViewView CertificateWaiting for confirmation by remote sideWarningWarning unrecognized encryption type. Warning unrecognized salt type. Warning: failed to convert type (#%d) Warning: salt types are not honored with randomized passwords (see opt. -P) WeightWeight for server servicesWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhether a replication agreement is active, meaning whether replication is occurring per that agreementWhether to store certs issued using this profileWhoWorkingWrite profile configuration to fileYou are trying to reference a magic private group which is not allowed to be overridden. Try overriding the GID attribute of the corresponding user instead.You can use FreeOTP as a software OTP token application.You may need to manually remove them from the treeYou must enroll a host in order to create a host serviceYou must specify both rid-base and secondary-rid-base options, because ipa-adtrust-install has already been run.You will be redirected to DNS Zone.Your password expires in ${days} days.Your session has expired. Please re-login.Your trust to %(domain)s is broken. Please re-create it by running 'ipa trust-add' again.YubiKey slotZIPZone forwardersZone found: ${zone}Zone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d active user with name "%(user)s" already existsalgorithm value: allowed interval 0-255all masters must have %(role)s role enabledan internal error has occurredan internal error has occurred on server at '%(server)s'answer to query '%(owner)s %(rtype)s' is missing DNSSEC signatures (no RRSIG data)any of the configured serversapi has no such namespace: '%(name)s'at least one of options: type, users, hosts must be specifiedat least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredattribute "%(attribute)s" not allowedattribute "%s" not allowedattribute is not configurableattrs and included attributes are mutually exclusiveattrs and included/excluded attributes are mutually exclusiveautomatically add the principal if it doesn't existautomount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?! ber_scanf() failed, unable to find kvno ?! bind passwordcan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot add permission "%(perm)s" with bindtype "%(bindtype)s" to a privilegecannot be emptycannot be longer that 255 characterscannot connect to '%(uri)s': %(error)scannot delete global password policycannot delete managed permissionscannot delete root domain of the trust, use trust-del to delete the trust itselfcannot disable root domain of the trust, use trust-del to delete the trust itselfcannot open configuration file %s cannot rename managed permissionscannot set bindtype for a permission that is assigned to a privilegecannot specify both raw certificate and filecannot specify full target filter and extra target filter simultaneouslycannot stat() configuration file %s change collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d cn is immutablecommandcommand '%(name)s' takes at most %(count)d argumentcommand '%(name)s' takes at most %(count)d argumentscommand '%(name)s' takes no argumentscommandscommands cannot be added when command category='all'commands for controlling sudo configurationcommunication with CIFS server was unsuccessfulconfiguration optionscontainer entry (%(container)s) not founddefault CA ACL can be only disableddelegationdelegationsdeletedescriptiondid not receive Kerberos credentialsdoes not match any of accepted formats: domaindomain is not configureddomain is not trusteddomain name '%(domain)s' should be normalized to: %(normalized)sdomain name cannot be longer than 255 characterseach ACL element must be terminated with a semicolonempty DNS labelempty filterentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server '%(server)s': %(error)sexecuting ipa-getkeytab failed, errno %d expected format: <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphenfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"flags value: allowed interval 0-255force NS record creation even if its hostname is not in DNSforce delete of SYSTEM permissionsforce host name even if not in DNSforce principal name even if not in DNSfork() failed format must be specified as "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" where: d1: [0 .. 90] (degrees latitude) d2: [0 .. 180] (degrees longitude) m1, m2: [0 .. 59] (minutes latitude/longitude) s1, s2: [0 .. 59.999] (seconds latitude/longitude) alt: [-100000.00 .. 42849672.95] BY .01 (altitude in meters) siz, hp, vp: [0 .. 90000000.00] (size/precision in meters) See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sforward zone "%(fwzone)s" is not effective because of missing proper NS delegation in authoritative zone "%(authzone)s". Please add NS record "%(ns_rec)s" to parent zone "%(authzone)s".gid cannot be set for external groupgivenname is requiredgroupgroup runAsgroup, permission and self are mutually exclusivegroupsgroups to addgroups to exclude from migrationgroups to removehosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshost groups to addhost groups to removehost masks of allowed hostshostgrouphostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostgroupshostnamehostname contains empty label (consecutive dots)hostname in subject of request '%(cn)s' does not match principal hostname '%(hostname)s'hostshosts cannot be added when host category='all'hosts cannot be set when type is 'group'hosts to addhosts to removeid rangeid range typeincomplete time valueincorrect typeinteger to order the Sudo rulesinvalid '%(name)s': %(error)sinvalid DN (%s)invalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid Profile IDinvalid SSH public keyinvalid address formatinvalid attribute nameinvalid domain nameinvalid domain-name: %sinvalid domain-name: not fully qualifiedinvalid e-mail format: %(email)sinvalid escape code in domain nameinvalid hostmaskinvalid port numberipa-getkeytab has bad permissions? ipa-getkeytab not found is requirediterations value: allowed interval 0-65535kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskrb5_kt_close %1$d: %2$s krb5_kt_get_entry %1$d: %2$s krb5_kt_remove_entry %1$d: %2$s krb5_parse_name %1$d: %2$s krb5_unparse_name %1$d: %2$s kvno %d left node and right node must not be the sameleft node is not a topology node: %(leftnode)sleft or right node has to be specifiedlimits exceeded for this querylocal domain rangelocationlocationsmanager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:match the common name exactlymaximum serial numbermember %smember HBAC servicemember HBAC service groupmember groupmember hostmember host groupmember netgroupmember sudo commandminimum serial numbermissing base_idmodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be "%s"must be '%(value)s'must be DNS namemust be TRUE or FALSEmust be True or Falsemust be Unicode textmust be a decimal numbermust be absolutemust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be binary datamust be datetime valuemust be dictionarymust be enclosed in parenthesesmust be exactly %(length)d bytesmust be exactly %(length)d charactersmust be one of %(values)smust be relativemust contain a tuple (list, dict)must have %(role)s role enabledmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsnetgroups to addnetgroups to removeno command nor help topic '%(topic)s'no modifications to be performedno trusted domain is configuredno trusted domain matched the specified flat namenot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform operation: %snot allowed to perform server connection checknot foundnot fully qualifiednot modifiable on managed permissionsnumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)snumber of passwordsobjectclass %s not foundone or more values to removeonly "ad" is supportedonly available on managed permissionsonly letters, numbers, %(chars)s are allowed. DNS label may not start or end with %(chars2)sonly master zones can contain recordsonly one CNAME record is allowed per name (RFC 2136, section 1.1.5)only one DNAME record is allowed per name (RFC 6672, section 2.4)only one node can be specifiedoperation not definedoption was renamed; use %soptions are not allowedorder must be a unique value (%(order)d already used by %(rule)s)out of memory out-of-zone data: record name must be a subdomain of the zone or a relative nameoverlapping arguments and options: %(names)sowner %sowner of %(types)s records should not be a wildcard domain name (RFC 4592 section 4)params must be a listparams must contain [args, options]params[0] (aka args) must be a listparams[1] (aka options) must be a dictpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermission "%(value)s" already existspermissionspkinitpreservepreserve and no-preserve cannot be both setprincipal not found principal not found in XML-RPC response priority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivileged hostgroupprivileged service delegation ruleprivileged service delegation targetprivilegesprofile category cannot be set to 'all' while there are allowed profilesprofiles cannot be added when profile category='all'pysss_murmur is not available on the server and no base-id is given.query '%(owner)s %(rtype)s' with EDNS0: %(error)squery '%(owner)s %(rtype)s': %(error)srange existsrange modification leaving objects with ID out of the defined range is not allowedrange type changeread error realm not found record '%(owner)s %(rtype)s' failed DNSSEC validation on server %(ip)srequest failed with HTTP status %dresult not found in XML-RPC response retrieve and print all attributes from the server. Affects command output.right node is not a topology node: %(rightnode)srolerolesroles to removerunAs groupsrunAs userrunAs userssalt value: %(err)ssearch for POSIX groupssearch for groups with support of external non-IPA members from trusted domainssearch for managed groupssearch for non-POSIX groupssearch for private groupssearch results for objects to be migrated have been truncated by the server; migration process might be incomplete secondssegmentsegmentsself service permissionself service permissionsserverserver roleserver rolesserversserviceservice category cannot be set to 'all' while there are allowed servicesservice delegation ruleservice delegation rulesservice delegation targetservice delegation targetsservicesservices cannot be added when service category='all'setting Authoritative nameservershould not be a wildcard domain name (RFC 4592 section 4)sidgen_was_runskip reverse DNS detectionsn is requiredstage userstage userssubject alt name type %s is forbidden for non-user principalssubject alt name type %s is forbidden for user principalssubtree and type are mutually exclusivesudo commandsudo command groupsudo command groupssudo commandssudo commands to addsudo commands to removesudo rulesudo rulessuffixsuffixessystem ID Viewtarget and targetgroup are mutually exclusivethe IPA server and the remote domain cannot share the same NetBIOS name: %sthe certificate with serial number the entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthere must be at least one target entry specifier (e.g. target, targetfilter, attrs)this option has been deprecated.this option is deprecatedtoo many '@' characterstrusttrust configurationtrust domaintrust domainstrust typetrusted domain objecttrusted domain object not foundtrusted domain user not foundtruststype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunknown command '%(name)s'unknown error %(code)d from %(server)s: %(error)sunsupported functional levelunsupported trust typeuseruser "%s" is already activeuser category cannot be set to 'all' while there are allowed usersusersusers and hosts cannot both be setusers cannot be added when runAs user or runAs group category='all'users cannot be added when user category='all'users cannot be set when type is 'hostgroup'users to exclude from migrationusers to removevaluevaultvaultcontainervaultcontainersvaults{attr}: no such attribute{role}: role not foundProject-Id-Version: freeipa 4.6.5.dev201907290557+git8334a8789 Report-Msgid-Bugs-To: https://fedorahosted.org/freeipa/newticket POT-Creation-Date: 2020-04-02 07:45+0000 PO-Revision-Date: 2017-07-12 04:16+0000 Last-Translator: Pavel Vomacka Language-Team: French Language: fr MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Generator: Zanata 4.6.2 Plural-Forms: nplurals=2; plural=(n > 1) EXEMPLES : Exemples : Trouver tous les serveurs : ipa server-find CONFIGURATION GLOBALE du DNS Surcharger ceci afin de pouvoir ajouter réussites et échecs aux résultats renvoyés. Surcharger ceci afin de pouvoir définir réussites et échecs. Ajouter une règle d'auto-adhésion. Ajouter des conditions à une règle d'auto-adhésion. Ajouter une nouvelle plage d''identifiants. Pour ajouter une nouvelle plage d''identifiants vous devez toujours préciser --base-id --range-size En outre, --rid-base --secondary-rid-base seront indiqués pour une nouvelle plage d''identifiants dans le domaine local alors que --rid-base --dom-sid doivent l''être pour ajouter une nouvelle plage pour un domaine AD de confiance. {0} Supprimer une règle d'auto-adhésion. Afficher des informations au sujet d'une règle d'auto-adhésion. Afficher des informations pour les groupes d'auto-adhésion par défaut (repli). État verrouillé d'un compte utilisateur Un compte peut être verrouillé si un mot de passe incorrect est entre à plusieurs reprises dans un laps de temps donnée selon la politique de contrôle des mots de passe. Le verrouillage du compte est un état temporaire ; le compte peut être déverrouillé par un administrateur. Ce dernier se connecte sur l'IPA maître et affiche l'état du verrouillage de chacun. Pour savoir si un compte est verrouillé sur un serveur donné, vous devez comparer le nombre d'échecs de connexion et l'heure du dernier échec. Pour qu'un compte soit verrouillé, le nombre d'échecs doit dépasser le maximum autorisé dans l'intervalle de temps donné tel que défini dans la politique de mot de passe propre à l'utilisateur. Le compteur d'échecs de connexion n'est incrémenté que lorsqu'un utilisateur tente une connexion, il est donc possible qu'un compte paraisse bloqué mais que la dernière tentative de connexion soit antérieure à la durée de verrouillage de la règle. Cela signifie que l'utilisateur peut tenter de se connecter à nouveau. Modifier la confiance (pour utilisation future). Actuellement seule l'option par défaut pour modifier les attributs LDAP est disponible. D'autres options particulières seront ajoutées dans les versions à venir. Modifier une règle d'auto-adhésion. Supprimer des conditions d'une règle d'auto-adhésion. Supprimer le groupe par défaut (repli) pour toute entrée sans correspondance. Rechercher des règles d'auto-adhésion. Définit un groupe par défaut (repli) pour toutes les entrées sans correspondance. Déverrouiller un compte utilisateur Un compte utilisateur peut se verrouiller si le mot de passe n'est pas saisi correctement plusieurs fois de suite dans un laps de temps donné défini par la politique du mot de passe. Le verrouillage d'un compte est un état temporaire ; il peut être déverrouillé par un administrateur. Objet conteneur de coffre-fort. Objet coffre-fort. C'est l'équivalent de : ipa dnszone-mod example.com --dynamic-update=TRUE \ --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;" Ajouter un emplacement : ipa location-add location --description 'Mon emplacement' Ajouter un segment de topologie au suffixe « ca » : ipa topologysegment-add ca --left IPA_SERVER_A --right IPA_SERVER_B Ajouter un segment de topologie au suffixe du domaine : ipa topologysegment-add domain --left IPA_SERVER_A --right IPA_SERVER_B Supprimer un emplacement : ipa location-del location Supprimer un segment de topologie du suffixe « ca » : ipa topologysegment-del ca segment_name Supprimer un segment de topologie du suffixe du domaine : ipa topologysegment-del domain segment_name Trouver tous les emplacements : ipa location-find Trouver tous les serveurs : ipa server-find Trouver tous les suffixes : ipa topologysuffix-find Énumérer tous les segments de topologie dans le suffixe « ca » : ipa topologysegment-find ca Énumérer tous les segments de topologie dans le suffixe du domaine : ipa topologysegment-find domain Afficher la configuration d'un serveur DNS spécifique : ipa dnsserver-show Afficher un emplacement spécifique : ipa location-show location Afficher les informations d'un serveur en particulier : ipa server-show ipa.example.com Afficher l'état du rôle « Serveur DNS » d'un serveur : ipa server-role-show ipa.example.com "DNS server" Afficher l'état de tous les rôles configurés sur un serveur : ipa server-role-find ipa.example.com Modifier la configuration d'un serveur DNS spécifique : ipa dnsserver-mod Vérification de la topologie du suffixe « ca » : ipa topologysuffix-verify ca Vérification de la topologie du suffixe du domaine : ipa topologysuffix-verify domain Ajouter un enregistrement LOC pour « example.com » : ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m" Ajouter une condition à la règle : ipa automember-add-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers ipa automember-add-condition --key=manager --type=group --inclusive-regex=^uid=mscott devel Ajouter un hôte pouvant gérer tableau de clés et certificat d'un hôte donné : ipa host-add-managedby --hosts=test2 test Ajout d'un hôte à la règle : ipa sudorule-add-host readfiles --hosts server.example.com Ajouter un hôte : ipa host-add web1.example.com Ajouter un serveur courriel pour « example.com » : ipa dnsrecord-add example.com @ --mx-rec="10 mail1" Ajouter un nouvel hôte à l'aide d'un mot de passe à usage unique : ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Ajouter un nouvel hôte avec un mot de passe aléatoire : ipa host-add --os='Fedora 12' --random test.example.com Ajouter un nouvel hôte : ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com Ajouter un nouveau serveur : ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812 Ajouter un nouveau jeton : ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token" Ajouter un nouveau jeton : ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey" Ajouter une permission autorisant de gérer l'appartenance à un groupe : ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Ajouter une permission autorisant la création d'utilisateurs : ipa permission-add --type=user --permissions=add "Add Users" Ajout d'une règle sudo spéciale pour la configuration du serveur sudo par défaut : ipa sudorule-add defaults Ajouter un coffre-fort standard : ipa vault-add [--user |--service |--shared] --type standard Ajouter un coffre-fort symétrique : ipa vault-add [--user |--service |--shared] --type symmetric --password-file mot_de_passe.txt Ajout d'un utilisateur à la règle : ipa sudorule-add-user readfiles --users jsmith Ajouter un utilisateur : ipa user-add --first=Tim --last=User --password tuser1 --manager=mscott Ajouter un coffre-fort symétrique : ipa vault-add [--user |--service |--shared] --type symmetric --public-key-file public.pem Ajouter une condition d'exclusion à la règle pour empêcher l'auto-assignation : ipa automember-add-condition --key=fqdn --type=hostgroup --exclusive-regex=^web5\.example\.com webservers Ajouter un autre enregistrement avec des options propres à MX : ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2 Ajouter un autre enregistrement en mode interactif (lancé si dnsrecord-add, dnsrecord-mod, ou dnsrecord-del sont exécutés sans options) : ipa dnsrecord-add example.com @ Please choose a type of DNS resource record to be added The most common types for this type of zone are: NS, MX, LOC DNS resource record type: MX MX Preference: 30 MX Exchanger: mail3 Record name: example.com MX record: 10 mail1, 20 mail2, 30 mail3 NS record: nameserver.example.com., nameserver2.example.com. Ajouter un nouvel enregistrement A à www.example.com. Créer son inverse dans la zone inverse appropriée. Dans ce cas, un enregistrement PTR « 2 » pointant sur www.example.com sera créé dans la zone 2.0.192.in-addr.arpa. ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse Ajoutez un nouvel enregistrement PTR pour www.example.com ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com. Ajouter de nouveaux enregistrements SRV pour serveurs LDAP. 3 requêtes sur 4 iront vers fast.example.com, unes sur 4 vers slow.example.com. Si ni l'un ni l'autre, n'est disponible, basculer sur backup.example.com. ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com" ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com" ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com" Ajouter une nouvelle zone inverse spécifiée par adresse IP de réseau : ipa dnszone-add --name-from-ip=192.0.2.0/24 Ajouter une nouvelle zone : ipa dnszone-add example.com --admin-email=admin@example.com Ajouter un second serveur de noms pour « example.com » : ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com Ajout d'un objet de commande sudo et ajout en tant que commande autorisée dans la règle : ipa sudocmd-add /usr/bin/less ipa sudorule-add-allow-command readfiles --sudocmds /usr/bin/less Ajouter une permission système pour une délégation de privilège par zone : ipa dnszone-add-permission example.com Ajouter le groupe ou le groupe d'hôtes initial : ipa hostgroup-add --desc="Web Servers" webservers ipa group-add --desc="Developers" devel Ajouter la règle initiale : ipa automember-add --type=hostgroup webservers ipa automember-add --type=group devel Ajouter des membres à un coffre-fort : ipa vault-add-member [--user |--service |--shared] [--users ] [--groups ] [--services ] Ajouter des propriétaires à un coffre-fort : ipa vault-add-owner [--user |--service |--shared] [--users ] [--groups ] [--services ] Après cette modification, 3 requêtes sur 5 iront vers fast.example.com et 2 sur 5 vers slow.example.com. Autoriser un utilisateur à créer un tableau de clé : ipa host-allow-create-keytab test2 --users=tuser1 Autoriser un utilisateur à créer un tableau de clé : ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1 Voici un exemple du mode interactif pour la commande dnsrecord-del : ipa dnsrecord-del example.com www No option to delete specific record provided. Delete all? Yes/No (default No): (do not delete all records) Current DNS record contents: A record: 192.0.2.2, 192.0.2.3 Delete A record '192.0.2.2'? Yes/No (default No): Delete A record '192.0.2.3'? Yes/No (default No): y Record name: www A record: 192.0.2.2 (A record 192.0.2.3 has been deleted) Archiver des données dans un coffre-fort asymétrique : ipa vault-archive [--user |--service |--shared] --in Archiver des données dans un coffre-fort standard : ipa vault-archive [--user |--service |--shared] --in Archiver des données dans un coffre-fort symétrique : ipa vault-archive [--user |--service |--shared] --in --password-file mot_de_passe.txt Modifier la politique de redirection pour « external.example.com » : ipa dnsforwardzone-mod external.example.com --forward-policy=only Changer le secret : ipa radiusproxy-mod MyRADIUS --secret Modifier le fournisseur : ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat" Création d'une nouvelle règle : ipa sudorule-add readfiles Déléguer la zone sub.example à un autre nom de serveur : ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1 ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com. Supprimer une configuration: ipa radiusproxy-del MyRADIUS Supprimer un hôte : ipa host-del test.example.com Supprimer un jeton : ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a Supprimer un coffre-fort : ipa vault-del [--user |--service |--shared] Supprimer une règle d'adhésion automatique : ipa automember-del --type=hostgroup webservers ipa automember-del --type=group devel Supprimer la rediretion de zone « external.example.com » : ipa dnsforwardzone-del external.example.com Supprimer le serveur de noms précédemment ajouté à « example.com » : ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com. Supprimer des membres d'un coffre-fort : ipa vault-remove-member [--user |--service |--shared] [--users ] [--groups ] [--services ] Supprimer des propriétaires d'un coffre-fort : ipa vault-remove-owner [--user |--service |--shared] [--users ] [--groups ] [--services ] Supprimer la zone « example.com » avec tous les enregistrements de ressources : ipa dnszone-del example.com Désactive la redirection globale pour les sous-arbres donnés : ipa dnszone-mod example.com --forward-policy=none Désactiver la clé Kerberos, les certificats SSL et tout service d'un hôte : ipa host-disable test.example.com Afficher une règle d'adhésion automatique : ipa automember-show --type=hostgroup webservers ipa automember-show --type=group devel Afficher la configuration des coffres-forts : ipa vaultconfig-show Examiner la configuration : ipa radiusproxy-show MyRADIUS Examiner un jeton : ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a Trouver des enregistrements A avec la valeur 192.0.2.2 dans la zone « example.com » : ipa dnsrecord-find example.com --a-rec=192.0.2.2 Retrouver toutes les règles d'adhésion automatique : ipa automember-find Trouver tous serveurs dont les entrées incluent la chaîne « example.com » : ipa radiusproxy-find example.com Trouver des enregistrements de ressources avec « www » dans le nom dans la zone « example.com » : ipa dnsrecord-find example.com www Trouver les arguments disponibles pour user-find : ipa param-find user-find Trouver une zone avec « example » dans son nom de domaine : ipa dnszone-find example Redirige toutes les requêtes pour la zone « external.example.com » vers un autre redirecteur avec la politique « first » (il adresse les requêtes au redirecteur sélectionné et s'il n'y a pas de réponse, les serveurs racines globaux sont sollicités) : ipa dnsforwardzone-add external.example.com --forward-policy=first \ --forwarder=203.0.113.1 Générer et récupérer un tableau de clés d'un service IPA : ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab Si une redirection globale est configurée, toute requête pour laquelle ce serveur ne fait pas autorité (ex. sub.example.com) sera routée vers le redirecteur global. La configuration d'une redirection globale peut être surchargée par zone. Lister toutes les redirections de zones : ipa dnsforwardzone-find Énumérer les coffres-forts pour un service : ipa vault-find [--user |--service |--shared] Modifier les clés d'un coffre-fort asymétrique : ipa vault-mod [--user |--service |--shared] --private-key-file --public-key-file Modifier la configuration DNS globale et définir une liste de redirecteurs globaux : ipa dnsconfig-mod --forwarder=203.0.113.113 Modifier les informations d'un hôte : ipa host-mod --os='Fedora 12' test.example.com Modifier un coffre-fort symétrique : ipa vault-mod [--user |--service |--shared] --change-password ipa vault-mod [--user |--service |--shared] --old-password --new-password ipa vault-mod [--user |--service |--shared] --old-password-file --new-password-file Modifier la règle d'adhésion automatique : ipa automember-mod Modifier la zone pour permettre des mises à jour dynamiques des propres enregistrements des hôtes dans le royaume EXAMPLE.COM : ipa dnszone-mod example.com --dynamic-update=TRUE Modifier la zone pour permettre des transferts de zone pour le réseau local uniquement : ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24 Modifier la description d'un coffre-fort : ipa vault-mod [--user |--service |--shared] --desc Modifier le type d'un coffre-fort : ipa vault-mod [--user |--service |--shared] --type [ancient mot de passe/clé privée] [nouveau mot de passe/clé publique] Reconstruire l'appartenance de tous les hôtes : ipa automember-rebuild --type=hostgroup Reconstruire l'appartenance de tous les utilisateurs : ipa automember-rebuild --type=group Reconstruire l'appartenance d'hôtes donnés : ipa automember-rebuild --hosts=web1.example.com --hosts=web2.example.com Reconstruire l'appartenance d'utilisateurs donnés : ipa automember-rebuild --users=tuser1 --users=tuser2 Supprimer les clés publiques SSH d'un hôte et modifier DNS en conséquence : ipa host-mod --sshpubkey= --updatedns test.example.com Supprimer une condition de la règle : ipa automember-remove-condition --key=fqdn --type=hostgroup --inclusive-regex=^web[1-9]+\.example\.com webservers Supprimer le groupe cible par défaut (repli) :: ipa automember-default-group-remove --type=hostgroup ipa automember-default-group-remove --type=group Résoudre un nom d'hôte pour voir s'il existe (ajoute le domaine IPA par défaut s'il n'est pas inclus) : ipa dns-resolve www.example.com ipa dns-resolve www Récupérer des données d'un coffre-fort asymétrique : ipa vault-retrieve [--user |--service |--shared] --out --private-key-file clé_privée.pem Récupérer des données d'un coffre-fort standard : ipa vault-retrieve [--user |--service |--shared] --out Récupérer des données d'un coffre-fort symétrique : ipa vault-retrieve [--user |--service |--shared] --out --password-file mot_de_passe.txt La sémantique de la redirection de zone dans IPA est la même que celle de BIND, et dépend du type de zone : * Zone maître : le serveur BIND local répond avec autorité aux requêtes de données dans la zone donnée (y compris les réponses ayant autorité NXDOMAIN) et transfère uniquement les requêtes sur les noms dans les sous-zones (enregistrements NS) des zones locales servies. * Zone redirigée : les zones transférées ne contiennent aucune donnée faisant autorité. BIND transmet les requêtes qui ne peuvent être servies par son cache local aux serveurs de redirection configurés. Définition d'une option par défaut pour sudo : ipa sudorule-add-option defaults --sudooption '!authenticate' Définir le groupe cible par défaut (recours) : ipa automember-default-group-set --default-group=webservers --type=hostgroup ipa automember-default-group-set --default-group=ipausers --type=group Afficher un coffre-fort : ipa vault-show [--user |--service |--shared] Afficher la politique de redirection pour la zone « external.example.com » : ipa dnsforwardzone-show external.example.com Afficher la configuration DNS globale : ipa dnsconfig-show Afficher les enregistrements de ressources « www » dans la zone « example.com » : ipa dnsrecord-show example.com www Afficher le groupe cible par défaut (repki) : ipa automember-default-group-show --type=hostgroup ipa automember-default-group-show --type=group Afficher les informations sur user-find : ipa command-show user-find Afficher la zone « example.com » : ipa dnszone-show example.com On peut utiliser le mode interactif pour faciliter les modifications : ipa dnsrecord-mod example.com _ldap._tcp No option to modify specific record provided. Current DNS record contents: SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No): Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y SRV Priority [0]: (keep the default value) SRV Weight [1]: 2 (modified value) SRV Port [389]: (keep the default value) SRV Target [slow.example.com]: (keep the default value) 1 SRV record skipped. Only one value per DNS record type can be modified at one time. Record name: _ldap._tcp SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com Cette configuration redirige toutes les requêtes pour les noms en dehors du sous-arbre « example.com » vers les redirecteurs globaux. Le processus normal de résolution récursive est utilisé pour les noms dans le sous-arbre « example.com » (ex. les enregistrements NS sont suivis, etc.). Vérifier une adhésion automatique : ipa hostgroup-show webservers Host-group: webservers Description: Web Servers Member hosts: web1.example.com ipa group-show devel Group name: devel Description: Developers GID: 1004200000 Member users: tuser * Une permission donne le droit de lire, écrire, ajouter, supprimer, rechercher, ou comparer. * Un privilège combine des permissions semblables (par exemple toutes les permissions nécessaires pour ajouter un utilisateur). * Un rôle garantit un ensemble de privilèges pour des utilisateurs, des groupes, des hôtes ou des groupes d'hôtes. Une condition est une expression rationnelle dont se sert « 389-ds » pour associer nouvelle entrée et règle d'adhésion. Si l'entrée correspond à une règle d'inclusion, elle est ajoutée au groupe ou groupe d'hôte approprié. Un groupe ou groupe d'hôte par défaut peut être défini pour des entrées ne correspondant à aucune règle. Tout utilisateur a ce groupe comme repli, car il est par défaut membre du groupe indiqué dans la configuration de IPA. Une permission permet une délégation de droits finement nuancée. Elle est une enveloppe lisible par le commun de Règles de contrôle d'accès 389-ds, ou d'instruction (ACI). Une permission donne le droit d'effectuer des tâches données comme ajouter un utilisateur, modifier un groupe, etc. Une permission se compose de plusieurs parties : 1. le nom de la permission. 2. la cible de la permission. 3. les droits garantis par la permission. Une permission ne peut pas contenir d'autres permissions. Une règle est directement associée à un groupe par le nom, donc il n'est pas possible de créer une règle sans groupe ou groupe d'hôtes d'accompagnement. Schéma de l'API Ajouter une nouvelle plage d'identifiants. Pour ajouter une nouvelle plage d'identifiants vous devez toujours préciser --base-id --range-size En outre, --rid-base --secondary-rid-base seront indiqués pour une nouvelle plage d'ID dans le domaine local alors que --rid-base --dom-sid doivent l'être pour ajouter une nouvelle plage pour un domaine AD de confiance. AVERTISSEMENT : Le greffon DNA dans 389-ds alloue des ID selon les plages configurées au titre du domaine local. Actuellement le greffon DNA *ne peut pas* être lui-même reconfiguré selon les plages locales définies par l'intermédiaire de cette famille de commandes. Un changement manuel de configuration doit être opéré dans la configuration du greffon DNA pour cadrer avec la nouvelle plage locale. En particulier, l'attribut « dnaNextRange » de « cn=Posix IDs »,^n« cn=Distributed Numeric Assignment Plugin », « cn=plugins », « cn=config » doivent être modifiés pour correspondre à cette nouvelle plage. Ajout d'une nouvelle relation de confiance. Cette commande établit une relation de confiance avec un autre domaine qui ainsi devient « de confiance ». En conséquence, des utilisateurs du domaine approuvé peuvent avoir accès aux ressources de ce domaine. Actuellement, seules les relations d'approbation avec les domaines Active Directory sont prises en charge. Cette commande peut être lancée plusieurs fois en toute sécurité à l'encontre du même domaine, elle modifiera les références de la relation de confiance des deux côtés. En plus, il y a les options de commodité suivantes. Activer une de ces options définit l'attribut correspondant. 1. type: un type d'objet (utilisateur, groupe, etc) ; définit le filtre du sous-arbre et de la cible. 2. memberof : s'applique aux membres d'un groupe ; définit le filtre de la cible. 3. targetgroup : permet la modification d'un groupe donné (comme ceux de gestion de l'appartenance à un groupe); définit la cible. Les agréments sont représentés par des segments de topologie. Un segment de topologie représente par défaut deux agréments de réplication, un pour chaque direction, par exemple de A vers B et de B vers A. La création de segments unidirectionnels n'est pas permise. Il est possible d'ajouter aux règles sudo l'indication de l'ordre dans lequel elles doivent être examinées (si le client le prend en charge). Cet ordre est défini par un entier, qui doit être unique. Le coffre-fort asymétrique est similaire au coffre standard, mais il pré-chiffre le secret à l'aide d'une clé publique avant son transport. Le secret ne peut être récupéré qu'avec la clé privée correspondante. Règle d'adhésion automatique. « Automount » Enregistre la configuration de « automount(8) » pour « autofs(8) » dans IPA. La base de configuration de « automount » est le fichier « auto.master ». C'est aussi la base dans IPA. On peut enregistrer plusieurs configurations « auto.master » à plusieurs endroits différents. Le lieu est propre à l'implémentation, par défaut il est nommé « default ». Par ex., vous pouvez avoir des lieux par région géographique, par étage, par type, etc. « Automount » a 3 types d'objets de base : emplacements, cartes et clés. L'emplacement définit un jeu de cartes fixées dans « auto.master » et permet de stocker plusieurs configurations « automount ». Il n'a pas d'intérêt en soi, il est juste le point de départ d'une autre carte « automount ». Une carte est, en gros, équivalente à un fichier séparé « automount » ; elle fournit un stockage pour les clés. Une clé est un point de montage associé à une carte. Quand un nouvel emplacement est créé, 2 cartes sont automatiquement créées pour lui: « auto.master » et « auto.direct ». « auto.master » est la carte racine de toutes les cartes « automount » dudit lieu. « auto.direct » est la carte par défaut pour les montages directs et est monté sur /-. Une carte « automout » peut contenir une clé de sous-montage. Cette clé définit un emplacement de montage dans la carte référençant une autre carte. Cela peut se réaliser avec « automountmap-add-indirect --parentmap » ou à la main avec « automountkey-add » en définissant « -type=autofs : ». EXEMPLES: Emplacements : Créer un nouvel emplacement nommé « Baltimore » : ipa automountlocation-add baltimore Afficher le nouvel emplacement : ipa automountlocation-show baltimore Trouver des emplacements disponibles : ipa automountlocation-find Supprimer un emplacement « automount » nommé : ipa automountlocation-del baltimore Afficher ce à quoi les cartes « automount » ressembleraient si elles/n étaient dans le système de fichiers : ipa automountlocation-tofiles baltimore Importer une configuration existante à un emplacement : ipa automountlocation-import baltimore /etc/auto.master L'importation échoue s'il y a une entrée dupliquée. Pour une opération en continu en ignorant les erreurs, utiliser l'option --continue. Cartes : Créer une nouvelle carte, « auto.share » : ipa automountmap-add baltimore auto.share Afficher la nouvelle carte : ipa automountmap-show baltimore auto.share Trouver les cartes de l'emplacement « baltimore » : ipa automountmap-find baltimore Créer une carte indirecte avec « auto.share » comme sous-montage : ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man Ce qui équivaut à : ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Supprimer la carte « auto.share » : ipa automountmap-del baltimore auto.share Clés : Créer une nouvelle clé pour la carte « auto.share » de l'emplacement « baltimore ». Cela associe la carte précédemment créée à auto.master : ipa automountkey-add baltimore auto.master --key=/share --info=auto.share Créer une clé pour la carte « auto.share », monte NFS pour pages « man » : ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Trouver toutes les clés de la carte « auto.share » : ipa automountkey-find baltimore auto.share Trouver toutes les clés « automount » directes : ipa automountkey-find baltimore --key=/- Supprimer la clé « man » de la carte « auto.share » : ipa automountkey-del baltimore auto.share --key=man Il existe trois types de coffres-forts en fonction de leur propriété : * coffre utilisateur/privé * coffre de service * coffre-fort partagé (shared) Il existe trois types de coffres-forts en fonction de leur mécanisme de sécurité : * coffre-fort standard * coffre-fort symétrique * coffre-fort asymétrique Utilisateur de base Ceci contient les définitions communes pour les utilisateurs et utilisateurs en attente Clarifie l'adhésion d'hôtes et d'utilisateurs en configurant des motifs « regex » d'inclusion ou exclusion à assigner automatiquement aux nouvelles entrées dans un groupe ou un groupe d'hôtes selon l'information d'attribut. Classes pour gérer des jonctions de confiance avec des appels DCE-RPC Le code de ce module s'appuie pour l'essentiel sur le paquet « samba4-python » et les liaisons python de Samba4. Relations d'approbation entre domaines Gestion des relations d'approbation entre les domaines IPA et Active Directory. Pour permettre aux utilisateurs d'un domaine distant l'accès aux ressources d'un domaine IPA, des relations d'approbation doivent être établies. Actuellement IPA ne prend en charge que les relations d'approbation entre des domaines IPA et Active Directory sous le contrôle de Windows Server 2008 ou ultérieur, avec le niveau fonctionnel 2008 ou ultérieur. Veuillez noter que DNS doit être correctement configuré à la fois côté domaine IPA et côté Active Directory pour une découverte mutuelle. La relation de confiance repose sur la capacité à repérer des ressources spéciales dans l'autre domaine via des enregistrements DNS. Exemples : 1. Établir des relations d'approbation croisées entre royaumes avec Active Directory avec les autorisations d'accès d'un administrateur AD : ipa trust-add --type=ad --admin --password 2. Lister toutes les relations d'approbation existantes : ipa trust-find 3. Voir les détails d'une relation de confiance donnée : ipa trust-show 4. Supprimer une relation de confiance existante : ipa trust-del Une fois la relation de confiance établie, les utilisateurs distants doivent être mis en relation avec des groupes POSIX locaux pour utiliser réellement des ressources IPA. La relation doit se faire via l'appartenance à un groupe non-POSIX externe, puis ce groupe doit être intégré dans l'un des groupes POSIX locaux. Exemples : 1. Créer un groupe pour la mise en relation avec le domaine approuvé « admins » et leur groupe POSIX local : ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Ajouter un identifiant de sécurité de de Domain Admins au groupe « ad_admins_external » : ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Autoriser des membres du groupe « ad_admins_external » à s'associer avec le groupe POSIX ad_admins : ipa group-add-member ad_admins --groups ad_admins_external 4. Lister les membres externes du groupe externe « ad_admins_external » pour voir leur SID : ipa group-show ad_admins_external CONFIGURATION D'UNE CONFIANCE GLOBALE Une fois le sous-paquet « IPA AD trust » installé et « ipa-adtrust-install » exécuté, une configuration de domaine local (SID, GUID, nom NetBIOS) est créée. Ces identifiants sont alors utilisés lors de communications avec un domaine approuvé de type particulier. 1. Afficher la configuration de confiance globale pour les types de confiance Active Directory : ipa trustconfig-show --type ad 2. Modifier la configuration globale de toutes les confiances de type Active Directory et définir un groupe principal de recours (le GID du groupe principal de recours est utilisé comme GID d'utilisateur principal si l'utilisateur s'authentifiant auprès du domaine IPA n'a pas d'autre GID principal déjà défini) : ipa trustconfig-mod --type ad --fallback-primary-group "alternative AD group" 3. Revenir au groupe caché par défaut comme groupe de recours principal (tout groupe de la classe objet « posixGroup » est autorisé) : ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group" La configuration DNS, passée en ligne de commande du script d'installation, est stockée dans un ficher de configuration local sur chaque serveur IPA dans lequel le service DNS est configuré. Ces réglages locaux peuvent être surchargés par une configuration commune stockée dans le serveur LDAP : Configuration du serveur DNS Les données enregistrées dans les serveurs IPA sont répliquées vers les autres serveurs IPA. Les agréments de réplication définissent la manière dont la réplication s'opère. Les agréments de réplication doivent être définis pour les deux suffixes de manière séparée. Sur les domaines de niveau 0, ils sont gérés par les outils ipa-replica-manage et ipa-csreplica-manage tools. Sur les domaines de niveau 1, ils sont gérés de manière centralisée par les commandes « ipa topology* ». Supprimer ou renommer une permission administrée, ou changer sa cible, n'est pas autorisé. Domain Name System (DNS) INSCRIPTION : Trois scenarii d'inscriptions d'un nouveau client sont possibles : 1. La machine est enregistrée par un administrateur de plein droit. L'entrée système peut pré-exister ou non. Un administrateur de plein droit est membre du rôle hostadmin ou du groupe admins 2. L'inscription est faite par un administrateur limité. L'hôte doit avoir été préalablement créé. Un administrateur limité possède le privilège Host Enrollment. 3. Le système a été créé avec un mot de passe à usage unique. EXEMPLES : FreeIPA permet la désignation d'un « binddn » à utiliser avec sudo situé à : uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com FreeIPA offre les moyens de configurer les divers aspects de sudo : Users : utilisateur/groupe autorisés à invoquer sudo. Hosts : hôte/groupe d'hôte dont l'utilisateur peut invoquer sudo. Allow Command : commande donnée pouvant être exécutée via sudo. Deny Command : commande donnée interdite d'exécution avec sudo. RunAsUser : utilisateur ou groupe dont les droits sudo pourront être invoqués. RunAsGroup : groupe dont les droits sudo associés au GID pourront être invoqués. Options : les diverses options de sudoers pouvant modifier le comportement de sudo. Afficher les informations au sujet des serveurs IPA installés. Obtenir l'état des rôles (serveur DNS, AC, etc. )fournis par les maîtres IPA. Délégation de groupe à groupe Une permission permet une délégation fine des autorisations. Les règles de contrôle d'accès, ou les instructions (ACI), accordent la possibilité aux permissions de réaliser certaines tâches comme l'ajout d'utilisateur, la modification d'un groupe, etc. La délégation de groupe à groupe permet aux membres d'un groupe de modifier un jeu d'attributs de membres d'un autre groupe. EXEMPLES: Ajouter une règle de délégation permettant aux gestionnaires de modifier les adresses des employés : ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street" En gérant une liste d'attributs, vous devez inclure tous les attributs, y compris les existants. Ajouter « postalCode » à la liste : ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street" Afficher la règle modifiée : ipa delegation-show "managers edit employees' street" Supprimer une règle : ipa delegation-del "managers edit employees' street" Groupes de commandes sudo Administre les groupes de commandes sudo. EXEMPLES : Ajouter un nouveau groupe de commandes sudo : ipa sudocmdgroup-add --desc='commandes administrateurs' admincmds Supprimer un groupe de commandes sudo : ipa sudocmdgroup-del admincmds Gérer les commandes, l'appartenance d'un groupe de commandes sudo : ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds Administrer les commandes, l'appartenance d'un groupe de commandes sudo : ipa group-remove-member --sudocmds=/usr/bin/less admincmds Afficher un groupe de commandes sudo : ipa group-show localadmins Groupes de commandes sudo Administre les groupes de commandes sudo. EXEMPLES : Ajouter un nouveau groupe de commandes sudo : ipa sudocmdgroup-add --desc='commandes administrateurs' admincmds Supprimer un groupe de commandes sudo : ipa sudocmdgroup-del admincmds Gérer les commandes, l'appartenance d'un groupe de commandes sudo : ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less --sudocmds=/usr/bin/vim admincmds Administrer les commandes, l'appartenance d'un groupe de commandes sudo : ipa sudocmdgroup-remove-member --sudocmds=/usr/bin/less admincmds Afficher un groupe de commandes sudo : ipa sudocmdgroup-show admincmds Groupes d'hôtes. Gestion des groupes d'hôtes. Permet d'appliquer des contrôles d'accès à plusieurs hôtes en utilisant HBAC (Host-based Access Control). EXEMPLES : Ajouter un nouveau groupe d'hôtes : ipa hostgroup-add --desc="Systèmes de Baltimore" baltimore Ajouter un nouveau groupe d'hôtes : ipa hostgroup-add --desc="Systèmes du Maryland" maryland Ajouter des membres à un groupe d'hôtes : ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore Ajouter un groupe d'hôtes en tant que membre d'un autre groupe d'hôtes : ipa hostgroup-add-member --hostgroups=baltimore maryland Supprimer un hôte d'un groupe : ipa hostgroup-remove-member --hosts=box2 baltimore Afficher un groupe d'hôtes : ipa hostgroup-show baltimore Supprimer un groupe d'hôtes : ipa hostgroup-del baltimore Groupes d'utilisateurs Gérer des groupes d'utilisateurs. Par défaut, tout nouveau groupe est POSIX. On peut ajouter l'option « --nonposix » à la commande « group-add » pour marquer un nouveau groupe comme non-POSIX et utiliser l'option « --posix » de la commande « group-mod » pour convertir un groupe non-POSIX en groupe POSIX. Les groupes POSIX ne peuvent pas être convertis en groupes non-POSIX. Chaque groupe doit avoir une description. Les groupes POSIX doivent avoir un numéro d'ID de groupe (GID). Modifier un GID est faisable, mais cela peut avoir un impact sur vos droits d'accès aux fichiers. Il n'est pas nécessaire d'indiquer un GID à la création du groupe. IPA en générera un automatiquement s'il n'est pas fourni. EXEMPLES : Ajouter un nouveau groupe : ipa group-add --desc='local administrators' localadmins Ajouter un nouveau groupe non-POSIX : ipa group-add --nonposix --desc='remote administrators' remoteadmins Convertir un groupe non-POSIX en groupe POSIX : ipa group-mod --posix remoteadmins Ajouter un nouveau groupe POSIX avec un numéro d'ID de groupe donné : ipa group-add --gid=500 --desc='unix admins' unixadmins Ajouter un nouveau groupe POSIX et laisser IPA assigner un numéro d'ID de groupe : ipa group-add --desc='printer admins' printeradmins Supprimer un groupe : ipa group-del unixadmins Ajouter le groupe « remoteadmins » au groupe « localadmins » : ipa group-add-member --groups=remoteadmins localadmins Ajouter plusieurs utilisateurs au groupe « localadmins » : ipa group-add-member --users=test1 --users=test2 localadmins Supprimer un utilisateur du groupe « localadmins » : ipa group-remove-member --users=test2 localadmins Afficher des informations à propos d'un groupe donné : ipa group-show localadmins L'adhésion à un groupe externe est conçue pour permettre aux utilisateurs de domaines approuvés d'être assimilés aux groupes POSIX locaux pour pouvoir utiliser réellement les ressources IPA. Des membres externes peuvent être ajoutés aux groupes spécifiquement crées comme externes et non-POSIX. Un tel groupe peut plus tard être incorporé dans un des groupes POSIX Un membre de groupe externe est actuellement identifié par un « Security Identifier (SID) » tel que défini pour le domaine approuvé. Pour ajouter un membre de groupe externe, il est possible de le définir, soit au format SID, soit DOM\name, soit name@domain. IPA essayera de résoudre le nom passé en SID en se servant du « Global Catalog » des domaines approuvés. Exemple: 1. Créer un groupe par assimilation au domaine approuvé « admins » et à leur groupe POSIX local : ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Ajouter l'identifiant de sécurité de « Domain Admins » au groupe externe « ad_admins_external » : ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Autoriser des membres du groupe « ad_admins_external » à être associés au groupe POSIX « ad_admins » : ipa group-add-member ad_admins --groups ad_admins_external 4. Lister les membres externes du groupe « ad_admins_external » pour voir leur SID : ipa group-show ad_admins_external Groupes d'utilisateurs Gérer des groupes d'utilisateurs. Par défaut, tout nouveau groupe est POSIX. On peut ajouter l'option « --nonposix » à la commande « group-add » pour marquer un nouveau groupe comme non-POSIX et utiliser l'option « --posix » de la commande « group-mod » pour convertir un groupe non-POSIX en groupe POSIX. Les groupes POSIX ne peuvent pas être convertis en groupes non-POSIX. Chaque groupe doit avoir une description. Les groupes POSIX doivent avoir un numéro d'ID de groupe (GID). Modifier un GID est faisable, mais cela peut avoir un impact sur vos droits d'accès aux fichiers. Il n'est pas nécessaire d'indiquer un GID à la création du groupe. IPA en générera un automatiquement s'il n'est pas fourni. EXEMPLES : Ajouter un nouveau groupe : ipa group-add --desc='local administrators' localadmins Ajouter un nouveau groupe non-POSIX : ipa group-add --nonposix --desc='remote administrators' remoteadmins Convertir un groupe non-POSIX en groupe POSIX : ipa group-mod --posix remoteadmins Ajouter un nouveau groupe POSIX avec un numéro d'ID de groupe donné : ipa group-add --gid=500 --desc='unix admins' unixadmins Ajouter un nouveau groupe POSIX et laisser IPA assigner un numéro d'ID de groupe : ipa group-add --desc='printer admins' printeradmins Supprimer un groupe : ipa group-del unixadmins Ajouter le groupe « remoteadmins » au groupe « localadmins » : ipa group-add-member --groups=remoteadmins localadmins Ajouter plusieurs utilisateurs au groupe « localadmins » : ipa group-add-member --users=test1 --users=test2 localadmins Supprimer un utilisateur du groupe « localadmins » : ipa group-remove-member --users=test2 localadmins Afficher des informations à propos d'un groupe donné : ipa group-show localadmins L'adhésion à un groupe externe est conçue pour permettre aux utilisateurs de domaines approuvés d'être assimilés aux groupes POSIX locaux pour pouvoir utiliser réellement les ressources IPA. Des membres externes peuvent être ajoutés aux groupes spécifiquement crées comme externes et non-POSIX. Un tel groupe peut plus tard être incorporé dans un des groupes POSIX Un membre de groupe externe est actuellement identifié par un « Security Identifier (SID) » tel que défini pour le domaine approuvé. Pour ajouter un membre de groupe externe, il est possible de le définir, soit au format SID, soit DOM\name, soit name@domain. IPA essayera de résoudre le nom passé en SID en se servant du « Global Catalog » des domaines approuvés. Exemple: 1. Créer un groupe par assimilation au domaine approuvé « admins » et à leur groupe POSIX local : ipa group-add --desc=' admins external map' ad_admins_external --external ipa group-add --desc=' admins' ad_admins 2. Ajouter l'identifiant de sécurité de « Domain Admins » au groupe externe « ad_admins_external » : ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Autoriser des membres du groupe « ad_admins_external » à être associés au groupe POSIX « ad_admins » : ipa group-add-member ad_admins --groups ad_admins_external 4. Lister les membres externes du groupe « ad_admins_external » pour voir leur SID : ipa group-show ad_admins_external Groupes de services HBAC Les groupes de services HBAC peuvent contenir n'importe quel nombre de services « membres » individuels. Chaque groupe doit avoir une description. EXEMPLES: Ajouter un nouveau groupe de services HBAC : ipa hbacsvcgroup-add --desc="login services" login Ajouter des membres à un groupe de services HBAC : ipa hbacsvcgroup-add-member --hbacsvcs=sshd --hbacsvcs=login login Afficher les informations d'un groupe nommé : ipa hbacsvcgroup-show login Supprimer un groupe de services HBAC : ipa hbacsvcgroup-del login Services HBAC Les services PAM dont le système HBAC peut contrôler l'accès. Le nom utilisé ici doit correspondre au nom du service analysé par PAM. EXEMPLES: Ajouter un nouveau service HBAC : ipa hbacsvc-add tftp Modifier un service HBAC existant : ipa hbacsvc-mod --desc="TFTP service" tftp Chercher des services HBAC. Cet exemple renvoie deux résultats, le service FTP et le service tftp nouvellement ajouté : ipa hbacsvc-find ftp Supprimer un service HBAC : ipa hbacsvc-del tftp Contrôle d'accès des systèmes (HBAC) HBAC (Host-based acces control) permet de contrôler qui peut accéder à quels services sur quels systèmes, et d'où. Il est possible d'utiliser le système HBAC afin de contrôler quels utilisateurs ou quels groupes d'un système source peuvent accéder à quels services, ou groupes de services, sur un hôte cible. Vous pouvez aussi indiquer une catégorie d'utilisateur, d'hôtes cibles. La seule catégorie existante pour le moment est "all", mais elles pourront être étendues dans le futur. Les hôtes cible des règles HBAC doivent être des hôtes administrés par IPA. Les services et groupes de services disponibles sont gérés respectivement par les greffons « hbacsvc » et « hbacsvcgroup ». EXEMPLES: Créer une règle "test1" autorisant tous les utilisateurs à accéder le serveur « server » depuis n'importe où : ipa hbacrule-add --usercat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Afficher les propriétés d'une règle HBAC nommée : ipa hbacrule-show test1 Créer une règle pour un service donné. Elle permet d'avoir accés au service sshd sur toute machine depuis n'importe quelle autre machine : ipa hbacrule-add --hostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd Créer une règle pour un nouveau groupe de services. Elle permet d'avoir accès au service FTP de toute machine depuis n'importe quelle machine. ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp --hbacsvcs=sftp ftpers ipa hbacrule-add --hostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp Désactiver une règle HBAC nommée : ipa hbacrule-disable test1 Supprimer une règle HBAC nommée : ipa hbacrule-del allow_server Hôtes/Machines Un hôte représente une machine. Il peut être utilisé dans de nombreux contextes : - les entrées de services sont associées à un hôte, - un hôte stocke le principal des hôtes/des services, - un hôte est utilisable dans les règles HBAC (Host-based Access Control), - chaque client enregistré génère une entrée d'hôte. Gestion de certficats IPA Implémente un jeu de commandes pour gérer les certificats SSL du serveur. Les demandes de certificats existent sous la forme de « Certificate Signing Request (CSR) » au format PEM. La plaque d'identité CA n'utilise que la valeur CN du CSR et force le reste du sujet aux valeurs configurées dans le serveur. Un certificat est enregistré avec un principal de service et un principal de service a besoin d'un hôte. Donc, pour demander un certificat : * l'hôte doit exister * le service doit exister (utiliser --add pour l'ajouter automatiquement) RECHERCHE : Les certificats peuvent être recherchés par sujet, numéro de série, motif de révocation, dates de validité et date d'émission. En recherchant par dates, _from effectue une recherche >= à la date et _to une recherche <= à la date. Combinées, elles sont équivalentes à un AND. La date est traitée comme GMT pour correspondre aux dates de certificats. La date est au format YYYY-mm-dd. EXEMPLES : Demander un nouveau certificat et ajouter le principal : ipa cert-request --add --principal=HTTP/lion.example.com example.csr Retrouver un certificat existant : ipa cert-show 1032 Révoquer un certificat (voir RFC 5280 pour le détail des raisons) : ipa cert-revoke --revocation-reason=6 1032 Lever l'état de maintien de révocation d'un certificat : ipa cert-remove-hold 1032 Vérifier l'état d'une demande de signature : ipa cert-status 10 Rechercher des certificats par nom d'hôte : ipa cert-find --subject=ipaserver.example.com Rechercher les certificats révoqués par motif : ipa cert-find --revocation-reason=5 Rechercher les certificats selon la date d'émission : ipa cert-find --issuedon-from=2013-02-01 --issuedon-to=2013-02-07 Actuellement IPA émet (ou refuse) aussitôt toute demande de certificat, donc l'état d'une requête ne sert normalement pas. C'est en vue d'une utilisation future ou au cas où un CA n'émettrait pas immédiatement un certificat. Les motifs de révocation suivants sont pris en charge : * 0 - « unspecified » (non précisé) * 1 - « keyCompromise » (clé compromise) * 2 - « cACompromise » (CA compromis) * 3 - « affiliationChanged » (affiliation modifiée) * 4 - « superseded » (remplacé) * 5 - « cessationOfOperation » (arrêt d'opération) * 6 - « certificateHold » (certificat retenu) * 8 - « removeFromCRL » (sorti du CRL) * 9 - « privilegeWithdrawn » (retrait de privilège) * 10 - « aACompromise » (compromission) Notez que le motif code 7 ne sert pas. Voir RFC 5280 pour plus de détails : http://www.ietf.org/rfc/rfc5280.txt Emplacements IPA Rôles serveurs IPA Les données des serveurs IPA sont enregistrées dans le serveur LDAP sous deux suffixes : * le suffixe de domain, par exemple « dc=example,dc=com », qui contient toutes les informations relatives au domaine ; * le suffixe ca, « o=ipaca », qui n'est présent que sur les serveurs où l'autorité de certification est installée. Il contient les données nécessaire au composant Certificate Server Serveurs IPA IPA prend en charge l'utilisation de jetons OTP pour une authentification à facteurs multiples. Ce code active la gestion des jetons OTP. IPA prend en charge l'utilisation d'un serveur mandataire externe RADIUS pour des authentifications OTP « krb5 ». Cela procure une grande souplesse pour l'intégration des services d'authentification tierce partie. Il peut être difficile de manier de tels enregistrements DNS sans erreurs et sans entrer de valeur invalide. Le module DNS fournit une abstraction pour ces enregistrements bruts afin de manier chaque type RR avec des options données. Pour tout type RR pris en charge, le module DNS fournit une option standard pour manier l'enregistrement brut avec le format ---rec, ex. --mx-rec, et des options spéciales pour chaque élément de structure RR avec le format ---, ex. --mx-preference ou --mx-exchanger. Rejoindre un domaine IPA Options de « pkinit » de Kerberos Activer ou désactiver l'opération « pkinit » anonyme en utilisant le principal WELLKNOWN/ANONYMOUS@REALM. Le serveur doit avoir été installé avec la prise en charge de « pkinit ». EXEMPLES : Activer le « pkinit » anonyme : ipa pkinit-anonymous enable Désactiver le « pkinit » anonyme : ipa pkinit-anonymous disable Pour plus d'informations sur « pkinit » anonyme, cf. : http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Politique de tickets Kerberos Il n'existe qu'une seule politique de ticket Kerberos. Cette politique définit la durée de vie maximale des tickets, ainsi que la durée maximale de la période de renouvellement, temps pendant lequel le ticket est renouvelable. Vous pouvez aussi créer une politique de ticket par utilisateur en indiquant l'identifiant de l'utilisateur. Pour que les changements à la politique globale s'appliquent, il est nécessaire de redémarrer le service KDC, par exemple : service krb5kdc restart Les changements d'une politique propre à un utilisateur prennent effet immédiatement pour les tickets nouvellement demandés (i.e. au lancement suivant de « kinit » par l'utilsateur). EXEMPLES : Affiche la politique de ticket Kerberos en cours : ipa krbtpolicy-show Réinitialise la politique aux valeurs par défaut : ipa krbtpolicy-reset Modifie la politique à 8 heures de durée de vie, 1 journée de durée maximale de renouvellement : ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Affiche la politique de ticket Kerberos effective pour l'utilisateur « admin » : ipa krbtpolicy-show admin Réinitialise la politique de ticket Kerberos de l'utilisateur « admin » : ipa krbtpolicy-reset admin Modifie la politique de ticket Kerberos de l'utilisateur 'admin' : ipa krbtpolicy-mod admin --maxlife=3600 Gestion des règles de LCA de l'AC. Ce grffon est utilisé pour définir les règles gouvernant quels principaux sont autorisés à se voir attribuer des certificats à l'aide d'un profil donné de certificat. SYNTAXE D'IDENTIFIANT DE PROFIL : Un identifiant de profil est une chaîne sans espace ni ponctuation débutant par une lettre et suivie d'une séquence de lettres, chiffres, ou caractère souligné ("_"). EXEMPLES : Créer une LCA d'AC « test » autorisant tous les utilisateurs à accéder au profil « UserCert » : ipa caacl-add test --usercat=all ipa caacl-add-profile test --certprofiles UserCert Afficher les propriétés d'une LCA d'AC nommée : ipa caacl-show test Créer une LCA d'AC autorisant l'utilisatrice « alice » à utiliser le profile « DNP3 » : ipa caacl-add-profile alice_dnp3 --certprofiles DNP3 ipa caacl-add-user alice_dnp3 --user=alice Désactiver une LCA d'AC : ipa caacl-disable test Supprimer une LCA d'AC : ipa caacl-del test Gestion des profils de certificats Les profils de certificats sont utilisés par l'autorité de certification (AC) dans la signature de certificats afin de déterminer si une demande de signature de certificat (Certificate Signing Request, CSR) est acceptable, et si oui, quelles fonctionnalités et extensions doivent figurer dans le certificat. Le format du profil de certificat est un format de liste de propriétés qui sera compris par une autorité de certification Dogtag ou Red Hat Certificate System. SYNTAXE DE L'IDENTIFIANT DE PROFIL : Un identifiant de profil est une chaîne de caractères sans espaces ni caractère de ponctuation débutant par une lettre suivie d'une séquence de lettres, de chiffres et de caractère souligné (« _ »). EXEMPLES : Importer un profil qui ne stockera pas les certificats émis : ipa certprofile-import ShortLivedUserCert \ --file UserCert.profile --summary "User Certificates" \ --store=false Supprimer un profil de certificat : ipa certprofile-del ShortLivedUserCert Afficher les informations sur un profil : ipa certprofile-show ShortLivedUserCert Enregistrer la configuration du profil dans un fichier : ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg Rechercher des profils ne stockant pas les certificats : ipa certprofile-find --store=false FORMAT DE LA CONFIGURATION DE PROFIL : Le format de configuration de profil est un format brut de liste de propriété utilisé par Dogtag Certificate System. Le format XML n'est pas pris en charge. Les restrictions suivantes s'appliquent aux profils gérés par FreeIPA : - Lors de l'import d'un profil, le champ « profileId » s'il est présent doit correspondre à l'identifiant donné sur la ligne de commande. - Le champ « classId » doit être « caEnrollImpl » - Le champ « auth.instance_id  doit être « raCertAuth » - Les classe d'entrée « certReqInputImpl » et de sortie « certOutputImpl » doivent être utilisées. Gérer la zone DNS et les enregistrements de ressources. Gérer les jetons OTP. Gestion des serveurs mandataires RADIUS. Gestion de jetons YubiKey. Gestion des coffres-forts. Permissions administrées Manipulation des emplacements DNS Manipulation de la configuration du serveur DNS Migration vers IPA Migration d'utilisateurs et de groupes d'un serveur LDAP vers IPA. Ceci réalise une requête LDAP sur le serveur distant pour rechercher utilisateurs et groupes dans un conteneur. Pour faire migrer les mots de passe, vous devez vous connecter en tant qu'utilisateur capable de lire l'attribut « userPassword » sur le serveur distant : chose généralement réservée aux administrateurs de haut niveau comme « cn=Directory Manager » dans 389-ds (utilisateur de connexion par défaut). Par défaut, le conteneur utilisateur est ou=People. Par défaut, le conteneur groupe est ou=Groups. Utilisateurs et groupes préexistants sur le serveur IPA ne sont pas touchés. Deux schémas LDAP définissent comment les membres d'un groupe sont enregistrés : RFC2307 et RFC2307bis. RFC2307bis utilise « member » et « uniquemember » pour définir les membres d'un groupe, RFC2307 utilise « memberUid ». Le schéma par défaut est RFC2307bis. La fonctionnalité « compat » du schéma autorise IPA à formater à nouveau les données pour les systèmes ne prenant pas en charge RFC2307bis. Il est recommandé de désactiver cette fonction pendant la migration pour éviter de surcharger le système. Vous la réactiverez après migration. Pour faire la migration avec la fonction activée,utilisez l'option « --with-compat ». Les utilisateurs migrés n'ont pas de référence Kerberos, ils n'ont que leur mot de passe LDAP. Pour achever le processus de migration, les utilisateurs doivent aller à la page http://ipa.example.com/ipa/migration et s'authentifier en utilisant leur mot de passe LDAP pour générer leur justificatif d'identité Kerberos. Par défaut, la migration est désactivée. Utilisez la commande « ipa config-mod » pour l'activer : ipa config-mod --enable-migration=TRUE Si un DN de base n'est pas indiqué avec « --basedn », IPA utilise alors, soit la valeur de « defaultNamingContext » si elle est définie, soit la première valeur fixée dans « namingContexts » dans la racine du serveur LDAP distant. Les utilisateurs sont ajoutés comme membres du groupe utilisateur par défaut. Cela peut être une tâche demandant du temps, ainsi pendant la migration cela se fait en mode lot par tranches de 100 utilisateurs. Il y aura donc une fenêtre dans laquelle les utilisateurs seront ajoutés à IPA, mais ne seront pas encore membres du groupe d'utilisateurs par défaut. EXEMPLES : Migration la plus simple, acceptant tous les paramètres par défaut : ipa migrate-ds ldap://ds.example.com:389 En précisant le conteneur utilisateur et groupe. S'utilise pour migrer les données utilisateur et groupe d'un serveur IPA v1 : ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Comme un serveur IPA v2 comporte déjà des groupes prédéfinis pouvant entrer en conflit avec des groupes du serveur (IPA v1) migré (par exemple admins, ipausers), des utilisateurs dans un groupe en conflit comme groupe principal peuvent se voir rattachés à un groupe inconnu sur le nouveau serveur IPA v2. Utilisez l'option « --group-overwrite-gid » pour écraser le GID des groupes préexistants afin d'éviter ce problème : ipa migrate-ds --group-overwrite-gid \ --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Utilisateurs ou groupes migrés peuvent avoir des classes d'objets et attributs associés inconnus du serveur IPA v2. Ces classes d'objets et attributs doivent être tenus en dehors du processus de migration : ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ --user-ignore-objectclass=radiusprofile \ --user-ignore-attribute=radiusgroupname \ ldap://ds.example.com:389 JOURNALISATION La migration inscrit des avertissements et des erreurs sur le journal d'erreurs Apache. Ce fichier devra être examiné après la migration pour corriger ou enquêter sur tout problème qui serait mentionné. Tous les 100 utilisateurs migrés un message de niveau info est affiché indiquant l'avancement en cours et la durée écoulée pour permettre un suivi du processus de progression de la migration. Si le niveau de journalisation est « debug », en définissant « debug=True » soit dans « /etc/ipa/default.conf », soit dans « /etc/ipa/server.conf », alors une entrée est inscrite pour chaque utilisateur ajouté, plus un résumé quand le groupe utilisateur par défaut est mis à jour. Migration vers IPA Migration d'utilisateurs et de groupes d'un serveur LDAP vers IPA. Ceci réalise une requête LDAP sur le serveur distant pour rechercher utilisateurs et groupes dans un conteneur. Pour faire migrer les mots de passe, vous devez vous connecter en tant qu'utilisateur capable de lire l'attribut « userPassword » sur le serveur distant : chose généralement réservée aux administrateurs de haut niveau comme « cn=Directory Manager » dans 389-ds (utilisateur de la connexion par défaut). Par défaut, le conteneur utilisateur est ou=People. Par défaut, le conteneur groupe est ou=Groups. Utilisateurs et groupes préexistants sur le serveur IPA ne sont pas touchés. Deux schémas LDAP définissent comment les membres d'un groupe sont enregistrés : RFC2307 et RFC2307bis. RFC2307bis utilise « member » et « uniquemember » pour définir les membres d'un groupe, RFC2307 utilise « memberUid ». Le schéma par défaut est RFC2307bis. La fonctionnalité « compat » du schéma autorise IPA à formater à nouveau les données pour les systèmes ne prenant pas en charge RFC2307bis. Il est recommandé de désactiver cette fonction pendant la migration pour éviter de surcharger le système. Vous la réactiverez après migration. Pour faire la migration avec la fonction activée,utilisez l'option « --with-compat ». Les utilisateurs migrés n'ont pas de référence Kerberos, ils n'ont que leur mot de passe LDAP. Pour achever le processus de migration, les utilisateurs doivent aller à la page http://ipa.example.com/ipa/migration et s'authentifier en utilisant leur mot de passe LDAP pour générer leur justificatif d'identité Kerberos. Par défaut, la migration est désactivée. Utilisez la commande « ipa config-mod » pour l'activer : ipa config-mod --enable-migration=TRUE Si un DN de base n'est pas indiqué avec « --basedn », IPA utilise alors, soit la valeur de « defaultNamingContext » si elle est définie, soit la première valeur fixée dans « namingContexts » dans la racine du serveur LDAP distant. Les utilisateurs sont ajoutés comme membres du groupe utilisateur par défaut. Cela peut être une tâche demandant du temps, ainsi pendant la migration cela se fait en mode « batch » par tranches de 100 utilisateurs. Il y aura donc une fenêtre dans laquelle les utilisateurs seront ajoutés à IPA, mais ne seront pas encore membres du groupe d'utilisateurs par défaut. EXEMPLES : Migration la plus simple, acceptant tous les paramètres par défaut : ipa migrate-ds ldap://ds.example.com:389 En précisant le conteneur utilisateur et groupe. S'utilise pour migrer les données utilisateur et groupe d'un serveur IPA v1 : ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Comme un serveur IPA v2 comporte déjà des groupes prédéfinis pouvant entrer en conflit avec des groupes du serveur (IPA v1) migré (par exemple admins, ipausers), des utilisateurs dans un groupe en conflit comme groupe principal peuvent se voir rattachés à un groupe inconnu sur le nouveau serveur IPA v2. Utilisez l'option « --group-overwrite-gid » pour écraser le GID des groupes préexistants afin d'éviter ce problème : ipa migrate-ds --group-overwrite-gid \ --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Utilisateurs ou groupes migrés peuvent avoir des classes d'objets et attributs associés inconnus du serveur IPA v2. Ces classes d'objets et attributs doivent être tenus en dehors du processus de migration : ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ --user-ignore-objectclass=radiusprofile \ --user-ignore-attribute=radiusgroupname \ ldap://ds.example.com:389 JOURNALISATION La migration inscrit des avertissements et des erreurs sur le journal d'erreurs Apache. Ce fichier devra être examiné après la migration pour corriger ou enquêter sur tout problème qui serait mentionné. Tous les 100 utilisateurs migrés un message de niveau info est affiché indiquant l'avancement en cours et la durée écoulée pour permettre un suivi du processus de progression de la migration. Si le niveau de journalisation est « debug », en définissant « debug=True » soit dans « /etc/ipa/default.conf », soit dans « /etc/ipa/server.conf », alors une entrée est inscrite pour chaque utilisateur ajouté, plus un résumé quand le groupe utilisateur par défaut est mis à jour. Greffons divers Groupes réseau Un groupe réseau est un groupe utilisé pour la vérification des droits. Il peut contenir à la fois des valeurs utilisateur et hôte. EXEMPLES : Ajouter un nouveau groupe réseau : ipa netgroup-add --desc="NFS admins" admins Ajouter des membres au groupe réseau : ipa netgroup-add-member --users=tuser1 --users=tuser2 admins Retirer un membre du groupe réseau : ipa netgroup-remove-member --users=tuser2 admins Afficher les informations sur un groupe réseau : ipa netgroup-show admins Supprimer un groupe réseau : ipa netgroup-del admins Notez la distinction entre attributs et entrées. Les permissions sont indépendantes, donc la possibilité d'ajouter un utilisateur ne signifie pas qu'il est possible de les modifier. Jetons OTP Jetons OTP Configuration des jetons OTP. IPA prend en charge l'utilisation de jetons OTP pour une authentification à facteurs multiples. Ce code active la gestion des jetons OTP. EXEMPLES : Ajouter un nouveau jeton : ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token" Examiner un jeton : ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a Modifier le fournisseur : ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat" Supprimer un jeton : ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a Configuration OTP Gestion des valeurs par défaut utilisées par IPA pour les jetons OTP. EXEMPLES : Afficher la configuration de base OTP : ipa otpconfig-show Afficher toutes les options de configuration OTP : ipa otpconfig-show --all Modifier la fenêtre maximale d'authentification TOTP à 10 minutes : ipa otpconfig-mod --totp-auth-window=600 Modifier la fenêtre maximale d'authentification TOTP à 12 heures : ipa otpconfig-mod --totp-sync-window=43200 Modifier la fenêtre maximale d'authentification HOTP à 5 : ipa hotpconfig-mod --hotp-auth-window=5 Modifier la fenêtre maximale d'authentification HOTP à 50 : ipa hotpconfig-mod --hotp-sync-window=50 Politique de mots de passe Une politique de mots de passe permet de définir des limites sur les mots de passe dans IPA, comme leur durée de vie, minimale ou maximale, la taille de l'historique de mots de passe, le nombre de classes de caractères requises (pour la résistance à force brute) et la longueur minimale du mot de passe. Par défaut, une politique unique et globale est définie pour tous les utilisateurs. Vous pouvez aussi créer une politique à appliquer à un groupe. Chaque utilisateur est l'objet d'une seule politique de mots de passe, par un groupe ou par la politique globale. Une politique de groupe remplace totalement la politique globale ; elle n'est pas la somme de la politique globale plus quelques paramètres spécifiques. Chaque politique de groupe requiert un paramètre de priorité unique. Si un utilisateur appartient à plusieurs groupes ayant des politiques différentes, la priorité sera utilisée afin de déterminer quelle politique appliquer. Une petite valeur indique une priorité élevée de politique. Les politiques de mots de passe sont automatiquement supprimées quand les groupes auxquels elles ont été associées sont supprimés. EXEMPLES : Modifier la politique globale : ipa pwpolicy-mod --minlength=10 Ajouter une nouvelle politique de groupe : ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Afficher la politique de mots de passe globale : ipa pwpolicy-show Afficher une politique de mots de passe de groupe : ipa pwpolicy-show localadmins Afficher la politique applicable à un utilisateur : ipa pwpolicy-show --user=tuser1 Modifier une politique de mots de passe de groupe : ipa pwpolicy-mod --minclasses=2 localadmins Permissions Les permissions venant par défaut avec IPA sont dites « administrées ». Un jeu d'attributs par défaut leur a été appliqué, mais l'administrateur peut ajouter/supprimer des attributs individualisés à cet ensemble. « Ping » sur un serveur IPA distant pour s'assurer de son fonctionnement. La commande « ping » envoie une requête « echo « au serveur IPA. Le serveur renvoie ses informations de version. Ce mécanisme est utilisé par le client IPA pour confirmer que le serveur est disponible et est en mesure d'accepter les requêtes. Le serveur indiqué par « xmlrpc_uri » dans « /etc/ipa/default.conf » est contacté en premier. S'il ne répond pas alors le client contactera n'importe quel autre serveur défini dans les enregistrements SRV du DNS. EXEMPLES : « Ping » d'un serveur IPA : ipa ping ------------------------------------------ IPA server version 2.1.9. API version 2.20 ------------------------------------------ « Ping » verbeux d'un serveur IPA : ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml' ----------------------------------------------------- IPA server version 2.1.9. API version 2.20 ----------------------------------------------------- Greffons non accessibles depuis la ligne de commande, commandes utilisées en interne Privilèges Un privilège combine les permissions en tâches logiques. Une permission fournit les droits de réaliser une tâche unique. Certaines opérations IPA requièrent une combinaison de plusieurs permissions. Un privilège est la combinaison de ces permissions pour réaliser une tâche. Par exemple, la création d'utilisateurs requiert les permissions suivantes : * création d'une nouvelle entrée * réinitialisation du mot de passe * ajout du nouvel utilisateur au groupe d'utilisateurs par défaut de IPA La combinaison de ces trois tâches de bas niveau en privilège nommé « Add User » facilite la gestion des rôles. Un privilège ne peut contenir d'autres privilèges. Reportez-vous la gestion des rôles et des permissions pour plus d'informations. Fournit des capacités d'introspection de l'API. Serveurs mandataires RADIUS RADIUS Proxy Servers Gestion des serveurs mandataires RADIUS. IPA prend en charge l'utilisation d'un serveur mandataire externe RADIUS pour des authentifications OTP « krb5 ». Cela procure une grande souplesse pour l'intégration des services d'authentification tierce partie. EXEMPLES: Ajouter un nouveau serveur : ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812 Rechercher tous les serveurs dont les entrées incluent la chaîne « example.com » : ipa radiusproxy-find example.com Afficher la configuration: ipa radiusproxy-show MyRADIUS Modifier le secret: ipa radiusproxy-mod MyRADIUS --secret Supprimer la configuration: ipa radiusproxy-del MyRADIUS RÉINSCRIPTION : Un hôte déjà inscrit à un certain endroit ayant perdu sa configuration (ex.: parce que sa VM a été supprimée), peut être réinscrit. Pour plus d'informations, consulter les pages « man » de ipa-client-install. Un hôte peut facultativement stocker des informations complémentaires comme sa localisation, le système d'exploitation qu'il exécute, etc. Relever le niveau du domaine IPA. Domaines du royaume Gérer la liste des domaines associés au royaume IPA. EXEMPLES: Afficher la liste actuelle des domaines du royaume : ipa realmdomains-show Remplacer la liste des domaines du royaume : ipa realmdomains-mod --domain=example.com ipa realmdomains-mod --domain={example1.com,example2.com,example3.com} Ajouter un domaine à la liste des domaines du royaume : ipa realmdomains-mod --add-domain=newdomain.com Supprimer un domaine de la liste des domaines du royaume : ipa realmdomains-mod --del-domain=olddomain.com La suppression de « %(hostname)s » engendre une déconnexion de la topologie de réplication pour le suffixe « %(suffix)s » : %(errors)s La topologie de réplication dans le suffixe « %(suffix)s » est déconnectée : %(errors)s Les droits définissent les opérations permises ; ce sont un ou plusieurs des éléments suivants : 1. write - écrire un ou plusieurs attributs 2. read - lire un ou plusieurs attributs 3. search - rechercher un ou plusieurs attributs 4. compare - comparer un ou plusieurs attributs 5. add - ajouter une nouvelle entrée dans l'arbre 6. delete - supprimer une entrée existante 7. all - toutes les permissions sont garanties Rôles Les rôles sont utilisés pour affiner les délégations. Une permission accorde la capacité d'effectuer une tâche de bas niveau (ajouter un utilisateur, modifier un groupe, etc.). Un privilège combine une ou plusieurs permissions en une abstraction de plus haut niveau comme « useradmin ». Un administrateur d'utilisateur (useradmin) sera capable d'ajouter, modifier et supprimer des utilisateurs. Les privilèges sont assignés aux rôles. Peuvent être membres d'un rôle des utilisateurs, des groupes, des systèmes et des groupes de systèmes. Les rôles ne peuvent contenir d'autres rôles. EXEMPLES : Ajouter un nouveau rôle : ipa role-add --desc="Junior-level admin" junioradmin Ajouter des privilèges à ce rôle : ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Ajouter un groupe d'utilisateurs à ce rôle : ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Afficher les informations sur un rôle : ipa role-show junioradmin Le résultat des commandes ci-dessus fait que le groupe « junioradmin » peut ajouter des utilisateurs, réinitialiser des mots de passe, ou ajouter un utilisateur au groupe d'utilisateur par défaut de IPA. Mappage d'utilisateur SELinux Fait correspondre des utilisateurs IPA aux utilisateurs SELinux par hôte. Hôtes, groupes d'hôtes, utilisateurs et groupes peuvent être définis par rapport, soit à la règle, soit en pointant vers une règle HBAC existante. En utilisant l'option « --hbacrule » de « selinuxusermap-find », une recherche de correspondance exacte est faite sur le nom de la règle HBAC, de sorte qu'une seule entrée sera renvoyée ou bien aucune. EXEMPLES : Créer une règle « test1 » qui attribue à tous les utilisateurs le contexte « xguest_u:s0 » sur l'hôte « server » : ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1 ipa selinuxusermap-add-host --hosts=server.example.com test1 Créer une règle « test2 » qui attribue à tous les utilisateurs le contexte « guest_u:s0 » et utilise une règle HBAC existante pour utilisateurs et hôtes : ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test1 Afficher les propriétés d'une règle : ipa selinuxusermap-show test2 Créer une règle pour un utilisateur donné. Elle fixe le contexte SELinux de l'utilisateur « john » à « unconfined_u:s0-s0:c0.c1023 » sur toute machine : ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined ipa selinuxusermap-add-user --users=john john_unconfined Désactiver une règle : ipa selinuxusermap-disable test1 Activer une règle : ipa selinuxusermap-enable test1 Trouver une règle référençant une règle HBAC donnée : ipa selinuxusermap-find --hbacrule=allow_some Supprimer une règle : ipa selinuxusermap-del john_unconfined VOIR AUSSI : La liste contrôlant l'ordre dans lequel la mappe d'utilisateurs SELinux est appliquée, ainsi que l'utilisateur SELinux par défaut, sont disponibles avec la commande « config-show ». TYPES DE ZONE PRIS EN CHARGE * Zone maître (dnszone-*), contient les données faisant autorité. * Zone redirigée (dnsforwardzone-*), qui transfère les requêtes aux redirecteurs configurés (un ensemble de serveurs DNS). Permissions de libre service Une permission permet d'affiner une délégation de permissions. Les règles ou instructions de contrôle d'accès (ACI) accordent la permission de donner les permissions d'effectuer des tâches données comme ajouter un utilisateur, modifier un groupe, etc. Une permission de libre service définit ce qu'un objet peut modifier dans sa propre entrée. EXEMPLES : Ajouter une règle de libre service permettant aux utilisateurs de gérer leurs adresses (avec les extensions entre accolades de Bash) : ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address" En gérant les listes d'attributs, vous devez incorporer tous les attributs dans la liste, y compris les existants. Ajouter « telephoneNumber » à la liste (avec extension entre accolades Bash) : ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address" Afficher la règle modifiée : ipa selfservice-show "Users manage their own address" Supprimer une règle : ipa selfservice-del "Users manage their own address" Configuration du serveur Gérer les valeurs par défaut utilisées par IPA ainsi que certains de ses paramètres d'ajustement. NOTES : La valeur de notification du mot de passe (--pwdexpnotify) est stockée ici en vue de sa réplication. Elle n'est pas actuellement utilisée pour notifier par avance aux utilisateurs l'expiration de leur mot de passe. Certains attributs sont en lecture seule, fournis à titre d'information ; ils comprennent : * la base sujet de certificat : la base de sujet de certificat configuré, ex. O=EXAMPLE.COM, configurable uniquement à l'installation. * les fonctions du greffon mots de passe : définit les hachages additionnels qu'un mot de passe va générer (d'autres conditions peuvent s'appliquer). En fixant la liste ordonnée pour le mappage des utilisateurs SELinux, vous devez mettre entre guillemets les valeurs pour éviter leur interprétation. EXEMPLES : Afficher la configuration de base du serveur : ipa config-show Afficher toutes les options de configuration : ipa config-show --all Modifier la longueur maximale d'un nom d'utilisateur à 99 caractères : ipa config-mod --maxusername=99 Augmenter délais et limites de taille des recherches sur le serveur IPA : ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 Définir le domaine pour les courriels de l'utilisateur par défaut : ipa config-mod --emaildomain=example.com Activer le mode migration pour que « ipa migrate-ds » soit opérationelle : ipa config-mod --enable-migration=TRUE Définir l'ordre de la mappe des utilisateurs SELinux : ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' Délégation contrainte de services Gérez les règles permettant la délégation contrainte d'informations d'authentification de façon à ce qu'un service puisse se faire passer pour un utilisateur lors de la communication avec un service sans que cela ne nécessite de la part de l'utilisateur de transmettre son TGT. Cela constitue une méthode bien meilleure de délégation d'identification car elle évite l'exposition du secret court terme de l'utilisateur. La convention de nommage est d'ajouter le mot « target » ou « targets » au nom de la règle de correspondance. Ce poitn n'est pas obligatoire mais aide à visualiser l'association entre règles et cibles. Une règle est constituée de deux choses : - une liste de cibles auxquelles la règle s'applique, - une liste de memberPrincipals qui sont autorisés à leur déléguer leurs droits. Une cible consiste en une liste de principaux qui peuvent être délégués. En anglais, une règle que ce principal peut déléguer comme cette liste de principaux, tels que définis par ces cibles. EXEMPLES : Ajouter une nouvelle règle de délégation contrainte : ipa servicedelegationrule-add ftp-delegation Ajouter une nouvelle cible de délégation contrainte : ipa servicedelegationtarget-add ftp-delegation-target Ajouter un principal à la règle : ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com ftp-delegation Ajouter notre cible à la règle : ipa servicedelegationrule-add-target --servicedelegationtargets=ftp-delegation-target ftp-delegation Add un principal à la cible : ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com ftp-delegation-target Afficher les informations au sujet d'une règle de délégation et sa cible : ipa servicedelegationrule_show ftp-delegation ipa servicedelegationtarget_show ftp-delegation-target Supprimer une délégation contrainte : ipa servicedelegationrule-del ftp-delegation-target ipa servicedelegationtarget-del ftp-delegation Dans cet exemple, le service ftp peut obtenir un TGT pour le service ldap au nom de l'utilisateur associé. Il est fortement découragé de modifier les délégations livrées avec IPA, ipa-http-delegation et ses cibles ipa-cifs-delegation-targets et ipa-ldap-delegation-targets. Des modifications erronées peuvent obérer la capacité de délégation, en provoquant l'arrêt de fonctionnement du moteur. Services Un service IPA représente un service qui s'exécute sur un hôte. L'enregistrement du service IPA peut contenir un principal Kerberos, un certificat SSL ou les deux. Un service IPA peut être directement géré à partir d'une machine, pour autant que des permissions adéquates aient été données à la machine. Ceci est vrai même pour les machines autres que celle à laquelle le service est associé. Par exemple, demander un certificat SSL en utilisant les justificatifs d'identité du principal du service de l'hôte. Pour gérer un service en utilisant les références de l'hôte, vous devrez exécuter « kinit » en tant qu'hôte : # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM Ajouter un service IPA permet au service associé de demander un certificat SSL ou un tableau de clés, mais cela est réalisé dans une étape distincte ; cela n'est pas le résultat de l'ajout du service. Seule la composante publique du certificat est stockée dans un enregistrement de service ; la clé privée n'y est pas enregistrée. EXEMPLES : Ajouter un nouveau service IPA : ipa service-add HTTP/web.example.com Autoriser un hôte à gérer un certificat de service IPA : ipa service-add-host --hosts=web.example.com HTTP/web.example.com ipa role-add-member --hosts=web.example.com certadmin Écraser la liste par défaut des types PAC pris en charge pour le service : ipa service-mod HTTP/web.example.com --pac-type=MS-PAC NFS est un cas classique où la surcharge du type PAC est nécessaire. Actuellement, le code relatif à cette fonction dans le noyau Linux ne gère les tickets Kerberos que jusqu'à une taille maximale donnée. Comme les données PAC peuvent devenir bien plus grandes, il est recommandé de fixer « --pac-type=NONE » pour les services NFS. Supprimer un service IPA : ipa service-del HTTP/web.example.com Trouver tous les services IPA associés à un hôte : ipa service-find web.example.com Trouver tous les service HTTP : ipa service-find HTTP Désactiver la clé Kerberos et le certificat SSL d'un service : ipa service-disable HTTP/web.example.com Demander un certificat pour un service IPA : ipa cert-request --principal=HTTP/web.example.com example.csr Définir le mot de passe d'un utilisateur Si une personne autre que l'utilisateur change le mot de passe de cet utilisateur (par exemple en cas de réinitialisation par les services d'assistance technique), le mot de passe devra être modifié la première fois qu'il sera utilisé, afin que l'utilisateur soit le seul à connaître son mot de passe. La politique de mot de passe de IPA contrôle la fréquence de changement des mots de passe, les prérequis de leur résistance, et la taille de l'historique des mots de passe. EXEMPLES : Réinitialiser son propre mot de passe : ipa passwd Modifier le mot de passe d'un utilisateur : ipa passwd tuser1 Simuler l'utilisation des contrôles d'accès fondés sur l'hôte Les règles HBAC contrôlent qui peut accéder à quel service sur quels hôtes. Vous pouvez utiliser HBAC pour contrôler quels utilisateurs ou quels groupes ont accés à un service ou à un groupe de services, sur un hôte cible. L'application de règles HBAC présuppose un environnement de production ; ce greffon a pour objet de fournir une simulation de l'évaluation des règles HBAC sans nécessiter d'accès à cet environnement. Tester l'arrivée d'un utilisateur dans un service sur un hôte donné vis à vis des règles actives existantes. ipa hbactest --user= --host= --service=\ [--rules=rules-list] [--nodetail] [--enabled] [--disabled]\ [--sizelimit= ] --user, --host et --service sont obligatoires, les autres sont optionnelles. Si --rules est défini, simule l'activation des règles « rules-list » et teste la connexion de l'utilisateur uniquement sur ces règles. Si --enabled est défini, toutes les règles HBAC activées sont ajoutées à la simulation Si --disabled est défini, toutes les règles HBAC désactivées sont ajoutées à la simulation Si --nodetail est défini, il n'est pas renvoyé d'information sur les règles satisfaites ou non satisfaites. Si --rules et --enabled sont définis tous deux, la simulation est appliquée à --rules _et_ à tous les règles IPA activées. Si --rules n'est pas défini, la simulation est lancée vis à sis de toutes les règles IPA activées. Par défaut, il y a une limite globale IPA pour le nombre d'entrées renvoyées, vous pouvez la modifier avec l'option « --sizelimit ». EXEMPLES : 1. Utiliser toutes les règles HBAC activées dans la base de données IPA pour la simulation : $ ipa hbactest --user=a1a --host=bar --service=sshd -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 2. Désactiver le résumé détaillé sur l'application des règles : $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Access granted: True -------------------- 3. Tester explicitement les règles HBAC indiquées : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: myrule 4. Utiliser toutes les règles HBAC activées de la base de données IPA plus les règles explicitement définies : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --enabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 5. Tester toutes les règles HBAC désactivées de la base de données IPA : $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Access granted: False --------------------- notmatched: new-rule 6. Tester toutes les règles HBAC désactivées de la base de données IPA plus les règles explicitement définies : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --disabled --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule 7. Tester toutes les règles HBAC (activées et désactivées) de la base de données IPA : $ ipa hbactest --user=a1a --host=bar --service=sshd \ --enabled --disabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule notmatched: new-rule matched: allow_all TEST HBAC ET domaines approuvés Si un domaine approuvé externe est configuré dans IPA, les règles HBAC sont aussi appliquées aux utilisateurs accédant aux ressources IPA à partir du domaine approuvé. Les utilisateurs des domaines approuvés et les groupes (et leur SID) peuvent être assignés à des groupes externes pouvant être membres de groupes POSIX d'IPA éligibles aux règles HBAC, ce qui autorise un accès aux ressources protégées par le système HBAC. Le greffon « hbactest » peut tester des accès, à la fois d'utilisateurs IPA locaux et d'utilisateurs de domaines approuvés à partir, soit du nom d'utilisateur pleinement qualifié, soit du SID utilisateur. De tels noms d'utilisateur doivent avoir un domaine approuvé précisé comme nom court (DOMAINE\Administrateur) ou avec un nom de principal d'utilisateur (UPN), Administrator@ad.test. Veuillez noter que « hbactest » exécuté avec un utilisateur de domaine de confiance en tant que paramètre --user ne peut être lancé que par des membres du groupe des « administrateurs de confiance ». EXEMPLES : 1. Tester si un utilisateur d'un domaine approuvé défini par son nom court satisfait à toute règle : $ ipa hbactest --user 'DOMAIN\Administrator' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 2. Tester si un utilisateur d'un domaine approuvé défini par son nom de domaine satisfait à toute règle : $ ipa hbactest --user 'Administrator@domain.com' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 3. Tester si un utilisateur d'un domaine approuvé défini par son SID satisfait à toute règle : $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-500 \ --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Matched rules: can_login 4. Tester si un autre utilisateur d'un domaine approuvé défini par son SID satisfait à toute règle : $ ipa hbactest --user S-1-5-21-3035198329-144811719-1378114514-1203 \ --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Not matched rules: can_login 5. Tester si un autre utilisateur d'un domaine approuvé défini par son nom court satisfait à toute règle : $ ipa hbactest --user 'DOMAIN\Otheruser' --host `hostname` --service sshd -------------------- Access granted: True -------------------- Matched rules: allow_all Not matched rules: can_login Utilisateurs en attente Gestion des entrées des utilisateurs en attente (« stage users »). Les entrées des utilisateurs en attente sont situées directement dans le conteneur « cn=stage users, cn=accounts, cn=provisioning, SUFFIXE x. Les utilisateurs ne peuvent utiliser ces entrées pour s'authentifier (même si les entrées contiennent des données d'authentification) et ne sont que candidates à devenir des entrées actives. Les entrées d'utilisateurs actifs sont des utilisateurs Posix situées dans le conteneur « cn=accounts, SUFFIXE ». Les utilisateurs peuvent les utiliser pour s'authentifier à la condition qu'elles comportent des données d'authentification. Les entrées d'utilisateurs supprimés sont des entrées d'utilisateurs Posix situées dans le conteneur « cn=deleted users, cn=accounts, cn=provisioning, SUFFIXE ». Un utilisateur ne peut s'authentifier à l'aide de ces entrées , même si elles contiennent des données d'authentification valides. Le conteneur d'entrées utilisateurs en attente contient des entrées : - créées par les commandes « stageuser-add », qui sont des utilisateurs Posix, - créées par des systèmes d'approvisionnement externes. Un utilisateur en attente valide DOIT posséder les propriétés suivantes : - le RDN de l'entrée est « uid » - l'attribut « ipaUniqueID » est « autogenerate » IPA prend en charge une grande variété de formats de noms d'utilisateurs, mais il est important de savoir que des restrictions peuvent s'appliquer dans un environnement particulier. Ainsi, les noms d'utilisateurs débutant par un chiffre ou ceux excédant une certaine taille peuvent poser problème sur certains systèmes UNIX. Utiliser la commande « ipa config-mod » pour modifier le format autorisé par les outils IPA. EXEMPLES : Ajouter un nouvel utilisateur en attente : ipa stageuser-add --first=Tim --last=User --password tuser1 Ajouter un utilisateur en attente depuis le conteneur des utilisateurs supprimés : ipa stageuser-add --first=Tim --last=User --from-delete tuser1 Le coffre-fort standard utilise un mécanisme sécurisé pour le transport et le stockage du secret. Le secret ne peut être récupéré que par les utilisateurs ayant accès au coffre. Sudo (su « do ») autorise un administrateur système à déléguer la possibilité à certains utilisateurs (ou groupes d'utilisateurs) d'exécuter certaines (ou toutes) commandes en tant qu'administrateur ou autre utilisateur, tout en donnant des moyens de contrôle des commandes et de leurs arguments. Commandes sudo Commandes utilisées en tant que briques de base pour sudo EXEMPLES : Ajouter une nouvelle commande ipa sudocmd-add --desc='For reading log files' /usr/bin/less Supprimer une commande ipa sudocmd-del /usr/bin/less Commandes sudo Commandes utilisées en tant que briques de base pour sudo EXEMPLES : Ajouter une nouvelle commande ipa sudocmd-add --desc='For reading log files' /usr/bin/less Supprimer une commande ipa sudocmd-del /usr/bin/less Règles sudo Le coffre-fort symétrique est similaire au coffre standard, mais il pré-chiffre le secret à l'aide d'un mot de passe avant son transport. Le secret ne peut être récupéré qu'à l'aide du même mot de passe. « automember-rebuild » s'utilise pour appliquer rétroactivement les règles d'adhésion automatique aux entrées présentes, et ainsi revoir leur adhésion. Il y a un certain nombre de cibles autorisées : 1. sous-arbre : un DN ; la permission s'applique au sous-arbre sous ce DN 2. filtre de cibles : un filtre LDAP 3. cible : un DN avec possiblement des jokers, indique les entrées auxquelles la permission s'applique Dans beaucoup de types RR de DNS, les données DNS mises dans un serveur LDAP ne sont pas qu'un scalaire, ex. adresse IP ou nom de domaine, mais une structure de données parfois complexe. Un bon exemple est l'enregistrement LOC [RFC1876] constitué de nombre de parties obligatoires ou optionnelles (degrés-minutes-secondes de latitude et longitude, altitude ou précision). Ce code est une extension du greffon « otptoken » ; il fournit la prise en charge pour lire/écrire des jetons YubiKey directement. Pour activer « binddn », exécuter la commande pour fixer le mot de passe : LDAPTLS_CACERT=/etc/ipa/ca.crt /usr/bin/ldappasswd -S -W -h ipa.example.com -ZZ -D "cn=Directory Manager" uid=sudo,cn=sysaccounts,cn=etc,dc=example,dc=com Afin de vérifier qu'aucun serveur n'est déconnecté dans la topologie d'un suffixe donné, utiliser : ipa topologysuffix-verify $suffix Topologie Gestion de la topologie de réplication. Topologie Gestion de la topologie de réplication. Nécessite a minima le niveau 1 de domaine. UTILISATION d'OPTIONS STRUCTURÉES PAR TYPE Les coffres-forts utilisateurs sont des coffres appartenant à un utilisateur en particulier. Les coffres privés appartiennent à l'utilisateur courant. Les coffres de services appartiennent à un service. Les coffres partagés appartiennent à l'administrateur, mais peuvent être utilisés par d'autres utilisateurs ou services. Utilisateurs Gestion des utilisateurs. Tous les utilisateurs sont de type POSIX. IPA prend en charge un grand nombre de formats de noms d'utilisateurs. Certaines restrictions peuvent cependant s'appliquer dans un environnement particulier. Par exemple, les noms d'utilisateurs commençant par un chiffre ou ceux dépassant une certaine longueur peuvent poser problème à certains systèmes UNIX. Utiliser la commande « ipa config-mod » afin de modifier le format de nom d'utilisateur autorisé par les outils IPA. La désactivation d'un compte utilisateur lui interdit d'obtenir de nouveaux justificatifs d'identité Kerberos. Elle n'invalide pas les justificatifs déjà obtenus. L'administration des mots de passe ne fait pas partie de ce module. Pour plus d'informations sur ce sujet, cf. : « ipa help passwd » Le verrouillage de compte en cas d'échec de mot de passe est déclenché par le maître IPA de l'utilisateur. La commande « user-status » permet de l'identifier. C'est sur ​​ce maître que l'administrateur doit déverrouiller l'utilisateur. EXEMPLES : Ajouter un nouvel utilisateur : ipa user-add --first=Tim --last=User --password tuser1 Trouver tous les utilisateurs dont l'entrée contient la chaîne « Tim » : ipa user-find Tim Trouver tous les utilisateurs ayant « Tim » comme prénom : ipa user-find --first=Tim Désactiver un compte utilisateur : ipa user-disable tuser1 Activer un compte utilisateur : ipa user-enable tuser1 Supprimer un utilisateur : ipa user-del tuser1 Coffres-forts (vaults) Vérifier la topologie de réplication pour le suffixe. Vérifications effectuées : 1. vérfier si la topologie n'est pas déconnectée. En d'autres mots, si des chemins de réplication existent bien entre tous les serveurs. 2. vérifier si tous les serveurs n'ont pas un nombre supérieur à celui recommandé d'agrément de réplication. À l'ajout d'un enregistrement, on peut utiliser des options RR spécifiques ou standard pour une valeur brute, mais elles ne doivent pas être combinées dans une même opération. En modifiant une entrée existante, des options RR spécifiques peuvent s'utiliser pour modifier une partie d'un enregistrement DNS où l'option standard est utilisée pour indiquer la valeur modifiée. Cet exemple démontre une modification de préférence d'enregistrement MX de 0 à 1 dans un enregistrement sans modifier l'échangeur : ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1 Jetons YubiKey ipa --help -8 '${cn}' De manière alternative, les serveurs suivants sont capables d'exécuter cette commande : %(masters)s« %s » n'est pas un type de permission autorisé« %s » n'est pas un type d'objet${count} certificate(s) présent(s)${count} élément(s) ajouté(s)${count} élément(s) supprimé(s)${count} élément(s) désactivé(s)${count} élément(s) activé(s)${count} élément(s) supprimé(s)${count} option(s) supprimée(s)${count} utilisateur(s) activé(s)${count} utilisateur(s) restauré(s)${count} utilisateur(s) mis en attenteRéglages de ${primary_key} de ${entity}${primary_key} de ${entity} modifié${entity} ajoutée avec succès${primary_key} s'applique à :${primary_key} est membre de :${primary_key} est géré par :membres de ${primary_key} :Surcharges de ${primary_key} :${product}, version : ${version}%(attr)s ne contient pas '%(value)s'%(attr)s : syntaxe invalide.%(attr)s : une seule valeur autorisée.La recherche LDAP %(container)s ne renvoie aucun résultat (base de recherche : %(search_base)s, classe d'objet : %(objectclass)s)%(count)d enregistrement %(type)s sauté. Une seule valeur modifiable par enregistrement DNS.%(count)d enregistrements %(type)s sautés. Une seule valeur modifiable par enregistrement DNS.%(count)d ACI correspondant%(count)d ACI correspondant%(count)d LCA d'AC correspondante%(count)d LCA d'AC correspondantes%(count)d AC correspondante%(count)d AC correspondantes%(count)d serveur DNS correspondant%(count)d serveurs DNS correspondants%(count)d surcharge d'identifiants de groupes correspondante%(count)d surcharges d'identifiants de groupes correspondantes%(count)d règle HBAC correspondante%(count)d règles HBAC correspondantes%(count)d groupe de services HBAC correspondant%(count)d groupes de services HBAC correspondant%(count)d service HBAC correspondant%(count)d services HBAC correspondant%(count)d vue d'identifiants correspondante%(count)d vues d'identifiants correspondantes%(count)d surcharge d'identifiants correspondante%(count)d surcharges d'identifiants correspondantes%(count)d emplacement IPA correspondant%(count)d emplacements IPA correspondants%(count)d serveur IPA correspondant%(count)d serveurs IPA correspondants%(count)d jeton OTP correspond%(count)d jetons OTP correspondant%(count)d serveur mandataire RADIUS correspondant%(count)d serveurs mandataires RADIUS correspondant%(count)d mappe d'utilisateurs SELinux correspondant%(count)d mappe d'utilisateurs SELinux correspondant%(count)d groupe de commandes Sudo correspondant%(count)d groupes de commandes Sudo correspondant%(count)d commande sudo correspondant%(count)d commandes sudo correspondant%(count)d règle sudo correspondant%(count)d règles sudo correspondant%(count)d surcharge d'identifiants utilisateurs correspondante%(count)d surcharges d'identifiants utilisateurs correspondantes%(count)d clé « automount » correspondante%(count)d clés « automount » correspondantes%(count)d emplacement « automount » correspondant%(count)d emplacements « automount » correspondants%(count)d carte « automount » correspondante%(count)d cartes « automount » correspondantes%(count)d certificat correspondant%(count)d certificats correspondants%(count)d délégation correspondante%(count)d délégations correspondantes%(count)d groupe correspondant%(count)d groupes correspondants%(count)d hôte correspondant%(count)d hôtes correspondant%(count)d groupe d'hôtes correspondant%(count)d groupes d'hôtes correspondant%(count)d groupe réseau correspondant%(count)d groupes réseau correspondant%(count)d permission correspondant%(count)d permissions correspondant%(count)d greffon chargé%(count)d greffons chargés%(count)d privilège correspondant%(count)d privilèges correspondant%(count)d profil correspondant%(count)d profils correspondants%(count)d plage correspondant%(count)d plages correspondant%(count)d rôle correspondant%(count)d rôles correspondant%(count)d règle correspondante%(count)d règles correspondantes%(count)d segment correspondant%(count)d segment correspondants%(count)d permission de libre service correspondant%(count)d permissions de libre service correspondant%(count)d règle de délégation de service correspondante%(count)d règles de délégation de service correspondantes%(count)d cible de délégation de service correspondante%(count)d cibles de délégation de service correspondantes%(count)d service correspondant%(count)d services correspondant%(count)d suffixe de topologie correspondant%(count)d suffixes de topologie correspondants%(count)d confiance correspondante%(count)d confiances correspondantes%(count)d utilisateur correspondant%(count)d utilisateurs correspondant%(count)d variables%(count)d coffre-fort correspondant%(count)d coffre-forts correspondants%(count)s rôle serveur correspondant%(count)s rôles serveur correspondantsClient %(cver)s incompatible avec le serveur %(sver)s à « %(server)s »%(desc)s : %(info)s%(exception)s%(host)s en échec%(host)s en échec : %(error)s%(info)s%(key)s ne peut pas être supprimé car %(label)s %(dependent)s le requiert%(key)s ne peut être supprimé ou désactivé étant le dernier membre de %(container)s %(label)s%(label)s %(key)s ne peut être supprimé ou modifié : %(reason)s%(line)sle certificat %(name)s est invalideL'attribut par défaut %(attr)s de %(obj)s n'est pas autorisé !L'objet %(oname)s avec le nom « %(pkey)s » existe déjà« %(oname)s » de « %(otype)s » introuvable%(parent)s : %(oname)s introuvable%(pkey)s : %(oname)s introuvable%(port)s n'est pas un port valide%(reason)sDélai échu pour la tâche LDAP %(task)s, DN de la tâche : « %(task_dn)s »la catégorie %(type)s ne peut pas être définie à « all » tant que sont alloués %(objects)s%(user)s n'est pas un utilisateur POSIX%(value)s%i AC ajoutée.%i AC supprimée.%i AC ajoutées.%i AC supprimées.%i hôte ou groupe d'hôtes ajouté.%i hôte ou groupe d'hôtes supprimé.%i hôtes ou groupes d'hôtes ajoutés.%i hôtes ou groupes d'hôtes supprimés.%i profil ajouté.%i profil supprimé.%i profils ajoutés.%i profils supprimés.%i service ajouté.%i service supprimé.%i services ajoutés.%i services supprimés.%i utilisateur ou groupe ajouté.%i utilisateur ou groupe supprimé.%i utilisateurs ou groupes ajoutés.%i utilisateurs ou groupes supprimés.%sEnregistrement %s%s n'est pas un attribut valide.enregistrement %s%s à ajouter%s à exclure de la migration%s à supprimer%s : groupe introuvable%s : l'utilisateur est déjà préservé« ${port} » n'est pas un port valideLa commande « %(command)s » est obsolète. %(additional_info)s'%(entry)s' ne possède pas de certificat.« %(name)s » est requisL'option « %(option)s » est obsolète. %(additional_info)s'%(required)s' ne doit pas être vide lorsque '%(name)s' est défini'%s' est une partie requise d'un enregistrement DNS(obsolète)(cf. RFC %s pour plus de détails). Vérifier le GID du groupe existant. Utiliser l'option « --group-overwrite-gid » pour surcharger le GID7 n'est pas une raison de révocation valide Mot de passe à usage unique (One-Time-Password, OTP) : Création d'un nouveau code OTP pour chaque champ OTP. Pour vous connecter avec Kerberos, merci de vous assurer que vous disposez bien de tickets valides (obtenu avec kinit) et que le navigateur est bien correctement configuré, puis cliquer sur Connexion. Pour vous connecter avec votre identifiant utilisateur et son mot de passe, merci de les saisir dans les champs correspondants puis de cliquer sur Connexion.
  1. Créer une base de données de certificats ou utiliser une base existante. Pour créer une nouvelle base :
    # certutil -N -d <database path>
  2. Créer un CSR avec le sujet CN=<${cn_name}>,O=<realm>, par exemple :
    # certutil -R -d <database path> -a -g <key size> -s 'CN=${cn},O=${realm}'${san}
  3. Copier/coller le CSR (depuis -----BEGIN NEW CERTIFICATE REQUEST----- jusque -----END NEW CERTIFICATE REQUEST-----) dans la zone de texte ci-dessous :

La méthode implicite (mot de passe) est celle utilisée si aucune méthode n'est choisie.

Mot de passe + double facteur : LDAP et Kerberos permettent l'authentification avec l'un ou l'autre des type d'authentification, mais Kerberos utilise une méthode de pré-authentification qui nécessite d'utiliser un ccache blindé.

RADIUS avec un autre type : Kerberos utilise toujours RADIUS, mais pas LDAP. LDAP ne reconnait que le mot de passe et une des options d'authentification à double facteur.

Paramètrage spécifique à l'utilisateur, surcharge la configuration globale si l'une des options est cochée.

Mot de passe + double facteur : LDAP est Kerberos permettent l'authentification avec l'un ou l'autre des types d'authentification, mais Kerberos utilise une méthode de pré-authentification qui nécessite d'utiliser un ccache blindé.

RADIUS avec un autre type : Kerberos utilise toujours RADIUS, mais pas LDAP. LDAP ne reconnait que le mot de passe et une des options d'authentification à double facteur.

A Créer un enregistrement inverseA Adresse IPUne permission SYSTEM ne peut ni être modifiée, ni suppriméeUne liste séparée par des virgules des champs à explorer pour une recherche de groupesUne liste, séparée avec des virgules, des champs à explorer pour une recherche d'utilisateursDescription de ce serveur mandataire RADIUSUne description de cette règle d'auto-adhésionDescription de la commandeUne description de cet hôteDescription de ce groupe d'hôtesDescription de ce groupe de rôlesUn annuaire représentant une entrée LDAPUn groupe ne peut être membre de lui-mêmeUn groupe ne peut être ajouté comme membre de lui-mêmeUn hôte prêt à jouer le rôle de changeur de cléUn hôte pouvant agir comme changeur de messagerieUn nom d'hôte vers lequel cet alias pointeUne liste de valeurs d'ACIUne liste d'entrées LDAPEst attendue une liste des utilisateurs SELinux, délimités par des $Un groupe géré ne peut pas avoir de politique de mot de passe.Un problème est survenu en vérifiant que tous les membres étaient %(verb)s : %(exc)sEnregistrement AUne liste séparée par des espaces d'attributs qui seront supprimés lors des mises à jour de la réplication.Une chaîne de caractères recherchée dans tous les attributs d'objets pertinentsDonnées d'enregistrement A6Enregistrement A6AA compromisAAAA Créer un enregistrement inverseAAAA Adresse IPEnregistrement AAAAACINom d'ACIACI de la permission %s introuvablePréfixe d'ACIUn préfixe ACI est requisACI de nom « %s » introuvableACINom de la LCALe contrôleur de domaine AD n'a pas été en mesure aucun des contrôleurs de domaine IPA. Cela est probablement dû à un problème DNS ou de pare-feu.Configuration de la confiance ADContrôleur de domaine ADLe contrôleur de domaine AD se plaint à propos de la suite de mise en communication. Cela peut signifier qu'il y a de mauvaises synchronisations de l'un ou l'autre côté, par exemple.Nom d'hôte AFSDBSous-type AFSDBEnregistrement AFSDBNavigateur de l'APILe numéro de version de l'API n'a pas été envoyé, la compatibilité ascendante n'est pas garantie. La version de l'API du serveur est supposée être %(server_version)sEnregistrement APLÀ propos deAccès interditAccès autoriséAccès autorisé : %sA accès à cet hôteHoraire d'accèsAccédant àCompteParamètres de compteÉtat du compteCompte désactivéCompte désactivé : %(disabled)sActionsActiverActiver un utilisateur en attente « %(value)s »Activer un utilisateur en attente.Domaine Active DirectoryAdministrateur du domaine Active DirectoryMot de passe de l'administrateur de domaine Active DirectoryPlage pour les domaines Active DirectoryDomaine Active Directory avec attributs POSIXPlage pour les relations d'approbation Active Directory avec attributs POSIXActive Directory winsyncMot de passe de l'administrateur du domaine Active DirectoryUtilisateurs actifsZone activeAjouterAjouter ${entity}Ajouter ${primary_key} de ${entity} à ${other_entity}Ajouter ${other_entity} gérant ${entity} ${primary_key}Ajouter ${other_entity} à ${primary_key} de ${entity}Ajouter « Allow ${other_entity} » à ${primary_key} de ${entity}Ajouter des AC à une LCA d'ACAjouter une condition à ${pkey}Ajouter un attribut personnaliséAjouter un indicateur d'authentification personnaliséAjouter « Deny ${other_entity} » à ${primary_key} de ${entity}Ajouter un nouvel alias de principal KerberosAjouter plusieursAjouter un jeton OTPAjouter une permissionAjouter une règleAjouter « RunAs ${other_entity} » à ${primary_key} de ${entity}Ajouter « RunAs Groups » à ${primary_key} de ${entity}Ajouter un responsable à l'entrée d'utilisateur en attenteAjouter un responsable à l'entrée de l'utilisateurAjouter un nouveau serveur DNS.Ajouter une nouvelle surcharge d'identifiants de groupes.Ajouter un nouveau groupe de services HBAC.Ajouter un nouveau service HBAC.Ajouter une nouvelle vue d'identifiantsAjouter une nouvelle surcharge d'identifiant.Ajouter un nouvel emplacement IPA.Ajouter un nouveau service IPA.Ajouter un nouveau service IPA.Ajouter un nouveau jeton OTPAjouter un nouveau serveur mandataire RADIUS.Ajouter une nouvelle surcharge d'identifiants utilisateurs.Ajouter un nouveau jeton OTP YubiKey.Ajouter une nouvelle délégation.Ajouter une nouvelle politique de mot de passe.Ajouter un nouvel hôte.Ajouter un nouveau groupe d'hôtes.Ajouter un nouveau groupe réseau.Ajouter une nouvelle permission.Ajouter un nouveau privilège.Ajouter un nouveau rôle.Ajouter un noveau segment.Ajouter une nouvelle permission de libre service.Ajouter un nouvel utilisateur en attente.Ajouter un nouveau suffixe de topologie à gérer.Ajouter un nouvel utilisateur.Ajouter une permission pour une délégation d'accès de zone de redirection.Ajouter une permission pour une délégation d'accès par zone.Ajout d'une permission système sans ACI (commande interne)Ajouter une paire attribut/valeur. Format : attribut=valeur. Les attributs doivent faire partie du schéma.Ajouter une règle d'auto-adhésion.Ajouter une option à la règle sudo.Ajouter, puis ajouter un autreAjouter et fermerAjouter et modifierAjouter les certificats à l'entrée de l'hôteAjouter des commandes et groupes de commandes sudo affectés par la règle sudo.Ajouter une condition à une règle d'auto-adhésion.Ajouter une valeur personnaliséeAjouter un domaineAjouter un enregistrement direct pour les serveurs de noms situés dans la zone crééeAjouter un groupe dans sudo pour exécution comme.Ajouter des hôtes et groupes d'hôtes affectés par la règle sudo.Ajouter les hôtes qui peuvent gérer cet hôte.Ajouter des hôtes pouvant administrer ce service.Ajouter un membre à une règle nommée de délégation de service.Ajouter un membre à une cible de délégation de service.Ajouter des membres à un groupe de commandes sudo.Ajouter des membres à un groupe.Ajouter des membres à un groupe d'hôtes.Ajouter des membres à un groupe réseau.Ajouter des membres à un privilège.Ajouter des membres à un rôle.Ajouter des membres à un coffre-fort.Ajouter des membres à un groupe de services HBAC.Ajouter les utilisateurs migrés n'ayant pas de groupe à un groupe par défaut (par défaut : vrai)Ajouter un nouvel enregistrement de ressources DNS.Ajouter un nouveau certificat à un serviceAjouter un nouvel alias de principal à un serviceAjouter un nouvel alias de principal à l'entrée de l'hôteAjouter un ou plusieurs certificats à l'entrée de l'utilisateur surchargé (idoverrideuser)Ajouter un ou plusieurs certificats à l'entrée utilisateurAjouter des propriétaires à un conteneur de coffre-fort.Ajouter des propriétaires à un coffre-fort.Ajouter des permissions à un privilège.Ajouter un principalAjouter des privilèges à un rôle.Ajouter des profils à une LCA d'AC.Ajouter des services à une LCA d'AC.Ajouter des services à une règle HBAC.Ajouter des hôtes cibles et groupes d'hôtes à une LCA d'AC.Ajouter des hôtes et des groupes d'hôtes cibles à une règle HBAC.Ajouter des hôtes et groupes d'hôtes cibles à une mappe d'utilisateurs SELinuxAjouter une cible à une règle nommée de délégation de service.Ajouter des cibles à une délégation de service nomméAjouter l'hôte aux DNS avec cette adresse IPAjouter au groupe par défautAjouter des utilisateurs et groupes affectés par la règle sudo.Ajouter des utilisateurs et groupes dans sudo pour exécution comme.Ajouter des utilisateurs et groupes à une LCA d'AC.Ajouter des utilisateurs et groupes à une règle HBAC.Ajouter des utilisateurs et groupes à une mappe d'utilisateurs SELinuxAjouter des utilisateurs pouvant gérer ce jeton. %(map)s ajoutéeAjout de %(src)s à %(dst)sConfiance Active Directory ajoutée pour le royaume « %(value)s »LCA d'AC « %(value)s » crééeSurcharge d'identifiants de groupes « %(value)s » ajoutéeRègle HBAC « %(value)s » ajoutéeService HBAC « %(value)s » ajoutéGroupe de services HBAC « %(value)s » ajoutéVue d'identifiants « %(value)s » ajoutéeSurcharge d'identifiants « %(value)s » ajoutéePlage d'ID « %(value)s » ajoutéeEmplacement IPA « %(value)s » ajoutéJeton OTP « %(value)s » ajoutéServeur mandataire RADIUS « %(value)s » ajoutéMappe d'utilisateurs SELinux « %(value)s » ajoutéeCommande sudo « %(value)s » ajoutéeGroupe de commandes sudo « %(value)s » ajoutéRègle sudo « %(value)s » ajoutéeSurcharge d'identifiants utilisateurs « %(value)s » ajoutéeRègle d'auto-adhésion « %(value)s » ajoutéeCarte « automount » indirect « %(value)s » crééeClé « automount » « %(value)s » crééeEmplacement « automount » « %(value)s » ajoutéCarte « automount » « %(value)s » ajoutéeCertificats ajoutés à l'hôte « %(value)s »Certificats ajoutés à l'utilisateur surchargé « %(value)s »Certificats ajoutés au principal de service « %(value)s »Certificats ajoutés à l'utilisateur « %(value)s »Condition(s) ajoutées à « %(value)s »Délégation « %(value)s » ajoutéeGroupe « %(value)s » crééHôte « %(value)s » ajoutéGroupe d'hôtes « %(value)s » ajoutéGroupe réseau « %(value)s » ajoutéNouveau serveur DNS « %(value)s » ajoutéAlias ajoutés à l'hôte « %(value)s »Alias ajoutés au principal de service « %(value)s »Option « %(option)s » ajoutée à la règle sudo « %(rule)s »Permission « %(value)s » ajoutéePrivilège « %(value)s » ajoutéRôle « %(value)s » ajoutéSegment « %(value)s » ajoutéPermission de libre service « %(value)s » ajoutéeService « %(value)s » ajoutéRègle de délégation de service « %(value)s » ajoutéeCible de délégation de service « %(value)s » ajoutéeUtilisateur en attente « %(value)s » ajoutéPermission système « %(value)s » ajoutéeSuffixe de topologie « %(value)s » ajoutéUtilisateur « %(value)s » ajoutéAjout de « %(value)s » au coffreInstructions complémentaires :Adresse invalide, impossible de redirigerCompte administrateurAdresse courriel de l'administrateurPublié par les serveursAffiliation modifiéeAgréments supprimésAlgorithmeTou(te)sTous les attributs auxquels la permission s'appliqueToutes les commandes doivent avoir au moins un résultatTous les filtres cible, y compris ceux définis avec « type » et « memberof »AutoriserAutoriser ${other_entity} à créer un tableau de clés de ${primary_key}Autoriser ${other_entity} à récupérer un tableau de clés de ${primary_key}Autoriser la synchronisation PTRAutoriser l'accès depuis le domaine approuvéAutoriser l'ajout de membres externes non-IPA depuis des domaines approuvésAutoriser les mises à jour dynamiques.Autorise l'utilisation en repli de l'annuaire LDAP du contrôleur de domaine AD. Pour les relations d'approbation bidirectionnelles uniquement.Autoriser la signature DNSSEC en ligneAutoriser la signature DNSSEC en ligne des enregistrements dans la zoneAutoriser requêteAutoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR)Autoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR) dans la zoneAutoriser le transfertAutoriser l'utilisation des ressources IPA par le domaine approuvéAutoriser des utilisateurs, hôtes ou groupes d'hôtes à créer un tableau de clés de cet hôte.Autoriser utilisateurs, hôtes ou groupes d'hôtes à créer un tableau de clés de ce service.Autoriser des utilisateurs, hôtes ou groupes d'hôtes à récupérer un tableau de clés de cet hôte.Autoriser les utilisateurs, groupes, hôtes ou groupes d'hôtes à récupérer un tableau de clés pour ce service.Cibles autoriséesAutorisé à prendre l'identitéAutorisé à créer un tableau de clésAutorisé à récupérer un tableau de clésAutoriser la migration malgré l'utilisation du greffon « compat »Déjà enregistréSuffixes UPN alternatifsAltitudeToujours demanderRecherche ambiguë, le domaine utilisateur n'a pas été indiquéUn serveur maître IPA ne peut ni être supprimé ni désactivéUne erreur est survenue (${error})Une erreur est survenue lors de la récupération des zones DNS.Une plage d'identifiants existe déjà pour cette relation de confiance. Vous devez soit supprimer l'ancienne plage, soit exclure les options « --base-id » ou « --range-size » de la commande.Délai entre deux interrogations du serveur de noms pour la recherche de nouvelles zonesLa balise « %(anchor)s » ne peut être résolue.Balise à surchargerToute ACToute commandeTout groupeN'importe quel hôteTout profilN'importe quel serviceN'importe quiAppliquée aux hôtesApplique une vue d'identifiants aux hôtes ou aux membres des groupes d'hôtes indiqués. Si une autre vue d'identifiants était appliquée à l'hôte, elle est remplacée.Applique une vue d'identifiants aux hôtes ou aux membres des groupes d'hôtes indiqués. Si une autre vue d'identifiants était appliquée à l'hôte, elle est remplacée.AppliquerAppliquer l'ACI à votre propre entrée (« self »)Applique la vue d'identifiants ${primary_key} sur les hôtes de ${entity}Applique la vue ${primary_key} à ${entity}Appliquée aux groupes d'hôtesAppliquer aux hôtesChaîne arbitraire identifiant le segmentArchiver des données dans un coffre-fort.Données archivées dans le coffre-fort « %(value)s »Êtes-vous sûr de vouloir ${action} l'utilisateur ?
Le changement prendra effet immédiatement.Êtes-vous sûr(e) de vouloir activer ${object} ?Êtes-vous sûr de vouloir désactiver l'utilisateur sélectionné ?Êtes-vous sûr de vouloir ajouter une permission pour la zone DNS ${object} ?Êtes-vous sûr de vouloir supprimer ${object} ?Êtes-vous sûr de vouloir supprimer les entrées sélectionnées ?Êtes-vous sûr de vouloir désactiver ${object} ?Êtes-vous sûr de vouloir désactiver les entrées sélectionnées ?Êtes-vous sûr de vouloir activer ${object} ?Êtes-vous sûr de vouloir activer les entrées sélectionnées ?Êtes-vous sûr de vouloir engager cette action ?Êtes-vous sûr de vouloir reconstruire l'adhésion automatique ?Êtes-vous sûr de vouloir supprimer la permission pour la zone DNS ${object} ?Êtes-vous sûr de vouloir supprimer l'objet ${object} ?Êtes-vous sûr de vouloir restaurer les utilisateurs sélectionnés ?Êtes-vous sûr de vouloir mettre en attente l'objet ${object} ?Êtes-vous sûrs de vouloir mettre en attente les utilisateurs sélectionnés ?Êtes-vous sûr(e) de retirer l'application de la vue d'identifiants des entrées sélectionnées ?Êtes-sous sûr de vouloir déverrouiller l'utilisateur ${object} ?Êtes-vous sûr de vouloir supprimer les permissions à cet hôte ?Êtes-vous sûr de vouloir supprimer les permissions ce service ?Comme quiDemande un mot de passe non aléatoire à utiliser pour le principalVue d'identifiants attribuéeAdministrateur assigné au jeton (par défaut : soi-même)Utilisateur assigné au jeton (par défaut : soi-même)Au moins un nom de domaine ou une adresse IP doit être indiquéAttributClé d'attributRépartition des attributsAttribut à filtrer via « regex ». Ex. FQDN pour un hôte, ou « manager » pour un utilisateurAttributsAttributs pour une mise à jour complèteAttributs qui ne seront pas répliqués vers un serveur consommateur lors d'une réplication partielle. Par exemple, `(objectclass=*) $ EXCLUDE accountlockout memberofLes attributs qui ne sont pas répliqués vers un serveur consommateur pendant une mise à jour complète. Par exemple : (objectclass=*) $ EXCLUDE accountlockoutAttributs à ignorer dans les entrées groupe dans DSAttributs à ignorer dans des entrées utilisateur dans DSAttributs à supprimerAttributs auxquels la délégation s'appliqueAttributs auxquels les permissions s'appliquentAttributs auxquels la permission s'applique par défautAttributs auxquels les permissions s'appliquent.AuditAuthentificationIndicateurs d'authentificationIndicateur d'authentificationIndicateurs d'authentificationServeur de nom faisant autoritéChangement de serveur de nom faisant autoritéNom de domaine du serveur de nom faisant autoritéID de l'autoritéRègle d'appartenance automatiqueL'auto-adhésion n'est pas configuréeRègle d'auto-adhésion : %s introuvable !AutogénéréÉchec de la mise à jour automatique des enregistrements DNS du système. Merci de relancer la mise à jour des enregistrements du système manuellement pour obtenir la liste des enregistrements manquants.Auto-adhésionRègle d'auto-adhésionLa tâche de reconstruction des appartenances automatiques est terminéeTâche de reconstruction de l'appartenance avec adhésion automatique démarréeMontage automatiqueClé « automount »Clés « automount »Emplacement de montage automatiqueDétail d'un emplacement « automount »Emplacements de montage automatiqueCarte « automount »Cartes « automount »Nom de clé « automount ».Objet clé « automount ».Nom d'emplacement .Nom de carte « automount ».Fichier maître « automount »DisponiblePolitique de mise à jour de BINDRetourRetour en haut de pageMauvais format de cache des justificatifs d'identitéType « salt » non-conforme ou non pris en compte. Mauvais filtre de rechercheFiltre de recherche invalide %(info)sDN de baseDN de base sur le serveur LDAP distantID de baseBase pour les sujets de certificat (OU=Test,O=Example)Certificat de l'hôte encodé en Base-64Certificat du serveur codé en Base-64Certificat du service encodé en Base-64Certificat de l'utilisateur encodé en Base-64Échec du décodage « base64 » : %(reason)sFichier binaire à archiverDN de connexionÉchec de « bind » : %s Mot de passe de laison requis lors de l'utilisation d'un DN de liaison. Type de règle liéeBrève description de ce profilACL'autorité de certification « %s » est désactivéeLCA de l'ACLCA de l'ACAC compromisCatégorie d'ACune catégorie d'AC ne peut pas être définie à « all » tant qu'il reste des AC autoriséesCatégorie d'AC à laquelle l'ACL s'appliqueCertificat d'ACL'AC n'est pas configuréeACdes AC ne peuvent pas être ajoutées quand la catégorie de l'AC est « all »Algorithme CERTType de certificat CERTCertificat/CRL CERTÉtiquette de clé CERTEnregistrement CERTObjet justificatif d'identité de CIFSLe serveur CIFS %(host)s a refusé vos justificatifs d'identitéLe serveur CIFS a refusé vos justificatifs d'identitéMetavariable CLINom CLINom d'hôte CNAMEEnregistrement CNAMEUn enregistrement CNAME ne peut coexister avec aucun autre enregistrement (RFC 1034, section 3.6.2)CSRAnnulerImpossible de créer l'enregistrement inverse pour « %(value)s » : %(exc)sImpossible de décoder le fichier « %(filename)s » : %(exc)sImpossible d'établir la connexion LSA vers %(host)s. Le serveur CIFS est-il en cours d'exécution ?Impossible d'établir une relation d'approbation vers un AD déployé dans le même domaine que IPA. Une telle configuration ne peut être prise en charge.Impossible de trouver le domaine ou le serveur indiquéImpossible de réaliser la validation du SID sans installer la prise en charge de Samba 4. Assurez-vous d'avoir installé le sous-paquet d'IPA « server-trust-ad » sur le serveurImpossible de réaliser la validation de membre externe sans installer Samba 4. Assurez-vous d'avoir installé le sous-paquet « IPAserver-trust-ad » sur le serveurImpossible de rejoindre un domaine sans avoir au préalable configuré son propre domaine. Assurez-vous d'avoir lancé « ipa-adtrust-install » au préalable sur le serveurImpossible d'effectuer la commande sélectionnée sans configuration de Samba 4. Assurez-vous de bien avoir configuré ce serveur avec la commande « ipa-adtrust-install ».Impossible d'effectuer la commande sélectionnée sans installation de Samba 4. Assurez-vous de bien avoir installé sur le serveur le paquet IPA « server-trust-ad ».Impossible de lire le fichier « %(filename)s » : %(exc)sImpossible de résoudre le KDC pour le domaine demandéImpossible de récupérer la liste GC du domaine approuvéImpossible d'effectuer une recherche sur les domaines approuvés sans avoir au préalable configuré son propre domaine. Assurez-vous d'avoir au préalable lancé « ipa-adtrust-install » sur le serveurImpossible d'enregistrer les ACI de permissions dans %sImpossible d'utiliser %(old_name)s avec %(new_name)sPermis de conduire/carte d'identitéCertificatDonnée associée au certificatAutorités de certificationAutorité de certificationCertificat bloquéBlocage de certificat suppriméProfil de certificatProfil de certificat à utiliserProfils de certificatsCertificat révoquéBase de sujet de certificatType de certificatUtilisation du certificatCertificat pour ${primary_key} de ${entity}Erreur de format de certificat : %(error)sCertificat au format Base64 ou PEML'opération de certification ne peut être effectuée : %(error)sLes profils de certificats ne peuvent être renommésCertificat demandéLa base du sujet du certificat est : %s Certificat de l'AC « %(ca)s » avec le numéro de série %(serial)s introuvableCertificat(s) enregistré(s) dans le fichier '%(file)s'Certificat/CRLCertificatsCessation d'activitéModifier le niveau actuel du domaine.Modifier le mot de passeTransformer en groupe POSIXTransformer en groupe externeMot de passe modifié pour « %(value)s »Classes de caractèresVérification DNSVérifier la connexion au serveur IPA distant.Vérifier l'état d'une demande de signature de certificat.Vérification de l'existence de l'enregistrement.Vérifier si l'un des serveurs a activé le service autorité de certification.VilleClasseRetire l'application de la vue d'identifiants des hôtes ou membres des groupes d'hôtes indiqués.Cliquer pour ${action}.Les informations d'identification du client peuvent être déléguées au serviceLe client n'est pas configuré. Lancer « ipa-client-install ».Version client. Utilisée pour déterminer si le serveur accepte la requête.Intervalle d'horlogeDécalage d'horlogeFermerLa fermeture du tableau des clés a échoué Tout replierListe, séparée par des virgules, des types de chiffrementLa commande « %(name)s » a été abandonnée.Catégorie de commandeCatégorie de commande à laquelle la règle s'appliqueNom de commandeCommande non implémentéeCommandesNom usuelConditions n'ayant pu être ajoutéesConditions n'ayant pu être suppriméesConfigurationConfigurer votre jetonConfigurez le code QR en reconnaissant le code QR ci-dessous. Cliquez sur le code QR si vous voyez ceci sur le périphérique que vous souhaitez configurer.Limite configurée côté serveur dépasséeLimite configurée de taille dépasséeLimite configurée de durée dépasséeConfirmer le mot de passeConfirmationConnectivitéÉchecs consécutifs avant verrouillageParamètres de contactContacter ce serveur KDC particulierContinuerMode continu : pas d'arrêt sur erreurs.Mode continu. Les erreurs sont rapportées mais le processus se poursuitMode opératoire continu. Les erreurs sont notées, mais le processus continue.Convertir sur le serveurImpossible d'obtenir %(name)s de façon interactiveImpossible de lire « originfilter » de « UPG Definition ». Vérifiez vos permissions.CompteurBasé sur un compteur (HOTP)Créer un utilisateur en attente depuis un utilisateur suppriméCréer une AC.Créer une nouvelle LCA d'AC.Créer une nouvelle règle HBAC.Créer une nouvelle mappe d'utilisateurs SELinuxCréer une nouvelle clé « automount ».Créer un nouvel emplacement Créer une nouvelle carte « automount ».Créer un nouveau groupe.Créer un nouveau point de montage indirect.Créer une nouvelle règle de délégation de serviceCréer une nouvelle cible de délégation de serviceCréer un nouveau coffre-fort.Créer en tant que groupe non-POSIXCréer un enregistrement DNSCréer une nouvelle ICA.Créer une nouvelle zone de redirection DNSCréer une nouvelle zone DNS (enregistrement SOA).Créer un nouveau groupe de commandes sudo.Créer une nouvelle commande sudo.Créer une nouvelle règle sudo.Créer un enregistrement inverseCréer l'enregistrement inverse pour cette adresse IPACI « %(value)s » crééeAC « %(value)s » crééeCréation de l'enregistrement.Droits d'accès incorrects au cache des justificatifs d'identitéLes confiances croisées entre domaines n'ont pas été configurées. Assurez-vous d'avoir préalablement exécuté « ipa-adtrust-install » sur le serveurContenu actuel de l'enregistrement DNS : Mot de passe actuelNiveau actuel du domaine :Le mot de passe actuel est requisValeur personnaliséeEnregistrement DHCIDAlgorithme DLVCondensé DLVType de condensé DLVÉtiquette de clé DLVEnregistrement DLVLe « commonName » du DN ne correspond pas à l'identifiant de connexion de l'utilisateurL'adresse email du DN ne correspond à aucune des adresses email de l'utilisateurDN du conteneur pour des groupes dans le DS relatif au DN de baseDN du conteneur pour les utilisateurs dans le DS relatif au DN de baseDN de la tâche lancéeDN à utiliser pour la connexion en cas de non-utilisation de KerberosCible DNAMEEnregistrement DNAMEDNSZone de redirection DNSZones de redirection DNSConfiguration DNS globaleLe type DNS RR « %s » n'est pas pris en charge par le greffon bind-dyndb-ldapEnregistrement de ressources DNSEnregistrements de ressources DNSServeur DNSNom du serveur DNSServeurs DNSZone DNSParamètres de zone DNSZones DNSÉchec de vérification du DNS : {%(expected)s} attendu, {%(got)s} obtenuClasse de DNSOptions de configuration DNSZone de redirection DNSZones de redirection DNSTransmetteur DNSLa sémantique de redirection DNS a été modifié depuis IPA 4.0. Utilisez à la place les redirections de zones (dnsforwardzone-*). Pour plus de détails, lisez la documentation.Le DNS n'est pas configuréun libellé de DNS ne peut pas dépasser 63 caractèresun libellé DNS ne peut pas dépasser 63 caractèresL'enregistrement DNS a été supprimé car videLe ou les enregistrements DNS de l'hôte %(host)s n'ont pu être supprimés. (%(reason)s)Les enregistrements DNS ne peuvent être mis à jour qu'un seul à la foisEnregistrement de ressource DNSType d'enregistrement de ressource DNSEnregistrements de ressources DNSLa zone DNS inverse %(revzone)s pour l'adresse IP %(addr)s n'est pas gérée par ce serveur.Serveur DNSLe serveur DNS %(server)s ne prend pas en charge : %(error)s. Si la validation DNSSEC est activée sur le ou les serveurs IPA, merci de la désactiver.Le serveur DNS %(server)s ne prend pas en charge EDNS0 (RFC 6891) : %(error)s. Si la validation DNSSEC est activée sur le ou les serveurs, merci de la désactiver.Serveur DNS %(server)s : %(error)s.Serveurs DNSZone DNSZone DNS %(zone)s introuvableLa zone DNS de chaque domaine Kerberos doit contenir des enregistrements SOA et NS. Aucun enregistrement trouvé pour : %sL'enregistrement racine de la zone DNS ne peut être renomméZones DNSEnregistrement DNSKEYLa prise en charge de DNSSEC est expérimentale. %(additional_info)sÉchec de la validation DNSSEC : %(error)s. Merci de vérifier votre configuration DNSSEC ou de désactiver la validation DNSSEC sur tous les serveurs IPA.Algorithme DSCondensé DSType de condensé DSÉtiquette de clé DSEnregistrement DSL'enregistrement DS ne doit pas être dans la zone sommet (RFC 4035 section 2.4)l'enregistrement DS doit coexister avec un enregistrement NS (RFC 4592 section 4.6, RFC 4035 section 2.4)DonnéesSortie de débogagePar défautGroupe par défaut (repli)Groupe par défaut (repli) pour ranger des entréesTypes de PAC par défautUtilisateur SELinux par défautUtilisateur SELinux par défaut quand il n'y a aucune correspondance dans la règle de mappe SELinuxLa vue de la relation d'approbation par défaut ne peut être appliquée sur un hôteLa vue de la relation d'approbation par défaut ne peut contenir des utilisateurs IPAAttributs par défautDomaine par défaut pour les courrielsValeur par défaut depuisGroupe par défaut pour les nouvelles entréesGroupe utilisateur par défaut pour les nouveaux utilisateursLe groupe par défaut des nouveaux utilisateurs n'est pas POSIXGroupe par défaut pour les nouveaux utilisateurs introuvableClasses d'objets de groupe par défautClasses d'objets de groupe par défaut (liste séparée par des virgules)Groupe d'hôte par défautEmplacement par défaut des répertoires utilisateurInterpréteur de commande par défautInterpréteur de commande par défaut pour les nouveaux utilisateursLa politique de ticket par défaut ne peut pas être lueTypes de PAC par défaut pris en charge pour des servicesTypes d'authentification utilisateur pris en charge par défautTypes d'authentification utilisateur par défautGroupe d'utilisateur par défautClasses d'objets utilisateur par défautClasses d'objets utilisateurs par défaut (liste séparée par des virgules)Groupe utilisateur par défautDéfinit une liste blanche d'indicateurs d'authentification. Utiliser « otp » pour autoriser les authentifications à double facteur basé sur les mots de passe à usage unique. Utiliser « radius » pour autoriser l'authentification à double facteur utilisant RADIUS. D'autres valeurs peuvent être utilisées pour des configurations personnalisées.Degrés de latitudeDegrés de longitudeDélégationNom de délégationDélégationsSupprimerSupprimer '%(value)s' pour %(name)s ?Supprimer une ICA.Supprimer une zone de redirection DNS.Supprimer un enregistrement de ressources DNS.Supprimer la zone DNS (enregistrement SOA).Supprimer un serveur IPA.Supprimer une clé, ôter les permissionsSupprimer le serveurSupprimer un groupe de commandes sudo.Supprimer une commande sudo.Règle sudo supprimée.Supprimer une LCA d'AC.Supprimer une AC.Supprimer un profil de certificat.Supprimer un serveur DNSSupprimer un serveur mandataire RADIUS.Supprimer une mappe d'utilisateurs SELinuxSupprimer une délégation.Supprimer une politique de mot de passe.Supprimer un hôte.Supprimer un groupe d'hôtes.Supprimer un groupe réseau.Supprimer une permission.Supprimer un privilègeSupprimer un rôleSupprimer un segment.Supprimer une permission de libre service.Supprimer un utilisateur en attente.Supprimer un suffixe de topologie.Supprimer la confiance.Supprimer un utilisateurSupprimer un utilisateur en préservant l'entrée correspondantes pour un usage futurSupprimer un utilisateur.Supprimer un conteneur de coffre-fort.Supprimer un coffre-fort.Supprimer les enregistrements associésTout supprimer ?Supprimer une surcharge d'identifiants de groupes.Supprimer une règle HBAC.Supprimer un groupe de services HBAC.Supprimer une vue d'identifiants.Supprimer une surcharge d'identifiants.Supprimer une plage d'ID..Supprimer un emplacement IPA.Supprimer un service IPA.Supprimer un jeton OTPSupprimer une surcharge d'identifiants utilisateurs.Supprimer une paire attribut/valeur. L'option sera évaluée en dernier, après toutes les modifications et ajouts.Supprimer une règle d'auto-adhésion.Supprimer une clé « automount ».Supprimer un emplacement « automount ».Supprimer une carte « automount ».Supprimer un service HBAC existant.Supprimer un domaineSupprimer un groupe.Mode suppressionSupprimer une cible de délégation de service.Supprimer une règle de délégation de service.ACI « %(value)s » suppriméeAC « %(value)s » suppriméeLCA d'AC « %(value)s » suppriméeZone de redirection DNS « %(value)s » suppriméeServeur DNS « %(value)s » suppriméZone DNS « %(value)s » suppriméeSurcharge d'identifiants de groupes « %(value)s » suppriméeRègle HBAC « %(value)s » suppriméeService HBAC « %(value)s » suppriméGroupe de services HBAC « %(value)s » suppriméVue d'identifiants « %(value)s » suppriméeSurcharge d'identifiants « %(value)s » suppriméePlage d'ID « %(value)s » suppriméeEmplacement IPA « %(value)s » suppriméServeur IPA « %(value)s » suppriméJeton OTP « %(value)s » suppriméServeur mandataire RADIUS « %(value)s » suppriméMappe d'utilisateurs SELinux « %(value)s » supprimée.Commande sudo « %(value)s » suppriméeGroupe de commandes sudo « %(value)s » suppriméRègle sudo « %(value)s » suppriméeSurcharge d'identifiants utilisateurs « %(value)s » suppriméeRègle d'auto-adhésion « %(value)s » suppriméeClé « automount » « %(value)s » suppriméeEmplacement « automount » « %(value)s » suppriméCarte « automount » « %(value)s » suppriméeDélégation « %(value)s » suppriméeGroupe « %(value)s » suppriméHôte « %(value)s » suppriméGroupe d'hôtes « %(value)s » suppriméGroupe réseau « %(value)s » suppriméPermission « %(value)s » suppriméePrivilège « %(value)s » suppriméProfil « %(value)s » suppriméEnregistrement « %(value)s » suppriméRôle « %(value)s » suppriméSegment « %(value)s » suppriméPermission de libre service « %(value)s » suppriméeService « %(value)s » suppriméRègle de délégation de service « %(value)s » suppriméeCible de délégation de service « %(value)s » suppriméeUtilisateur en attente « %(value)s » suppriméSuffixe de topologie « %(value)s » suppriméConfiance « %(value)s » suppriméeUtilisateur « %(value)s » suppriméValeur « %(value)s » supprimée du coffreConteneur de coffre-fort suppriméLa suppression d'un groupe géré est interdite. Il doit d'abord être détaché.La suppression de ce serveur n'est pas autorisée, elle laisserait votre installation sans AC.La suppression de ce serveur laissera votre installation sans DNS.InterdireNuméro du serviceOptions obsolètesAbandonné ; utiliser %sDescriptionDescription de l'objet de l'ACDétacher un groupe administré d'un utilisateur.Groupe « %(value)s » détaché de l'utilisateur « %(value)s »DétectionDéterminer si le greffon de compatibilité de schéma est configuré pour servir les utilisateurs et groupes du domaineDéterminer si la commande « ipa-adtrust-install » a été exécutée sur ce systèmeDéterminer si la commande « ipa-adtrust-install » a été exécutée avec la tâche « sidgen »Dictionnaire de messages I18NDictionnaire de commande IPA codées JSONDictionnaire de méthode IPA codées JSONDictionnaire d'objets IPA codés JSONAnnuaire associant un nom de variable à une valeurCondenséType de condenséChiffresDirectAdhésion directeDirection de latitudeDirection de longitudeDirection de la réplication entre les nœuds gauche et droit de réplicationDésactiverDésactiver une zone de redirection DNS.Désactiver la zone DNS.Désactiver une LCA d'AC.Désactiver une règle sudo.Désactiver un compte utilisateur.Désactiver une règle HBAC.Désactiver une mappe d'utilisateurs SELinuxDésactiver la surcharge par utilisateurDésactiver la clé Kerberos et le certificat SSL d'un service.Désactiver la clé Kerberos, les certificats SSL et tous les services d'un hôte.Désactiver un jetonInterdire l'utilisation de ressources IPA par le domaine approuvéDésactivéLCA d'AC « %(value)s » désactivéeZone de redirection DNS « %(value)s » désactivéeZone DNS « %(value)s » désactivéeRègle HBAC « %(value)s » désactivéeMappe d'utilisateurs SELinux « %(value)s » désactivéeRègle sudo « %s » désactivéeHôte « %(value)s » désactivéService « %(value)s » désactivédomaine approuvé « %(value)s » désactivéCompte utilisateur « %(value)s » désactivéNe pas autoriser ${other_entity} à créer un tableau de clés de ${primary_key}Ne pas autoriser ${other_entity} à récupérer un tableau de clés de ${primary_key}Interdire aux utilisateurs, hôtes ou groupes d'hôtes de créer un tableau de clés de cet hôte.Interdire aux utilisateurs, hôtes ou groupes d'hôtes de créer un tableau de clés de ce service.Interdire aux utilisateurs, hôtes ou groupes d'hôtes à récupérer un tableau de clés de cet hôte.Interdire aux utilisateurs, hôtes ou groupes d'hôtes de récupérer un tableau de clés de ce service.Afficher un enregistrement de ressources DNS.Afficher un groupe de commandes sudo.Afficher une commande sudo.Afficher une règle sudo.Afficher un segment.Afficher une ICA d'après son nom.Afficher une clé « automount ».Afficher un emplacement « automount »Afficher une carte « automount ».Afficher la configuration d'un nouveau serveur DNS.Afficher la politique effective d'un utilisateur donnéAfficher des informations à propos des zones de redirection DNS.Afficher les informations au sujet d'une zone DNS (enregistrement SOA).Afficher les informations sur un serveur mandataire RADIUS.Afficher les informations sur une sortie de commande.Afficher des informations sur un paramètre de commande.Afficher des informations sur une commande.Afficher les informations sur une délégation.Afficher les informations sur un sujet de l'aide.Afficher les informations sur un hôte.Afficher des informations sur un groupe d'hôtes.Afficher les informations d'un groupe nommé.Afficher les informations au sujet d'une règle de délégation de service.Afficher les informations sur une cible de délégation de service.Afficher l'information sur un groupe réseau.Afficher les informations sur une permission.Afficher les informations sur un privilège.Afficher les informations sur une plage.Afficher les informations sur un rôle.Afficher les informations sur une permission de libre service.Afficher les informations sur un utilisateur en attente.Afficher des informations sur une relation de confiance.Afficher l'information sur un utilisateur.Afficher les informations sur un conteneur de coffre-fort.Afficher des informations sur un coffre-fort.Afficher les informations d'une surcharge d'identifiants de groupes.Afficher les informations sur un groupe de services HBAC.Afficher des informations sur un service HBAC.Afficher les informations d'une vue d'identifiants.Afficher les informations d'une surcharge d'identifiants.Afficher les informations d'un emplacement IPA.Afficher les informations sur un service IPA.Afficher des informations au sujet du jeton OTPAfficher les informations d'une surcharge d'identifiants utilisateurs.Afficher des informations au sujet d'une règle d'auto-adhésion. Afficher les informations sur une politique de mot de passe.Afficher des informations pour les groupes d'auto-adhésion par défaut (repli). Nom affichéAffiche les droits d'accès sur cette entrée (requiert --all). Cf. la page de manuel de « ipa » pour plus d'informations.Afficher la politique de tickets Kerberos.Afficher la liste des domaines du royaume.Afficher les propriétés d'une LCA d'AC.Afficher les propriétés d'une AC.Afficher les propriétés d'un profil de certificat.Afficher les propriétés d'une mappe d'utilisateurs SELinuxAfficher les propriétés d'une règle HBAC.Afficher l'enregistrement utilisateur pour le principal Kerberos en coursNe pas afficher le code QRVoulez-vous aussi faire une vérification DNS ?Voulez-vous vérifier si l'adresse du nouveau serveur faisant autorité est dans le DNSVoulez-vous supprimer l'alias kerberos ${alias} ?Voulez-vous supprimer le blocage du certificat ?Voulez-vous révoquer ce certificat ? Sélectionnez une raison depuis la liste déroulante.Voulez-vous mettre à jour les enregistrements DNS du système ?DocumentationID de l'autorité DogtagDomaineLe domaine « %(domain)s » n'est pas un domaine racine pour la forêt « %(forest)s »GUID du domaineNiveau du domaineLe niveau du domaine ne peut être redescendu.Le niveau actuel du domaine ne peut être relevé à {0}, le serveur {1} ne le prend pas en charge.Nom de domaine NetBIOSSID du domaineSID du domaine approuvéIdentifiant de sécurité du domaineContrôleur de domaine pour le domaine Active Directory (optionnel)Domaine activéNom de domaineNe pas créer de groupe privéNe pas attendre pour reconstruire l'appartenanceTéléchargementTélécharger le certificat dans un fichier au format PEM.Essai à blancClés dupliquées ignorées :Cartes dupliquées ignorées :Mise à jour dynamiqueModifierModifier ${entity}Attributs impactésAdresse courrielInformations employéMatriculeType d'employéActiverActiver une zone de redirection DNS.Activer la zone DNS.Activer une LCA d'AC.Activer une règle sudo.Activer un compte utilisateur.Activer une règle HBAC.Activer une mappe d'utilisateurs SELinuxActiver le mode migrationActive ou désactive un PKINIT anonymeActiver un jetonActivé(e)LCA d'AC « %(value)s » activéeZone de redirection DNS « %(value)s » activéeZone DNS « %(value)s » activéeRègle HBAC « %(value)s » activéeMappe d'utilisateurs SELinux « %(value)s » activéeRègle sudo « %s » activéeRôles serveur activésActivation du domaine approuvé « %(value)s »Compte utilisateur « %(value)s » activéType de chiffrement à demanderÉchec de comparaison du « enctype » ! EnregistréInscriptionÉchec de l'enregistrement. %s Entrer à nouveau %(label)s pour validation :Saisir le nom du groupe approuvé.Saisir le nom du groupe approuvé ou du groupe IPA. N.B. : la recherche n'indique pas les groupes des domaines approuvés.Saisir le nom de l'utilisateur approuvé ou de l'utilisateur IPA. N.B. : la recherche n'indique pas les utilisateurs des domaines approuvés.Saisir le nom de l'utilisateur approuvé.EntréeL'entrée %s n'existe pasEntrée %s introuvableLe RDN de l'entrée n'est pas l'attribut « uid »L'entrée ne possède aucun attribut « %(attribute)s »Énumérer tous les hôtes auxquels la vue s'applique.ErreurErreur lors du changement d'état du compteErreur à l'obtention du royaume Kerberos par défaut : %s. Impossible d'obtenir les justificatifs d'identité initiaux : %s. Erreur à l'analyse de « %1$s » : %2$s. Erreur à la résolution du tableau de clés : %s. Erreur lors du stockage des justificatifs d'identité dans le cache : %s. Établir une relation d'approbation bidirectionnelle. Par défaut, la relation est unilatérale entrante uniquement.Établit une relation d'approbation externe vers un domaine dans une autre forêt. La relation n'est pas transitive au delà du domaine.Établir en utilisantÉtablie et vérifiéeChangeurExclure deAttributs exclusExclusion« Regex » d'exclusionTout déplierExpire leExporter les meta-données du greffons pour l'interface WebExpressionExterneGroupe externe en tant que tel les commandes sont lancées (« sudorule-find » uniquement)Groupes externes de « RunAs Users »Groupes externes d'utilisateurs comme tel la commande peut être exécutéeUtilisateur externeUtilisateur externe comme tel les commandes peuvent être lancées (« sudorule-find » uniquement)Utilisateur externe auquel la règle s'applique (« sudorule-find » uniquement)Système externeMembre externeRelation d'approbation externeHachages additionnels à générer dans le greffon mots de passeFiltre cible supplémentaireAC en échecÉchec de « RunAs »Échec de « RunAsGroup »Échec de l'autorisation de création de tableaux de clésÉchec de l'autorisation de récupération des tableaux de clésHôtes/groupes d'hôtes en échecConnexions ayant échouéÉchec de « managedby »Membres en échecPropriétaires en échecProfils en échecServices/groupes de service en échecHôtes/groupes d'hôtes source en échecÉchec de la cibleÉchec lors de l'ajoutÉchec lors de l'ajout de la clé au tableau Échec à l'ajout de l'utilisateur dans le groupe par défaut. Utiliser la commande « ipa group-add-member » pour l'ajouter manuellement.Échec de l'authentification auprès de l'API REST de l'ACLa liaison au serveur a échoué ! Échec du nettoyage du memberPrincipal %(principal)s dans l'entrée s4u2proxy %(dn)s : %(err)sÉchec du nettoyage des entrées du nom d'hôte DNA pour %(master)s : %(err)sÉchec du nettoyage des entrées DNS de %(hostname)s : %(err)sÉchec du nettoyage du principal ou des clés du serveur : %(err)sÉchec à la fermeture du tableau de clés Échec à la création du contrôle ! Échec de création du contenu de la clé Échec de création de la clé ! Échec de création d'une clé aléatoire ! Impossible de décoder la réponse de contrôle ! Échec à l'obtention du tableau de clés Échec d'obtention du tableau de clés ! Impossible d'obtenir le résultat : %s Échec à l'ouverture du tableau de clés impossible d'ouvrir le fichier de configuration %s Impossible d'ouvrir le tableau de clés Échec de l'ouverture du tableau de clés « %1$s » : %2$s Impossible d'analyser le fichier de configuration %s Impossible d'analyser le résultat étendu : %s Impossible d'analyser le résultat : %s Échec à la suppressionÉchec de la suppression du serveur %(master)s de la liste de serveurs : %(err)sÉchec lors de la récupération de toute cléÉchec lors de la récupération du type de chiffrement %1$s (#%2$d) Échec lors de la récupération du type de chiffrement #%d Utilisateurs/groupes en échecÉchec dans le décodage du « Certificate Signing Request » : %sDélai de réinitialisation après échecGroupe principal de repliRepli sur l'annuaire LDAP du contrôleur de domaine ADFauxFalse si la migration échoue parce que le greffon « compat » est activé.Faux si le mode de migration a été désactivé.Numéro de faxRécupérer les domainesRécupération des zones DNS.Échec de la récupération des domaines depuis la forêt approuvée. Voir les informations détaillées dans le journal d'erreur.Fichier %(file)s introuvableFichier contenant les données à archiverFichier contenant la configuration du profilFichier contenant le nouveau mot de passe du coffre-fortFichier contenant la nouvelle clé publique du coffre-fortFichier contenant l'ancien mot de passe du coffre-fortFichier contenant l'ancienne clé privée du coffre-fortFichier contenant le mot de passe du coffre-fortFichier contenant la clé privée du coffre-fortFichier contenant la clé publique du coffre-fortFichier depuis lequel charger le certificat.Fichier duquel récupérer les donnéesFichier dans lequel stocker le certificat.Fichier dans lequel stocker l'information du tableau de clésLe nom de fichier est videNom de fichier du profil brut. Le format XML n'est pas pris en charge.FiltreFiltre disponible ${other_entity}RechercherTrouver les rôles serveur de serveursEmpreinteEmpreinte (SHA1)Type d'empreinteEmpreintesPremierPremier codePremier OTPPremier ID POSIX de la plagePremier ID POSIX de la plage réservée au domaine approuvéPremier RID dans la plage de RID correspondantePremier RID dans la plage de RID secondaireDate et heure à partir desquels le jeton peut être utiliséPrénomMarqueursLes segments suivants n'ont pas été supprimés :ForcerForcer la création de la zone DNS même si elle recouvre une zone existante.Forcer la création de la zone DNS même si le serveur de nom n'est pas résoluble.Forcer la création de la zone DNS même si le serveur de nom n'est pas résoluble. (Obsolète)Forcer la mise à jourForcer l'ajout d'un domaine même si absent des DNSForcer un changement de serveur de nom même si le serveur de nom n'est pas dans le DNSForcer la suppression du serveurForcer la suppression du serveur même s'il n'existe pasForcer l'hôte à rejoindre le domaine. Rejoindre à nouveau même s'il a déjà rejoint le domaine.On force la suppression de %(hostname)sErreur de formatRedirection prioritaireRedirection uniquementPolitique de redirectionLa politique de redirection est définie pour lui dans le DNS d'IPA, peut-être le redirecteur pointe-t'il vers un hôte incorrect ?Rediriger vers le serveur au lieu d'exécuter localementZones redirigées uniquementRedirecteurs de zoneRedirection désactivéeLa politique de transfert entre en conflit avec certaines zones automatiques vides. Les requêtes pour les zones spécifiées dans la RFC 6303 ignoreront le transfert et la récursion et résulteront toujours en des réponses NXDOMAIN. Pour surcharger ce comportement, utiliser la politique de transfert « only ».'%(value)s' trouvé.Nom completNom d'hôte pleinement qualifiéGECOSGIDGID (utiliser cette option pour le définir manuellement)GénéralCréer un OTPCréer un mot de passe aléatoire utilisé pour l'inscription en masseCréer un mot de passe aléatoireCréer les fichiers « automount » pour un emplacement donné.OTP crééObtenirObtenir le certificatLa configuration globale DNS est videConfiguration globale des relations d'approbationRedirecteurs globauxRedirecteurs globaux. Un port personnalisé peut être indiqué pour chaque redirecteur en utilisant le format standard « adresse_IP port PORT »Politique globale de redirection. Mettre à « none » pour désactiver tout redirecteur global configuré.Droits accordésPrivilèges accordés aux rôlesGroupeLe groupe « %s » n'existe pasNuméro d'identifiant de groupeSurcharge d'identifiant de groupeSurcharges d'identifiants de groupesOptions de groupeParamètres de groupeType de groupeConteneur de groupesDescription du groupeNom du groupeClasse d'objets groupeSurcharges des objets groupesChamps de recherche de groupeGroupe auquel appliquer l'ACIGroupes à surchargerType de groupeType de groupe auquel la règle s'appliqueGroupesGroupes autorisés à créer un tableau de clésGroupes autorisés à récupérer un tableau de clésGroupe de « RunAs Users »Règle HBACRègle HBAC délimitant les utilisateurs, les groupes et les groupes d'hôtesRègles HBACService HBACGroupe de services HBACGroupes de services HBACServices HBACTest HBACRègle HBACRègle HBAC %(rule)s introuvableDes membres locaux et des membres d'une règle HBAC ne peuvent pas être définis simultanémentRègles HBACService HBACDescription de service HBACGroupe de services HBACDescription de groupe de services HBACGroupes de services HBACGroupes de services HBAC à ajouterGroupes de services HBAC à supprimerServices HBACServices HBAC à ajouterServices HBAC à supprimerEnregistrement HIPFenêtre d'authentification HOTPFenêtre de synchronisation HOTPpassage d'occurrence d'authentification HOTPpassage d'occurrence de synchronisation HOTPErreur HTTPAdresse(s) MAC du matériel sur cet hôtePlate-forme matérielle de l'hôte (par ex. Lenovo T61)Sujet de l'aideMasquerCacher les détailsMasquer les détails des règles satisfaites ou pas, ou invalidesTaille de l'historiqueRépertoire personnelBase du répertoire utilisateurPrécision horizontaleHôteHôte « %(host)s » introuvableL'hôte « %(hostname)s » n'a pas d'enregistrement DNS de type A/AAAA correspondantCertificat de l'hôteGroupe d'hôtesParamètres des groupe d'hôtesGroupes d'hôtesGroupes d'hôtes autorisés à créer un tableau de clésGroupes d'hôtes autorisés à récupérer un tableau de clésMasques d'hôtesNom d'hôteParamètres d'hôteCatégorie de systèmesCatégorie d'hôte (les sémantiques associées à cet attribut vous sont propres)Catégorie d'hôte à laquelle la LCA s'appliqueCatégorie d'hôtes à laquelle la règle s'appliqueRègle de groupes d'hôtesRègles de groupes d'hôtesPlate-forme matérielle de l'hôte (par ex. « Lenovo T61 »)Hôte déjà joint. L'hôte n'est pas pris en chargeLocalité de l'hôte (par ex. « Paris, IDF »)Emplacement de l'hôte (par ex. "Lab 2")Nom d'hôteSystème d'exploitation et version (par ex. « Fedora 9 »)Permissions de l'hôte suppriméesCommandes de contrôle d'accès basé sur l'hôteGroupe d'hôtesGroupes d'hôtes auxquels s'applique la vue d'identifiants. Veuillez noter que cette vue ne s'applique pas automatiquement aux hôtes ajoutés au groupe après l'exécution de la commande idview-apply.Groupes d'hôtes dont les hôtes doivent se voir la vue d'identifiants retirée. Veuillez noter que la vue n'est pas automatiquement retirée de tout hôte ajouté au groupe d'hôte après l'exécution de la commande idview-unapply.Nom d'hôteNom d'hôte (FQDN)Nom d'hôte de ce serveurHôtesHôtes autorisés à créer un tableau de clésHôtes autorisés à récupérer un tableau de clésHôtes ou groupes d'hôtes dont la vue d'identifiants n'a pu être retirée.Hôtes ou groupes d'hôtes auxquels cette vue d'identifiants ne pourra pas être appliquée.Hôtes dont la vue d'identifiants a été retirée.Hôtes auxquels s'applique cette vue d'identifiants.Hôtes auxquels la vue s'appliqueHôtes auxquels appliquer la vueHôtes dont on va retirer toute vue d'identifiants.Durée de maintien en cache des réponses négativesPlage d'IDPlages d'IDVue d'identifiantsNom de la vue d'identifiantsVue d'identifiants déjà appliquéeVue d'identifiants appliquée à %i hôte.Vue d'identifiants appliquée à %i hôtes.Vue d'identifiants retirée de %i hôte.Vue d'identifiants retirée de %i hôtes.Vues d'identifiantsSurcharge d'identifiantsLes surchages d'identifiants ne peuvent être renomméesLa plage ID existe déjà pour ce domaine approuvé, mais est d'un type différent. Vous devez soit supprimer l'ancienne plage manuellement, soit ne pas forcer le type via l'option « --range-type ».Type de plage d'identifiants, doit être ipa-ad-trust-posix, ipa-ad-trust ou ipa-localType de plage d'ID, une valeur parmi {vals}Une plage d'ID avec le même nom, mais pour un SID de domaine différent existe déjà. La plage d'ID pour le nouveau domaine approuvé doit être créée manuellement.Adresse IPL'adresse IP %(ip)s est déjà assignée au domaine %(domain)s.Réseau IP pour lequel créer un nom de zone inverseAgents IPA de relation d'approbation ADContrôleurs IPA de relation d'approbation ADL'AC de IPA ne peut être suppriméeMaître de renouvellement d'AC IPAServeurs d'AC IPAEnregistrements DNS IPAServeurs DNS IPAVersion du DNS de IPA.Maître des clés DNSSec IPAErreur IPAServeurs KRA IPAEmplacement IPADescription de l'emplacement IPAEmplacements IPAServeurs NTP IPALe type de plage IPA doit être « ipa-ad-trust » ou « ipa-ad-trust-posix » lorsque le SID du domaine approuvé est indiqué.Le type de plage IPA ne doit être ni « ipa-ad-trust », ni « ipa-ad-trust-posix » lorsque le SID du domaine approuvé n'est pas indiqué.Serveur IPARôle serveur IPARôles serveur IPAServeur IPA à utiliserServeurs IPAIPA ne gère pas la zone %(zone)s, merci de modifier vos serveurs DNS manuellementNom de l'emplacement IPAEnregistrements du ou des emplacements IPALe maître IPA a refusé %(count)d fois les demandes de validation de relation d'approbation du contrôleur de domaine AD. Cela est probablement dû au fait que ce dernier a tenté de contacter une réplique où les informations de relations d'approbation n'ont pas encore été répliquées. De plus, vérifiez que le DNS AD est capable de résoudre les enregistrements SRV %(records)s vers le serveur IPA adéquat.Maîtres IPA« namingContext » d'IPA introuvable objet IPANom du rôle IPAServeur IPA configuré comme maître des clés DNSSecLe domaine du serveur IPA ne peut être suppriméLe domaine du serveur IPA ne peut être omisNom d'hôte du serveur IPANom du rôle serveur IPAServeurs IPA configurés comme agents de relation d'approbation ADServeurs IPA configurés comme contrôleurs de relation d'approbation ADServeurs IPA configurés comme autorité de certificationServeurs IPA configurés comme agents de recouvrement de clésServeurs IPA où NTP est activéRelation d'approbation IPAID unique IPAEnregistrement IPSECKEYIdentitéParamètres d'identitéSi aucune AC n'est indiquée, les requêtes à l'autorité de certification par défaut sont autorisées.Si le problème persiste, veuillez contacter l'administrateur du système.Ignorer la vérification de dernier serveur d'AC ou DNSIgnorer le greffon « compat »Attribut groupe à ignorerClasse d'objets groupe à ignorerIgnorer les problèmes de connectivité dans la topologie après suppressionIgnorer les erreurs de topologieAttribut utilisateur à ignorerClasse d'objets utilisateur à ignorer%(src)s ignoré pour %(dst)sClés ignorées :On ignore ces avertissements et lancement de la suppressionOn ignore les erreurs de connectivité de la topologie.Importer un profil de certificat.Importer des fichiers « automount » pour un emplacement donné.Clés importées :Cartes importées :Profil « %(value)s » importéInclusion désactivéeInclusion activéeInclure toutes les règles IPA inactives dans le testInclure toutes les règles IPA actives dans le test [par défaut]Inclure dansAttributs inclusInclusion« Regex » d'inclusionOptions incompatibles indiquées (-r et -P) IndirectService HBAC de membre indirectGroupe de services de membre indirectGroupes membres indirectsGroupes d'hôtes membres indirectsHôtes membres indirectsGroupes réseau de membres indirectsMembre indirect des groupes d'hôtesMembres indirect des rôlesDroits d'accès de membre indirectUtilisateurs membres indirectsAdhésion indirecteHérité de la configuration du serveurInitialiser le nœud de gaucheInitialiser le nœud de droiteInitialesLes données en entrée ont été indiquées plusieurs foisNom du fichier en entréeLe formulaire de saisie comporte des valeurs non-valides ou manquantes.Privilège « add » insuffisant pour l'entrée « %s ».Privilège « write » insuffisant pour l'attribut « krbLastPwdChange » de l'entrée « %s ».Privilège « write » insuffisant sur l'attribut « userCertificate » de l'entrée « %s ».Accès insuffisant : %(info)sPrivilège insuffisant pour créer un certificat avec le nom de sujet « %s » alternatif.Erreur interneRequête JSON-RPC invalide : %(error)sURI LDAP invalide.Valeur pour MLS invalide, doit correspondre à c[0-1023].c[0-1023] et/ou c[0-1023]-c[0-c0123]Valeur pour MLS invalide, doit correspondre à s[0-15](-s[0-15])Nom de principal de service invalide Données d'authentification invalidesFormat invalide. Doit être nom=valeurNombre de parties invalide !Type invalide ou non pris en compte. Les valeurs autorisées sont : %sClé publique invalide ou non prise en charge : %sType de coffre-fort invalideLa zone est-elle active ?ÉmettreÉmettre un nouveau certificatÉmettre un nouveau certificat pour ${primary_key} de ${entity}Émis parÉmis leÉmis pourÉmis à partir duÉmis à partir de cette date (AAAA-mm-jj)Émis jusqu'auÉmis à cette date (AAAA-mm-jj)ÉmetteurDN de l'émetteurNom distinctif de l'émetteurAC émettriceCeci est uniquement utilisée pour définir l'attribut SOA MNAME.Titre de posteRejoindre un domaine IPAEnregistrement KEYLe service KRA est désactivéÉchangeur KXPréférence KXEnregistrement KXCache des justificatifs d'identité Kerberos introuvable. Possédez-vous un ticket Kerberos ? Clé KerberosClé Kerberos absenteClé Kerberos présente, hôte muni de permissionsClé Kerberos présente, permissions du service activéesNom de principal de service KerberosPolitique de tickets KerberosPrincipal d'utilisateur Kerberos introuvable. Avez-vous un cache de justificatifs d'identité Kerberos ? Échec de l'initialisation du contexte Kerberos Échec de l'initialisation du contexte Kerberos : %1$s (%2$d) Erreur Kerberos : %(major)s/%(minor)sClés Kerberos disponiblesPrincipal KerberosLe principal Kerberos %s existe déjà. Utiliser la commande « ipa user-mod » pour le définir manuellement.Expiration du principal KerberosNom du principal Kerberos pour cet hôteCléClé compromiseÉtiquette de cléTableau de clésNom de fichier du tableau de clésRécupération du tableau de clés et stockage avec succès dans : %s DN LDAPURI LDAPURI LDAP du serveur DS depuis lequel effectuer la migration« basedn » de LDAPMot de passe LDAPMot de passe LDAP (hors utilisation de Kerberos)Schéma LDAPPortée de recherche LDAP pour les utilisateurs et les groupes : base, onelevel, ou subtree. Valeur par défaut : onelevelSuffixe LDAP qui sera géréDélai d'expiration LDAPAltitude LOCDegrés de latitude LOCDegrés de longitude LOCDirection de latitude LOCDirection de longitude LOCPrécision horizontale LOCMinutes de latitude LOCMinutes de longitude LOCSecondes de latitude LOCSecondes de longitude LOCTaille LOCPrécision verticale LOCEnregistrement LOCÉtiquetteDernierDate et heure au delà desquels le jeton ne peut plus être utiliséDernière authentification ayant échouéNomDernière authentification réussieLes espaces de début et de fin ne sont pas autoriséesNœud de gaucheNœud de réplication à gauche - un serveur IPAFiltre LDAP valide (i.e. ou=Engineering)Durée de validité du code du jeton TOTPNiveauÉnumérer tous les coffres-forts de servicesÉnumérer tous les coffres-forts d'utilisateursListe des maîtres IPA configurés comme serveurs DNSListe des maîtres IPAListe des suppressions ayant échouéListe des rôles activésListe des serveurs qui publient un emplacement donnéListe des domaines approuvés rafraîchie avec succès. Utiliser la commande « trustdomain-find » pour les énumérer.Liste des objets migrés, catégorisés par type.Liste des objets n'ayant pu être migrés, catégorisés par type.Charger le certificat de l'AC du serveur LDAP depuis FILEDomaine local :LocalitéEmplacementNom de l'emplacementEmplacement de l'ACIDurée du verrouillageConnecté en tant queConnexionInterpréteur de commandeDéconnexionErreur de déconnexionAdresse MACMS-PACÉchangeur MXPréférence MXEnregistrement MXAdresse postaleDN mal forméPrincipal malforméGérer la politique de mots de passe d'un groupe spécifiqueAdministrer la politique de ticket pour un utilisateur donnéDN du suffixe LDAP administréGéré parSuffixe administréSuffixes administrésLa gestion de la topologie nécessite le niveau de domaine minimal ${domainlevel}Permission « managedby »GestionnaireGérantCarteType de mappeMarquer le jeton comme désactivé (par défaut : faux, false)Fichier maîtreCorrespondanceRègles satisfaitesType correspondantNiveau de domaine maxiNombre maximal d'échecsVie max.Durée de vie maximale (jours)Renouvellement max.Durée maximale (secondes) pour une recherche (0 ou -1 pour illimitée)Durée maximale (secondes) pour une recherche (> 0, -1 pour illimitée)Niveau de domaine maximalLe nombre maximal d'agréments par répliqueNombre maximum de certificats renvoyésNombre maximal d'entrées renvoyéesNombre maximal d'entrées renvoyées (0 pour illimité)Nombre maximum d'entrées à rechercher (-1 pour illimité)Nombre maximum d'entrées à rechercher (-1 ou 0 pour illimité)Nombre maximal de règles à traiter quand « --rules » n'est définiLa durée de vie maximale du mot de passe doit être supérieure au minimum.Durée de vie maximale d'un mot de passe (en jours)Durée maximale de la période de renouvellement (secondes)Numéro de série maximumDurée de vie maximale (secondes)Longueur maximale du nom d'utilisateurLa valeur maximale est ${value}Ne peut pas être videGroupe membreServices HBAC membresGroupes de services HBAC membresHôte membreGroupe d'hôtes membreMembres de commandes sudoUtilisateur membreGroupes de membresGroupes d'hôtes membresHôtes membresGroupes réseau membreMembre deMembre de règle HBACMembre de règle SudoMembre d'un groupeMembre du groupeMembre des groupesMembre du groupe d'hôtesMembre des groupes réseauPrincipaux membres deGroupes de services membresServices membresGroupe d'utilisateurs membreUtilisateurs membresMembres d'un domaine approuvé sous la forme DOM\nom ou nom@domaineMembres n'ayant pu être ajoutésMembres n'ayant pas pu être supprimésMigrer les utilisateurs et groupes de DS vers IPA.Mode migration désactivé. Utiliser la commande « ipa config-mod --enable-migration=TRUE » pour l'activer.La migration des références des recherches LDAP n'est pas prise en charge.Niveau de domaine miniLongueur minimaleDurée de vie minimale (jours)Niveau de domaine minimalTaille minimale d'un mot de passeNombre minimal de classes de caractèresDurée de vie maximale d'un mot de passe (en jours)Numéro de série minimumLa valeur minimale est ${value}Minutes de latitudeMinutes de longitudeInformations diversesNouvelle clé publique du coffre-fort manquanteRéférence HTTP manquante ou invalide, %(referer)sAbsence de liste de contrôle des réponses ! Absence de contrôle de réponse ! Valeurs manquantes :Clé privée du coffre-fort manquanteClé publique du coffre-fort manquanteNuméro de téléphone mobileModèleModifiéConfiguration de la relation de confiance « %(value)s » modifiée.ACI « %(value)s » modifiéeAC « %(value)s » modifiéeLCA d'AC « %(value)s » modifiéeProfil de certificat « %(value)s » modifiéServeur DNS « %(value)s » modifiéRègle HBAC « %(value)s » modifiéeService HBAC « %(value)s » modifiéGroupe de services HBAC « %(value)s » modifiéPlage d'ID « %(value)s » modifiéeEmplacement IPA « %(value)s » modifiéServeur IPA "%(value)s" modifiéJeton OTP « %(value)s » modifiéServeur mandataire RADIUS « %(value)s » modifiéMappe d'utilisateurs SELinux « %(value)s » modifiéeCommande sudo « %(value)s » modifiéeGroupe de commandes sudo « %(value)s » modifié.Règle sudo « %(value)s » modifiéeSurcharge d'identifiants de groupes « %(value)s » modifiéeVue d'identifiant « %(value)s » modifiéeSurcharge d'identifiants « %(value)s » modifiéeSurcharge d'identifiants utilisateurs « %(value)s » modifiéeRègle d'auto-adhésion « %(value)s » modifiéeClé « automount » « %(value)s » modifiéeCarte « automount » « %(value)s » modifiéeDélégation « %(value)s » modifiéeGroupe « %(value)s » modifiéHôte « %(value)s » modifiéGroupe d'hôtes « %(value)s » modifiéGroupe réseau « %(value)s » suppriméPermission « %(value)s » modifiéePrivilège « %(value)s » suppriméRôle « %(value)s » modifiéSegment « %(value)s » modifiéPermission de libre service « %(value)s » modifiéeService « %(value)s » modifiéUtilisateur en attente « %(value)s » modifiéSuffixe de topologie « %(value)s » modifiéRelation de confiance « %(value)s » modifiée (la modification sera effective dans 60 secondes)Utilisateur « %(value)s » modifiéCoffre-fort « %(value)s » modifiéModifié : clé non définieModifier '%(value)s' pour %(name)s ?Modifier une ICA.Modifier la configuration de l'ACModifier la configuration d'un profil de certificat.Modifier une zone de redirection DNS.Modifier la configuration du serveur DNSModifier la zone DNS (enregistrement SOA).Modifier une plage.Modifier une plage d''identifiants. {0} Modifier la politique de tickets Kerberos.Modifier les options de configuration OTP.Modifier un groupe de commandes sudo.Modifier une commande sudo.Modifier une règle sudo.Modifier une LCA d'AC.Modifier un enregistrement de ressources DNS.Modifier un jeton OTPModifier un serveur mandataire RADIUSModifier une mappe d'utilisateurs SELinuxModifier une délégation.Modifier une politique de mot de passe de groupe.Modifier un groupe.Modifier un groupe d'hôtes.Modifier un groupe réseau.Modifier une permission.Modifier un privilège.Modifier un rôle.Modifier un segment.Modifier une permission de libre service.Modifier un utilisateur en attente.Modifier un suffixe de topologie.Modifier un utilisateur.Modifier un coffre-fort.Modifier une surcharge d'identifiants de groupes.Modifier une règle HBAC.Supprimer un groupe de services HBAC.Modifier un service HBAC.Modifier une vue d'identifiants.Modifier une surcharge d'identifiants.Modifier une surcharge d'identifiants utilisateurs.Modifier une règle d'auto-adhésion. Modifier une clé « automount ».Modifier une carte « automount ».Modifier un service IPA.Modifier les options de configuration.Modifier la configuration DNS globale.Modifier la configuration globale des relations d'approbation.Modifier les informations d'un hôte.Modifier les informations d'un emplacement IPA.Modifier les informations d'un serveur IPA.Modifier les domaines du royaume.Modifier le domaine approuvé de la confiancePlus d'une entrée avec la clé %(key)s trouvée, utilisez --info pour sélectionner l'entrée donnée.Information de montagePoint de montageDéplacer l'utilisateur supprimé dans l'espace en attenteMulti-valuéDoit être un nombre décimalDoit être une valeur d'horodatage UTC (ex. : « 2014-01-20 17:58:01Z »)Doit être un entierDrapeaux NAPTROrdre NAPTRPréférence NAPTRExpression rationnelle NAPTRRemplacement NAPTRService NAPTREnregistrement NAPTRNom de domaine NISLa valeur NONE ne peut être combinée avec d'autres types de PACNom d'hôte NSEnregistrement NSl'enregistrement NS n'est pas autorisé à coexister avec un enregistrement %(type)s sauf quand ils sont situés dans enregistrement de zone racine (RFC 2181, section 6.1)Les enregistrements NS peuvent être modifiés dans la somme sommet - '@'. Enregistrement NSECEnregistrement NSEC3Enregistrement NSEC3PARAMEnregistrement NSEC3PARAM pour une zone au format : algorithme_hachage marqueurs itérations salt.NomNom de référencement de l'ACNom de la commande à exporterNom du groupe d'hôtesNom de l'AC émettriceNom de la méthode à exporterNom de l'objet à exporterNom de la carte parente (par défaut : auto.master).Nom du domaine approuvéLe serveur de noms '%(host)s' n'a pas d'enregistrement A/AAAA correspondantLe serveur de nom pour la zone inverse ne peut être un nom DNS relatifNi « --del-all », ni aucune option de suppression d'enregistrement donné n'a été indiqué. Consulter l'aide pour connaître tous les types d'enregistrements pris en charge.Commandes imbriquées à exécuterNom NetBIOSGroupe réseauParamètres du groupe réseauDescription de groupe réseauNom de groupe réseauGroupes réseauServices réseauNouveau nom de l'ACINouveau certificatNouveau mot de passeNouveau mot de passe du principalNouveau testNouvel alias de principal KerberosNouvelle information de montageUn nouveau mot de passe est requisNouvelle clé publique indiquée plusieurs foisNouveau mot de passe du coffre-fortAjout : clé non définieAjout : clé définieSuivant(e)Aucun enregistrement A, AAAA, SSHFP ou PTR trouvé.Aucun « Common Name » n'a été trouvé dans le sujet de cette demande.Aucun serveur DNS dans l'emplacement IPA %(location)s. Sans serveur DNS, l'emplacement ne fonctionnera pas comme attendu.Aucune clé maîtresse DNSSEC n'est installée. La signature de zone DNSSEC ne pourra pas fonctionner tant qu'une clé maîtresse n'est installée.Pas de certificat valideAucune donnée archivée.Cache des justificatifs d'identité introuvablePas de groupe par défaut (repli) définiPas d'entrées.Pas de fichier à lireAucun connecteur YubiKey libre !Aucune clé acceptée par le KDC Aucune entrée correspondante trouvéePas d'option fournie pour supprimer un enregistrement donné.Aucune option fournie pour modifier un enregistrement donné.Pas d'autorisation pour joindre cet hôte dans le domaine IPA. Pas de groupe privéPas de réponsePas d'attribut de ce type sur cette entréeCommande virtuelle inconnueAucune préférence de type de chiffrement sur le système ?! Aucun domaine approuvé n'est pas configuréAucune valeur pour %sPas d'attentePas de permission en écriture sur le fichier « %s » du tableau de clés Réponse non 2xx reçue de l'API REST de l'AC : %(status)d. %(explanation)sDomaine autre que Active DirectoryRègles inexistantes ou invalidesRelation d'approbation externe non transitive vers un domaine dans une autre forêt Active DirectoryUsage uniquePas aprèsPas avantPas un groupe administréAdresse IP invalideAdresse IPv4 invalideAdresse IPv6 invalideAdresse réseau invalide (exemples : 2001:db8::/64, 192.0.2.0/24)Interdit sur une entrée qui n'est pas une feuilleArguments insuffisants pour établir la relation de confianceRègles non satisfaitesPas encore enregistréNoteNombre d'IDs dans la plageNombre de conditions ajoutéesNombre de conditions suppriméesNombre de jours de préavis d'expiration de mot de passeNombre de chiffres des codes du jetonNombre d'entrées renvoyéesNombre d'hôtes dont une vue d'identifiants a été retirée :Nombre d'hôtes auxquels la vue d'identifiants a été appliquée :Nombre de membres ajoutésNombre de membres supprimésNombre de propriétaires ajoutésNombre de propriétaires supprimésNombre de permissions ajoutéesNombre de permissions suppriméesNombre de greffons chargésNombre de privilèges ajoutésNombre de privilèges retirésDurée en secondes à attendre le bon achèvement des requêtes LDAP sortantes de la part d'un replica distant avant mise en échecNombre de variables renvoyées (<= total)OKOTPConfiguration pour les mots de passe à usage uniqueJeton OTPParamètres de jetons OTPJetons OTPOptions de configuration pour les mots de passe à usage uniqueOTP configuréjeton OTPjetons OTPClasses d'objets à ignorer pour les entrées groupe dans DSClasses d'objets à ignorer pour des entrées utilisateur dans DSClasses d'objets à utiliser pour la recherche d'entrées groupe dans DSClasses d'objets à utiliser pour la recherche d'entrées utilisateurs dans DSAncien mot de passe du coffre-fortAncienne clé privée du coffre-fortMots de passe à usage uniqueUn parmi « group », « permission » ou « self » est requisCommandes mots de passe à usage unique (OTP)Mot de passe à usage uniqueAbsence de mot de passe à usage uniquePrésence de mot de passe à usage uniqueUne seule valeur est autoriséeUn seul type de zone autorisé par nom de zoneSeules les valeurs « ipa-ad-trust » et « ipa-ad-trust-posix » sont autorisées pour « --range-type » lors de l'ajout d'une relation de confiance AD.Système d'exploitation et version de l'hôte (par ex. Fedora 9)Système d'exploitationOpération échouée : %s Erreur sur les opérationsOption ajoutéeGroupe d'optionsL'option rid-base ne doit pas être utilisée lorsque le type de plage IPA est ipa-ad-trust-posixSous-arbre optionnel de DN dans lequel une entrée peut être déplacée (doit être dans le sous-arbre, mais peut ne pas encore exister)Sous-arbre optionnel de DN dans lequel une entrée peut être déplacée (doit être dans le sous-arbre, mais peut ne pas encore exister)DN optionnel auquel appliquer les permissions (doit être dans le sous-arbre, mais peut ne pas encore exister)OptionsLes options dom-sid et dom-name ne peuvent pas être utilisées simultanémentLes options « dom-sid » et « rid-base » doivent être utilisées simultanémentLes options « dom-sid » et « secondary-rid-base » ne peuvent pas être utilisées simultanémentLes options « dom-sid/dom-name » et « rid-base » doivent être utilisées simultanémentLes options « dom-sid/dom-name » et « secondary-rid-base » ne peuvent pas être utilisées simultanémentLes options « secondary-rid-base » et « rid-base » doivent être utilisées simultanémentOrdreOrdre des utilisateurs SELinux par priorité croissante, délimités par $Unité organisationnelleOrganisationUnité organisationnelleSous-arbre des DN originesAutres types d'enregistrementsNotre domaine n'est pas configuréMémoire saturée ! Mémoire saturée Mémoire saturée Mémoire saturée !Mémoire saturée ! Mémoire saturée !? Fichier où stocker le certificat de transportNom de fichier de sortieN'afficher que les erreursSurcharger la liste par défaut des types PAC pris en charge. Utiliser « NONE » pour désactiver la prise en charge PAC pour ce service, ce qui peut être nécessaire pour les services NFS par exemple.Réécrire le mot de passe existantSurcharger la configuration héritéeSurcharger le GIDPropriétaire%s propriétaireGroupes propriétairesServices propriétairesUtilisateurs propriétairesPropriétaires n'ayant pu être ajoutésPropriétaires n'ayant pu être suppriméstype de PACPADPKINITPOSIXNom d'hôte PTREnregistrement PTRPageNuméro de téléavertisseurParamètresCarte parenteAnalyser tous les enregistrements DNS et les renvoyer sous forme structuréeErreur d'analyseMot de passeNotification d'expiration de mot de passe (jours)Politiques de mot de passePolitique de gestion des mots de passeUn mot de passe ne peut être indiqué que pour un coffre-fort symétriqueLe mot de passe ne peut être défini pour l'hôte enregistré.Modification du mot de passe terminéeExpiration de mot de passeTaille de l'historique des mots de passeMot de passe ou Mot de passe + OTPFonctionnalités du greffon mots de passeLa réinitialisation du mot de passe a échoué.Mot de passe indiqué plusieurs foisMot de passe utilisé pour les inscriptions en masseLes mots de passe ne correspondent pasLes mots de passe ne correspondent pas !Les mots de passe ont été migrés dans un format chiffré. IPA est incapable de créer des clés Kerberos sauf à utiliser les mots de passe en clair. Tous les utilisateurs migrés devront se connecter à https://your.domain/ipa/migration/ avant de pouvoir utiliser leur compte Kerberos.Les mots de passe doivent correspondrePolitique de redirection conditionnelle par serveur. Mettre à « none » pour désactiver la redirection vers un redireteur global pour cette zone. Dans ce cas, les redirecteurs de zone conditionnels sont ignorés.Redirecteurs par serveur. Un port personnalisé peut être indiqué pour chaque redirecteur avec le format standard « adresse_IP port PORT »Politique de redirection conditionnelle par zone. Mettre à « none » pour désactiver la redirection vers un redireteur global pour cette zone. Dans ce cas, les redirecteurs de zone conditionnels sont ignorés.Redirecteurs par zone. Un port personnalisé peut être indiqué pour chaque redirecteur avec le format standard « adresse_IP port PORT »Temps après lequel le compteur d'échecs sera réinitialisé (secondes)Durée pendant laquelle le verrouillage est actif (secondes)PermissionL'ACI « permission » permet un accès àAutorisation refusée : %(file)sMarqueurs de permissionNom de permissionRéglages des permissionsValeur de permissionUne permission avec un marqueur inconnu %s ne peut pas être modifiée ou suppriméePermissionsPermissions à accorder (« read », « write »). Par défaut : « write ».Permissions à accorder (« read », « write », « add », « delete », « all »)Type de chiffrements autorisésAutorisés à se voir émettre des certificats« Ping » sur un serveur distant.Plate-formeVeuillez choisir un type d'enregistrement de ressource DNS à ajouterVeuillez indiquer les redirecteurs.Veuillez essayer les options suivantes :PolitiquePortArguments positionnelsUne authentification préalable est requise pour le serviceMot de passe pré-partagéLe profil prédéfini « %(profile_id)s » ne peut être suppriméPréférencePréférence donnée à cet échangeur. Les plus petites valeurs sont les premières choisiesLangue préféréePréfixe utilisé pour distinguer les types d'ACI (« permission », « delegation », « selfservice », « none »)Utilisateurs préservésUtilisateurs préservésPrécédent(e)Base de RID principaleLes plages de RID principales et secondaires ne peuvent se recouvrirClé principale uniquementPrincipalLe principal %(principal)s n'a pas pu être authentifié : %(message)sLe principal '%(principal)s' n'est pas autorisé à utiliser l'AC '%(ca)s' avec le profil '%(profile_id)s' pour l'émission de certificat.Le principal « %s » du nom alternatif ne correspond pas au principal demandéPrincipal de ce certificate (par exemple : HTTP/test.example.com)Le principal n'est pas de la forme user@REALM : « %(principal)s »Nom principalAfficher aussi peu que possibleAffiche les informations de débogageAfficher les entrées telles qu'enregistrées sur le serveur. Affecte uniquement le format de sortie.Affiche la sortie XML-RPC brute en mode GSSAPIPrioritéPriorité de la politique (une valeur élevé indique une priorité basse)Clé privée indiquée plusieurs foisPrivilègeParamètres du privilègePrivilège retiréDescription du privilègeNom du privilègePrivilègesID de profilL'identifiant de profil « %(cli_value)s » ne correspond pas aux données du profil « %(file_value)s »Identifiant de profilCatégorie de profilCatégorie de profil à laquelle la LCA s'appliqueConfiguration de profilProfil de configuration enregistré dans le fichier « %(file)s »Description de profilProfilsInvite de définition du mot de passe utilisateurPossibilité futureMise en place des permissionsClé publiqueUne clé publique ne peut être indiquée que pour un coffre-fort asymétriqueClé publique indiquée plusieurs foisLa largeur du code QR est supérieure à celle du terminal. Merci d'agrandir votre fenêtre de terminal.Interroger le niveau actuel du domaine.La recherche a renvoyé plus de résultats que le nombre limite configuré. Affichage des ${counter} premiers résultats.Liens rapidesMode discret. Seules les erreurs sont affichées.RADIUSRéglages du serveur mandataire RADIUSServeur RADIUSServeurs RADIUSConfiguration du serveur mandataire RADIUSServeur mandataire RADIUSNom du serveur mandataire RADIUSServeurs mandataires RADIUSNom d'utilisateur sur serveur mandataire RADIUSL'API REST n'est pas connectée.RÉVOQUÉDomaine Kerberos conforme à la RFC4120L'attribut RFC822Name ne correspond à aucune des adresses email de l'utilisateurEnregistrement RPEnregistrement RRSIGMot de passe aléatoireConfiguration des plagesNom de la plageTaille de la plageType de plageEnregistrements %s brutsEnregistrements A brutsEnregistrements A6 brutsEnregistrements AAAA brutsEnregistrements AFSDB brutsEnregistrements APL brutsEnregistrements CERT brutsEnregistrements CNAME brutsEnregistrements DHCID brutsEnregistrements DLV brutsEnregistrements DNAME brutsEnregistrements DNSKEY brutsEnregistrements DS brutsEnregistrements HIP brutsEnregistrements IPSECKEY brutsEnregistrements KEY brutsEnregistrements KX brutsEnregistrements LOC brutsEnregistrements MX brutsEnregistrements NAPTR brutsEnregistrements NS brutsEnregistrements NSEC brutsEnregistrements NSEC3 brutsEnregistrements PTR brutsEnregistrements RP brutsEnregistrements RRSIG brutsEnregistrements SIG brutsEnregistrements SPF brutsEnregistrements SRV brutsEnregistrements SSHFP brutsEnregistrements TA brutsEnregistrements TKEY brutsEnregistrements TLSA brutsEnregistrements TSIG brutsFiltre cible brutLa valeur brute d'un enregistrement DNS a déjà été configurée avec l'option « %(name)s »Rétablissement de la confiance pour le domaine « %(value)s »Domaines pour le royaumeLe mot de passe de l'administrateur du domaine doit être indiquéDomaines du royaumeNom du royaumeIncohérence domaine-royaumeRaisonRaison de la révocationRaison de révocation du certificat (0-10)Raison de la révocation du certificat (1-10). Utilisez « ipa help cert » pour plus d'informations sur les raisons de révocation.Reconstruction des adhésions automatiquesReconstruire les appartenances automatiques.Reconstruire l'appartenance pour tous les membres d'un groupeReconstruire l'appartenance pour les hôtes indiquésReconstruire l'appartenance pour les utilisateurs indiqués Le nombre maximal d'agréments de réplication est dépasséType d'enregistrementLa création de l'enregistrement a échoué.Données d'enregistrementNom d'enregistrementEnregistrement non trouvé.Type d'enregistrementEnregistrementsEnregistrements pour la zone DNSRedirectionRedirection vers l'enregistrement PTRRafraîchirRafraîchir la liste des domaines associés à la relation de confianceRafraîchir la page.Expression rationnelleLe nom d'enregistrement relatif « %(record)s » contient le nom de la zone « %(zone)s » comme suffixe, ce qui aboutit au FQDN « %(fqdn)s ». Cela constitue généralement une erreur du fait du point final manquant à la fin du nom indiqué.Poids relatifs des services des serveurs (compte par emplacement)Recharger la configuration actuelle depuis le serveur.Recharger le navigateur.Nom d'hôte du serveur IPA distantNom du serveur distantSupprimer ${entity}Supprimer ${primary_key} de ${entity} depuis ${other_entity}Supprimer ${other_entity} gérant ${entity} ${primary_key}Supprimer ${other_entity} de ${primary_key} de ${entity}Supprimer les enregistrements A, AAAA, SSHFP et PTR de l'hôte géré par le DNS de IPA.Supprimer « Allow ${other_entity} » de ${primary_key} de ${entity}Supprimer des AC d'une LCA d'ACSupprimer le blocage du certificatSupprimer le blocage de certificat pour ${entity} ${primary_key}Supprimer « Deny ${other_entity} » de ${primary_key} de ${entity}Supprimer le blocageSupprimer un alias KerberosSupprimer une permissionSupprimer « RunAs ${other_entity} » de ${primary_key} de ${entity}Supprimer « RunAs Groups » de ${primary_key} de ${entity}Supprimer un responsable de l'entrée de l'utilisateur en attente.Supprimer un responsable de l'entrée de l'utilisateurSupprimer la permission pour une délégation d'accès de zone de redirection.Supprimer une permission pour une délégation d'accès par zone.Supprimer tous les principaux de ce royaumeRetirer une option d'une règle sudo.Supprimer les certificats d'un serviceSupprimer les certificats de l'entrée de l'hôteRetirer des commandes et groupes de commandes sudo affectés par la règle sudo.Supprimer des conditions d'une règle d'auto-adhésion. Supprimer le groupe par défaut (repli) pour toute entrée sans correspondance.Supprimer les entrées du DNSRetrait de la LRCRetirer un groupe de sudo pour exécution comme.Supprimer le blocageRetirer des hôtes et groupes d'hôtes affectés par la règle sudo.Supprimer les hôtes qui peuvent gérer cet hôte.Supprimer des hôtes pouvant administrer ce service.Supprimer un membre d'une règle nommée de délégation de service.Supprimer un membre d'une cible de délégation de service.Retirer des membres d'une délégation de service nomméSupprimer des membres d'un groupe de commandes sudo.Supprimer des membres d'un groupe.Supprimer des membres d'un groupe d'hôtes.Supprimer des membres d'un groupe réseau.Supprimer les membres d'un privilègeSupprimer des membres d'un rôle.Supprimer les membres d'un coffre-fort.Supprimer des membres d'un groupe de services HBAC.Supprimer les certificats de l'entrée de l'utilisateur surchargéSupprimer les certificats de l'entrée de l'utilisateurSupprimer des propriétaires d'un conteneur de coffre-fort.Supprimer les propriétaires d'un coffre-fort.Supprimer des permissions d'un privilège.Supprimer un alias de principal de l'entrée d'un hôteSupprimer un alias de principal d'un serviceSupprimer des privilèges d'un rôle.Retirer des profils d'une LCA d'AC.Ajouter des services et des groupes de services d'une règle HBAC.Retirer des services d'une LCA d'AC.Supprimer une cible d'une règle nommée de délégation de service.Retirer des utilisateurs et groupes d'une LCA d'AC.Retirer des hôtes et des groupes d'hôtes cibles d'une règle HBAC.Supprimer des hôtes et groupes d'hôtes cibles d'une mappe d'utilisateurs SELinuxRetirer des utilisateurs et groupes affectés par la règle sudo.Retirer des utilisateurs et groupes dans sudo pour exécution comme.Retirer des utilisateurs et groupes d'une LCA d'AC.Retirer des utilisateurs et des groupes d'une règle HBAC.Supprimer des utilisateurs et groupes d'une mappe d'utilisateurs SELinuxSupprimer des utilisateurs pouvant gérer ce jeton.Alias supprimés pour l'hôte « %(value)s »Alias supprimés du principal de service « %(value)s »Certificats supprimés pour l'hôte « %(value)s »Certificats supprimés de l'utilisateur surchargé « %(value)s »Supprimer les certificats du principal de service « %(value)s »Certificats supprimés de l'utilisateur « %(value)s »Conditions supprimées de « %(value)s »Groupe « %(value)s » par défaut (repli) supprimé pour l'auto-adhésionInformations sur le domaine approuvé « %(value)s » suppriméesOption « %(option)s » supprimée de la règle sudo « %(rule)s »Permission système « %(value)s » suppriméeSuppression de %(servers)s de la topologie de réplication, merci de patienter...Suppression du principal %s RenommerRenommer une ICA.Renomme l'objet %(ldap_obj_name)sRenommer l'objet surcharge d'identifiant de groupeRenommer l'objet surcharge de vue d'identifiantsRenommer l'objet jeton OTPRenommer l'objet surcharge d'identifiant d'utilisateurRenommer l'objet clé d'automontageRenommer l'objet groupeACI renommée en « %(value)s »Maître en charge du renouvellement de l'autorité de certificationRemplacementLa réplique est un serveur de clés DNSSEC actif. Le désinstaller pourrait casser votre système DNS. Merci de d'abord désactiver ou de remplacer votre serveur de clés DNSSEC.Agrément de réplication activéConfiguration de la réplicationRaffraichissement demandé pour la réplication via le segment « %(pkey)s ».La topologie de réplication du suffixe « %(suffix)s » contient des erreurs.La topologie de réplication du suffixe « %(suffix)s » est en ordre.Demander une réinitialisation complète du nœud en récupérant les données d'un autre nœud.Identifiant de la demandeIl manque le paramètre « method » à la requêteIl manque le paramètre « params » à la requêteLa requête doit être un dictionnaireÉtat de la demandeRequisChamp requisNécessite une authentification préalableRéinitialiserRéinitialiser la politique de tickets Kerberos.Remise à zéro OTPRemise à zéro du mot de passe à usage uniqueRéinitialiser le mot de passeRéinitialisation du mot de passe et de l'identifiant de connexionRéinitialiser votre mot de passe.Résoudre un nom de système DNS.Résoudre un nom de système DNS. (Obsolète)Résoudre les identifiants de sécurité des groupes et utilisateurs dans des domaines approuvésLa réponse de l'AC n'est pas dans un format JSON valideRestaurerRésultatRésultat de la simulationRésultat de la commandeRésultats tronqués, essayer un recherche plus préciseLes résultats doivent uniquement contenir un attribut de clé principale (« %s »)Les résultats doivent uniquement contenir un attribut de clé principale (« anchor »)Les résultats doivent uniquement contenir un attribut de clé principale (« cn »)Les résultats doivent uniquement contenir un attribut de clé principale (« command »)Les résultats doivent uniquement contenir un attribut de clé principale (« group »)Les résultats doivent uniquement contenir un attribut de clé principale (« group-name »)Les résultats doivent uniquement contenir un attribut de clé principale (« hostname »)Les résultats doivent uniquement contenir un attribut de clé principale (« id »)Les résultats doivent uniquement contenir un attribut de clé principale (« location »)Les résultats doivent uniquement contenir un attribut de clé principale (« map »)Les résultats doivent uniquement contenir un attribut de clé principale (« name »)Les résultats doivent uniquement contenir un attribut de clé principale (« sudocmdgroup-name »)TentativesRécupérer une donnée depuis un coffre-fortRécupérer un certificat existant.Récupérer et afficher tous les attributs à partir du serveur. Affecte la sortie de la commande.Retrouver les clés courantes sans les modifierDonnée récupérée depuis le coffre-fort « %(value)s »Échec de la récupération de la chaîne de certificat de l'AC : %sÉchec de la récupération de l'état de l'AC avec l'état %dÉchec de la récupération de l'état de l'AC : %sRéessayerNouvelle tentative de récupération avec la méthode pre-4.0... Retourner à la page principale et tenter à nouveau l'opérationL'enregistrement inverse pour l'adresse IP %(ip)s existe déjà dans la zone inverse %(zone)s.La zone inverse %(name)s requiert exactement %(count)d composants d'adresses IP, %(user_count)d donnésRéseau IP de zone inverseLa zone inverse pour l'enregistrement PTR doit être une sous-zone de l'un des domaines pleinement qualifiés suivants : %sRétablirRaison de la révocationRévoquerRévoquer le certificatRévoquer un certificat pour ${primary_key} de ${entity}Révoquer un certificat.RévoquéRévoqué à partir duRévoqué à partir de cette date (AAAA-mm-jj)Révoqué jusqu'auRévoqué à cette date (AAAA-mm-jj)Nœud de droiteNœud de réplication à droite - un serveur IPADroitsDroits à accorder (read, search, compare, write, add, delete, all)RôleParamètres du rôleNom du rôleÉtat du rôleRôlesLe domaine racine de la relation de confiance est toujours activé pour la confiance existanteNom de règleÉtat de la règleType de règleType de règle (allow)RèglesRègles à tester. Si non précisé, --enabled est impliciteExécute les commandesLancer testLancer en tant qu'un utilisateur donnéLancer en tant que n'importe quel utilisateur du groupe indiquéLancer avec le GID d'un groupe POSIX donnéGroupe « RunAs External »Utilisateur « RunAs External »Catégorie « RunAs Group »Catégorie « RunAs Group » à laquelle la règle s'applique« RunAs Groups»Catégorie « RunAs User »Catégorie « RunAs User » à laquelle la règle s'applique« RunAs Users »« RunAsGroup » n'accepte pas « %(name)s » comme nom de groupe« RunAsUser » n'accepte pas « %(name)s » comme nom de groupe« RunAsUser » n'accepte pas « %(name)s » comme nom d'utilisateurOptions SELinuxUtilisateur SELinuxMappe d'utilisateurs SELinuxRègle de mappe utilisateurs SELinuxRègles de mappes utilisateurs SELinuxMappes d'utilisateurs SELinuxUtilisateur SELinux %(user)s introuvable dans la liste ordonnée (dans la configuration)L'utilisateur SELinux « %(user)s » n'est pas valide : %(error)sL'utilisateur par défaut de la mappe utilisateur SELinux n'est pas dans la liste d'ordreListe de correspondance d'utilisateurs SELinux introuvable dans cette configurationOrdre de la mappe des utilisateurs SELinuxEmpreinte SHA1Empreinte SHA256SIDEntrant dans liste noire de SIDSortant de liste noire de SIDListes noires de SIDLe SID ne correspond à aucun domaine approuvéLe SID ne correspond exactement à aucun SID du domaine approuvéImpossible de trouver le SID du domaine approuvé désigné. Veuillez indiquer directement le SID avec l'option « dom-sid ».Le SID n'est pas reconnu en tant que SID valide pour un domaine approuvéLe SID n'est pas valideEnregistrement SIGClasse SOAExpiration SOAMinimum SOAClasse d'enregistrement SOA Heure d'expiration de l'enregistrement SOADurée d'actualisation de l'enregistrement SOADurée avant nouvel essai d'enregistrement SOANuméro de série de l'enregistrement SOAActualisation SOANouvel essai SOANuméro de série SOAEnregistrement SPFPort SRVPriorité SRVCible SRVPoids SRVEnregistrement SRVClé publique SSHEmpreinte de clé publique SSHClé publique SSH :Clés publiques SSHAlgorithme SSHFPEmpreinte SSHFPType d'empreinte SSHFPEnregistrement SSHFPSSSD n'a pu résoudre l'objet en un SID valideSelIdentique à --%sEnregistrerRechercherOptions de rechercheRechercher des paramètres de commandes.Recherches dans les domaines approuvésRecherche des %(searched_object)s avec ceux de %(ldap_object)s de %(relationship)s.Recherche des %(searched_object)s sans ceux de %(ldap_object)s de %(relationship)s.La recherche de %1$s sur « rootdse » a échoué avec l'erreur %2$d Rechercher des LCA d'AC.Rechercher des AC.Rechercher des profils de certificats.Rechercher des zones de redirection DNS.Rechercher des enregistrements de ressources DNS.Rechercher des serveurs DNS.Rechercher des zones DNS (enregistrements SOA).Rechercher des règles HBAC.Rechercher des services HBAC.Rechercher des emplacements IPA.La recherche du « namingContext » d'IPA a échoué avec l'erreur %d Rechercher des serveurs IPA.Rechercher des services IPA.Rechercher un jeton OTPRechercher des serveurs mandataires RADIUS.Rechercher des mappes d'utilisateurs SELinuxRechercher des groupes de commandes sudo.Rechercher des commandes sudo.Rechercher une règle sudo.Rechercher un groupe réseau.Rechercher des permissions de libre service.Rechercher une surcharge d'identifiants de groupesRechercher des groupes de services HBAC.Rechercher une vue d'identifiants.Rechercher une surcharge d'identifiants.Rechercher une surcharge d'identifiants utilisateursRechercher une clé « automount ».Rechercher un emplacement « automount ».Rechercher une carte « automount ».Rechercher des règles d'auto-adhésion.Rechercher des sorties de commande.Rechercher des commandes.Rechercher des délégations.Recherche de certificats existants.Rechercher des zones redirigées uniquementRechercher des politiques de mot de passe de groupe.Rechercher des groupes.Rechercher des sujets de l'aide.Rechercher un groupe d'hôtes.Rechercher des hôtes avec ces membres de règles HBAC.Rechercher des hôtes avec ces membres de groupes d'hôtes.Rechercher des hôtes sans ces membres de groupes d'hôtes.Rechercher des hôtes sans ces membres de rôles.Rechercher des systèmes sans ces membres de règles sudo.Rechercher des hôtes.La recherche de « ipaCertificateSubjectBase » a échoué avec l'erreur %dRechercher des groupes réseaux dont les membres sont ces groupes.Rechercher des groupes réseaux dont les membres sont ces groupes d'hôtes.Rechercher des groupes réseaux dont les membres sont ces hôtes.Rechercher des groupes réseaux dont les membres sont ces groupes réseau.Rechercher des groupes réseaux avec ces membres de groupes réseau.Rechercher des groupes réseaux dont les membres sont ces utilisateurs.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes d'hôtes.Rechercher des groupes réseaux dont les membres ne sont pas ces hôtes.Rechercher des groupes réseaux dont les membres ne sont pas ces groupes réseau.Rechercher des groupes réseaux sans ces membres de groupes réseau.Rechercher des groupes réseaux dont les membres ne sont pas ces utilisateurs.Recherche des permissions.Rechercher des privilèges.Rechercher des plages.Rechercher des rôles.Rechercher des cibles de délégation de serviceRechercher des règle de délégation de service.Rechercher des utilisateurs en attente.Rechercher des segments de topologie.Rechercher des suffixes de topologie.Rechercher des suffixes de topologie.Rechercher des confiances.Rechercher des utilisateurs.Rechercher des coffres-fortsLes résultats de la recherche ont été tronqués : %(reason)sÉtendue de la rechercheLimite de taille d'une rechercheLimite de temps d'une rechercheSecond codeDeuxième OTPBase de RID secondaireSecondes de latitudeSecondes de longitudeSecretIdentifiant de sécuritéIdentifiants de sécurité (SID)Information sur le segmentNom de segmentTout sélectionnerSélectionner les entrées à supprimer.SélecteurMoi-mêmePermission de libre servicePermissions de libre serviceNom de la permission de libre serviceLa sémantique de %(label)s a changé. %(current_behavior)s %(hint)sListe séparée par des points-virgules d'adresses IP ou de réseaux autorisés à émettre des requêtesListe séparée par des points-virgules d'adresses IP ou de réseaux autorisés à effectuer des transfertsSensibleNuméro de sérieNuméro de sérieNuméro de série (hex)Numéro de sérieNuméro de série (hex)Numéro de série en décimal (ou en hexadécimal avec le préfixe 0x)ServeurLe serveur « %(srv)s » possède %(n)d agréments avec les serveurs :Le serveur %(srv)s ne peut contacter les serveurs : %(replicas)sNom du serveurRôle serveurRôles serveurLe serveur a déjà été suppriméEmplacement de serveurNom du serveurNom de serveur non fourni et indisponible Arrêt brutal de la suppression du serveur : %(reason)s.Le serveur vérifiera le ou les serveurs de redirection DNS.ServeursInformations sur les serveurs :Serveurs situés à l'emplacementServeurs appartenants à l'emplacement IPAServiceLe service %(service)s doit être redémarré sur le serveur IPA %(server)s pour permettre la prise en compte de la nouvelle configuration.Service « %(service)s » introuvable dans la base de données KerberosCertificat de serviceGroupes de servicesOptions du serviceParamètres de serviceCatégorie de serviceCatégorie de service à laquelle la LCA s'appliqueCatégorie de services à laquelle la règle s'appliqueRègle de délégation de serviceRègles de délégation de serviceCible de délégation de serviceCibles de délégation de serviceNom de groupe de services HBACNom de serviceNom de service du service coffrePrincipal du serviceAlias de principal de servicePrincipal de service pour ce certificat (par ex.: HTTP/test.example.com)Le principal de service n'est pas de la forme : service/fully-qualified host name: %(reason)sPoids relatif du servicePermissions du service suppriméesPoids du serviceLes options de service(s), d'utilisateur(s) ou de coffres-forts partagé(s) ne peuvent être utilisées simultanémentLes options de service, d'utilisateur ou de coffre-fort partagé ne peuvent être utilisées simultanémentLes options de service, de partage et d'utilisateur ne peuvent être utilisées simultanément.ServicesErreur de sessionClé de session emballée avec le certificat de transportDélai d'expiration de la sessionDéfinirDéfinir le niveau du domaineParamétrer le mot de passe à usage uniqueDéfinir mot de passe à usage uniqueDéfinir la clé SSHDéfinir le mot de passe d'un utilisateur.Modifie un attribut d'une paire nom/valeur. Le format est attribut=valeur. Pour des attributs à valeurs multiples, la commande remplace les valeurs déjà présentes.Définir un groupe par défaut (repli) pour toutes les entrées sans correspondance.Définir le groupe « %(value)s » par défaut (repli) pour l'auto-adhésionParamètresSecret partagé pour la confianceCoffre-fort partagéAfficherAfficher les informations sur le serveur IPA.Montrer le code QRAfficher les résultatsAfficher tous les greffons chargés.Afficher l'uri de configurationAfficher les détailsAfficher les variables d'environnement.Afficher la configuration globale des relations d'approbation.Afficher le suffixe géré.Afficher l'état du rôle sur un serveurAfficher la configuration OTP actuelle.Afficher la configuration actuelle.Afficher la configuration DNS globale.Affiche la liste des types de chiffrement autorisés, et sort.Afficher la configuration du coffre-fort.Afficher/définir la cléAffichage des entrées ${start} à ${end} sur ${total}.Échec de la connexion simple Simulation de l'utilisation des contrôles d'accès basées sur les hôtesTailleLimitation de tailleLa taille des données excède la limite actuelle fixée à %(limit)d octets.Taille de la plage d'ID réservée au domaine approuvéPasser la vérification DNSPasser la vérification lorsque le dernier serveur DNS ou AC maître est suppriméPasser la vérification de recouvrement%(key)s ignoré%(map)s ignoréCertaines entrées n'ont pas été suppriméesCertaines opérations ont échoué.Groupes d'hôtes sourcesHôtes sourcesHôte sourceCatégorie d'hôtes sourcesCatégorie d'hôtes sources à laquelle la règle s'appliqueAC indiquéesCommandes et groupes définisGroupes définisHôtes et groupes indiquésProdils indiquésServices et groupes indiquésUtilisateurs et groupes indiquésIndique où stocker l'information du tableau de clés.Définir un ${entity} externeMette en attenteMettre en attente l'utilisateurMettre en attente les utilisateursUtilisateur en attente %s activéUtilisateurs en attenteCompte utilisateur en attente « %(value)s »Types d'enregistrement standardÉtat/ProvinceÉtatÉtat du rôleArrêter un rafraichissement en cours du ou des nœuds choisis.Arrêt du raffraichissement demandé pour la réplication via le segment « %(pkey)s ».Stocker les certificats émisAdresseStructuréSujetDN de l'objetNom distinctif de l'objetLe type %s de nom alternatif de sujet est interditSoumettre une demande de signature de certificat.Sous-arbreSous-arbre auquel appliquer l'ACIBranche à laquelle appliquer les permissionsSous-typeSuccèsSudoGroupes de commandes « sudo allow »Commandes « sudo allow »Commande sudoGroupe de commandes sudoGroupes de commandes sudoCommandes sudoGroupes de commandes « sudo deny »Commande « sudo deny »Option sudoRègle sudoRègles sudoOrdre sudoNom du suffixeRemplacéType de chiffrements pris en charge : Suppression du traitement des attributs d'adhésion.Synchroniser le jeton OTPSynchroniser un jeton OTP.Erreur de syntaxe : %(error)sEnregistrements DNS du système mis à jourEnregistrement TAEnregistrement TKEYDonnée d'association du certificat TLSAUtilisation du certificat TLSAType de correspondance TLSASélecteur TLSAEnregistrement TLSAFenêtre de synchronisation TOTPFenêtre d'authentification TOTPDurée de la fenêtre d'authentification TOTP (secondes)Variance temporelle de synchronisation TOTP (secondes)Différence entre le jeton TOTP et le serveur FreeIPAEnregistrement TSIGÔter un certificat révoqué en attente.CibleDN cibleSous-arbre des DN ciblesGroupe cibleHôte cibleMembres cibles d'un groupe (définit « memberof » du filtre cible)Zone inverse cible non trouvée.Cibler votre propre entrée (« self »)DN de la tâcheDN de la tâche = « %s »Numéro de téléphoneTester la syntaxe de l'ACI, sans rien écrireDonnée texteLe texte ne correspond pas au motif du champL'option « --domain » ne peut être utilisée conjointement avec les options « --add-domain » or « --del-domain ». Utilisez « --domain » pour indiquer explicitement la liste complète des domaines du royaume, utilisez « --add-domain » et « --del-domain » pour ajouter et supprimer les domaines de manière individuelle.L'ACI de la permission %(name)s n'a pas été trouvée dans %(dn)s Le domaine IPAL'enregistrement TXT _kerberos du domaine %(domain)s ne peut être créé (%(error)s). Cela peut arriver si la zone n'est pas gérée par IPA. Merci de créer manuellement l'enregistrement, qui doit contenir la valeur suivante : « %(realm)s »L'enregistrement TXT _kerberos du domaine %(domain)s ne peut être supprimé (%(error)s). Cela peut arriver si la zone n'est pas gérée par IPA. Merci de le supprimer manuellement.La clé « automount » %(key)s avec l'info %(info)s n'existe pasLe caractère « %(char)r » n'est pas autorisé.Le groupe par défaut ne peut être suppriméLe type « deny » est obsolète.Le nom de domaine de l'hôte cible ou '.' si le service n'est vraiment pas disponible dans ce domaineLes domaines suivants n'appartiennent pas à ce domaine Kerberos : %(domains)sLe groupe n'existe pasL'hôte « %s » auquel ajouter un service n'existe pas.Le nom d'hôte doit être pleinement qualifié : %s Le nom d'hôte ne doit pas être : %s Nom d'hôte ou adresse IP (avec ou sans port)Le nom d'hôte vers lequel cet enregistrement inverse pointeLe nom d'hôte sous lequel enregistrerLa paire « key/info » doit être unique. Une clé nommée %(key)s avec l'info%(info)s existe déjà.Le fichier tableau de clés duquel il faut retirer le principal ou les principaux.Les types les plus courants pour ce type de zone sont : %s Le nombre de fois autorisées pour tenter une authentificationLe mot de passe ou le nom d'utilisateur entré est incorrect.La valeur de la clé principale de l'entrée, par ex. « jdoe » pour un utilisateurLe principal pour cette demande n'existe pas.Le principal pour lequel obtenir un tableau de clés (par ex: ftp/ftp.example.com@EXAMPLE.COM)Le principal à supprimer d'un tableau de clés (par ex. : ftp/ftp.example.com@EXAMPLE.COM)Le domaine du principal ne correspond pas au domaine de ce serveur IPALe domaine Kerberos des domaines suivants ne peuvent être détectés : %(domains)s. S'il existe des domaines appartenant à ce royaume, merci de créer un enregistrement TXT kerberos contenant « %(realm)s » dans chacun d'entre eux.Le schéma utilisé sur le serveur LDAP. Les valeurs prises en charge sont RFC2307 et RFC2307bis. La valeur par défaut est RFC2307bisLe critère de recherche n'est pas suffisamment précis. Une valeur attendue, mais %(found)d trouvées.Secret utilisé pour chiffrer les donnéesLe principal du service pour le nom %s alternatif du sujet dans la demande de certificat n'existe pasLe nom du thème ou de la commande.Délai d'expiration total pour toutes les tentatives (en secondes)L'attribut de nom d'utilisateur de l'objet utilisateurLe nom d'utilisateur, mot de passe ou code du jeton ne sont pas correctsCette commande ne peut être utilisée que pour modifier l'allocation d'ID pour le domaine local. Utilisez « ipa help idrange » pour plus d'informations.Cette commande s'appuie sur l'existence du groupe « editors », mais ce groupe n'a pas été trouvé.Cette commande requiert un accès administrateurCette entrée existe déjàCette entrée ne peut être activée ou désactivéeCette entrée est déjà membreCette entrée est déjà désactivéeCette entrée est déjà activéeCette entrée n'est pas un membreCe groupe autorise déjà des membres externesCe groupe ne peut être de type POSIX car il est externeCe groupe est déjà de type POSIXCe groupe est déjà de type POSIX et ne peut être converti en groupe externeCela peut prendre un peu de temps, veuillez patienter...Cette page comporte des modifications non-sauvegardées. Veuillez les enregistrer ou les annuler.Ce principal est nécessaire au serveur IPATicket périméLa politique de ticket pour %s ne peut pas être lueLimitation de duréeLimite de la durée de la recherche en secondesLimite de la durée de la recherche en secondes (0 pour illimité)Heure actuelleDurée de vieDurée de vie des enregistrements en sommet de zoneJetons temporels (TOTP)Délai d'expirationDélai d'attente dépassé.Pour établir la confiance avec Active Directory, le nom de domaine et le nom de royaume du serveur IPA doivent correspondrePour obtenir de l'aide, utiliser :ID du jetonDescription du jeton (à titre d'information)Algorithme de hachage du jetonModèle du jeton (à titre d'information)Secret du jeton (Base32 ; par défaut : aléatoire)Numéro de série du jeton (à titre d'information)Échec de synchronisation du jetonNom du fabricant du jeton (à titre d'information)Jeton synchroniséCommandes du thème :Thème ou commandeTopologieSegment de topologieSegments de topologieLa topologie ne permet pas au serveur %(server)s de se répliquer avec les serveurs :La topologie est déconnectéeLa gestion de la topologie nécessite le niveau de domaine minimal {0}Suffixe de topologieSuffixes de topologieNombre total de variables d'environnement (>= count)Certificat de transportVraiVrai si tous les résultats n'ont pas été renvoyésVrai signifie que l'opération a réussiConfianceConfiguration de la confianceSens de la confianceConfiguration des relations d'approbationÉtat de la confianceType de confianceType de confiance (par défaut, ad pour Active Directory)domaine approuvéLe domaine approuvé %(domain)s est inclus parmi les royaumes de domaines IPA. Il doit être retiré de manière préalable à l'établissement de la relation d'approbation. Cf. la commande « ipa realmdomains-mod --del-domain ».Le domaine approuvé et le compte administrateur utilisent des domaines différentsLe domaine approuvé n'a pas renvoyé un objet uniqueLe domaine approuvé n'a pas renvoyé un SID valide pour l'objetPartenaire de domaine approuvédomaines approuvésApprouvé pour délégation.Forêt de confianceForêt en cours de mise en confianceConfiancesAuthentification à deux-facteursConfiance réciproqueTypeType d'objets IPA (définit le sous-arbre et le filtre cible de la classe d'objets)Type du jetonType de plage d'ID de domaine approuvé, une valeur à prendre parmi {vals}Types d'authentification utilisateur pris en chargeUIDSuffixes UPNURIURLNe plus appliquerRetirer l'application de la vue d'identifiants ${primary_key} d'hôtesRetirer l'application de la vue ${primary_key} des hôtes de ${entity}Retirer l'application de la vue d'identifiants d'hôtesRetire l'application de la vue d'identifiants des hôtes de groupes d'hôtesNe plus appliquer aux groupes d'hôtesNe plus appliquer aux hôtes Impossible de communiquer avec le CMSImpossible de communiquer avec le CMS (état %d)Impossible de créer un groupe privé. Un groupe '%(group)s' existe déjà.Impossible de déterminer le serveur IPA depuis %s Impossible de déterminer le sujet du certificat de %s Impossible de savoir si le principal Kerberos %s existe déjà. Utiliser la commande 'ipa user-mod' pour le définir manuellement.Impossible de déterminer le DN racine de %s Impossible d'afficher le code QR avec l'encodage configuré sur la sortie. Merci d'utiliser l'URI du jeton pour configurer votre jeton OTPImpossible d'activer SSL dans LDAP Impossible de créer le cache des justificatifs d'identité Kerberos Impossible d'établir la connexion sur le serveur LDAP : %sImpossible d'initialiser la bibliothèque LDAP ! Impossible de joindre l'hôte : cache des justificatifs d'identité Kerberos introuvable Impossible de joindre l'hôte : principal d'utilisateur Kerberos introuvable et mot de passe non fourni. Impossible de joindre l'hôte : l'initialisation du contexte Kerberos a échoué Impossible d'analyser le principal Impossible d'analyser le nom du principal Impossible d'analyser le principal : %1$s (%2$d) Impossible de supprimer l'entrée Impossible de définir une version LDAP Impossible de définir LDAP_OPT_PROTOCOL_VERSION Impossible de définir LDAP_OPT_X_SASL_NOCANON Impossible de paramétrer LDAP_OPT_X_TLS Impossible de paramétrer LDAP_OPT_X_TLS_CERTIFICATE Impossible de vérifier les permissions en écriture vers ADRestaurer un compte utilisateur supprimé.Compte utilisateur « %(value)s » restauréAnnulerTout annulerAnnuler toutes les modifications dans ce champ.Annuler cette modification.Désinscrire cet hôte du serveur IPAÉchec de la désinscription. Désinscription réussie. ID uniqueInconnuErreur inconnueOption inconnue : %(option)sDéverrouillerCompte utilisateur « %(value)s » déverrouilléPas de correspondanceSuppression des permissionsSuppression des permissions de ${entity} en coursRègles non résolues dans « --rules »RéintégréModifications non sauvegardéesTout désélectionnerNon-spécifiéValeur non prise en chargeModifierMettre à jour les entrées DNSMettre à jour les enregistrements DNS du serveurMettre à jour les enregistrements DNS des emplacements et serveurs IPAÉchec de la à jour de l'enregistrement du système « %(record)s », erreur : %(error)sUtilisateurGroupe d'UtilisateursGroupes d'utilisateursIdentifiant utilisateurNuméro d'identifiant utilisateurNuméro identifiant d'utilisateur (le système en assigne un si non défini)Surcharge d'identifiant utilisateurSurcharges d'identifiants utilisateursOptions utilisateursAttribut utilisateurTypes d'authentification utilisateurCatégories d'utilisateursCatégorie d'utilisateurCatégorie d'utilisateurs (la sémantique associée à cet attribut est interprétée localement)Catégorie d'utilisateur à laquelle la LCA s'appliqueCatégorie d'utilisateurs à laquelle la règle s'appliqueConteneur d'utilisateurGroupe d'utilisateursL'ACI d'un groupe utilisateur permet un accès àRègle de groupe utilisateurRègles de groupes d'utilisateursGroupe d'utilisateur auquel s'applique la délégationGroupe d'utilisateurs auquel appliquer les permissions (définit « target »)Identifiant de connexionNom d'utilisateurClasse d'objets utilisateurSurcharges des objets utilisateursMot de passe utilisateurChamps de recherche utilisateurUtilisateurs à surchargerDescription intelligible de l'action effectuéeAttributs propres à un utilisateur auxquels la permission s'appliqueAttributs propres à un utilisateur auxquels la permission ne s'applique explicitement pasNom d'utilisateurNom d'utilisateur du coffre-fort personnelUtilisateursUtilisateurs autorisés à créer un tableau de clésUtilisateurs autorisés à récupérer un tableau de clésCertificat valide présentValide à partir duInvalide après à partir duValide à partir de cette date (AAAA-mm-jj)Invalide après jusqu'auValide jusqu'à cette date (AAAA-mm-jj)Invalide avant à partir duValide à partir de cette date (AAAA-mm-jj), non valide avantInvalide avant jusqu'auValide à cette date (AAAA-mm-jj), non valide avantValide jusqu'auErreur de validationValiditéFin de validationDépart de validationCoffre-fortConteneur de coffres-fortsConteneurs de coffres-fortsConfiguration du coffre-fortLes données du coffre-fort sont chiffrées avec la clé de sessionDescription du coffre-fortNom du coffre-fortMot de passe du coffre-fortClé privée du coffre-fortClé publique du coffre-fortSel du coffre-fortService du coffre-fortType de coffre-fortUtilisateur du coffre-fortCoffres-fortsFournisseurVérifier le mot de passeVérifier le mot de passe du principalVersionPrécision verticaleVia le serviceAfficherAfficher le certificatEn attente de confirmation par la partie distanteAttentionAvertissement, type de chiffrement inconnu. Avertissement, type « salt » inconnu. Avertissement : échec de conversion de type (#%d) Avertissement : les types « salt » ne sont pas traités avec des mots de passe aléatoires (cf. option -P) PoidsPoids des services des serveursLors de la migration d'un groupe existant déjà dans le domaine IPA, surcharger le GID du groupe et renvoyer un succèsActivation ou non d'un agrément de réplication, signifiant que la réplication fonctionne par le biais de cet agrémentStocker ou non les certificats émis à partir de ce profilQuiTravail en coursÉcrire le profil de configuration dans un fichierVous essayez de référencer un groupe privé magique qui ne peut être surchargé. Essayez plutôt de surcharger l'attribut GID de l'utilisateur.Vous pouvez utiliser FreeOTP comme application de jeton logiciel OTP.Vous pouvez avoir besoin de les supprimer manuellement de l'arbreVous devez enregistrer un hôte afin de créer un serviceVous devez préciser les deux options « rid-base » et « secondary-rid-base », car « ipa-adtrust-install » a déjà été exécuté.Vous allez être redirigé vers la zone DNS.Votre mot de passe expire dans ${days} jours.Votre session a expiré. Veuillez vous reconnecter.Votre relation d'approbation avec %(domain)s est cassée. Merci de la recréer à l'aide de « ipa trust-add ».Connecteur YubiKeyCode postalRedirection de zoneZone trouvée : ${zone}Nom de zoneNom de zone (FQDN)L'enregistrement '%s' de zone ne peut être suppriméIntervalle de rafraîchissement de zoneÉchec de « access() » sur %1$s : erreur n°= %2$d L'utilisateur actif nommé « %(user)s » existe déjàvaleur de l'algorithme : intervalle autorisé 0-255tous les maîtres doivent avoir le rôle %(role)s activéune erreur interne est survenueune erreur interne est survenue sur le serveur à « %(server)s »la réponse à la requête « %(owner)s %(rtype)s » ne comporte pas de signatures DNSSEC (pas de données RRSIG)n'importe quel serveur configurél'API n'a pas un tel espace de noms : « %(name)s »au moins une des options « type », « users » ou « hosts » doit être indiquéeau moins un parmi « type », « filter », « subtree », « targetgroup », « attrs » ou « memberof » est requisl'attribut « %(attribute)s » n'est pas autoriséattribut « %s » interditl'attribut n'est pas configurable« attrs » et attributs inclus s'excluent mutuellement« attrs » et attributs inclus/exclus s'excluent mutuellementajoute automatiquement le principal s'il n'existe pasclé « automount »clés « automount »emplacement de montage automatiqueemplacements de montage automatiquecarte « automount »cartes « automount »« basedn »Échec de « ber_init() », contrôle invalide ?! échec de « ber_scanf() », « kvno » introuvable ?! mot de passe de connexiondoit contenir au plus %(len)d caractèrespeut être d'au plus %(maxlength)d octetspeut être d'au plus %(maxlength)d caractèresdoit être inférieur ou égal à %(maxvalue)ddoit valoir au plus %(maxvalue)simpossible d'ajouter la permission « %(perm)s » avec le type de liaison « %(bindtype)s » à un privilègene peut pas être videne peut pas dépasser 255 caractères.impossible de se connecter à « %(uri)s » : %(error)simpossible de supprimer une politique de mot de passe globaleimpossible de supprimer des permissions administréesimpossible de supprimer le domaine racine de la relation de confiance, utiliser la commande « trust-del » pour supprimer la relation de confianceimpossible de désactiver le domaine racine de la relation de confiance, utiliser la commande « trust-del » pour supprimer la relation de confiance elle-mêmeimpossible d'ouvrir le fichier de configuration %s impossible de renommer les permissions administréesimpossible de définir le type de liaison d'une permission assignée à un privilègeimpossible d'indiquer à la fois certificat brut et un nom de fichierimpossible de définir simultanément un filtre de cible totale et un filtre de cible complémentaireimpossible d'utiliser « stat() » sur le fichier de configuration %s la modification s'est heurtée à une autreTransformer en groupe POSIXmodifier afin de permettre une prise en charge des membres externes non-IPA depuis des domaines approuvésprocessus fils terminé avec %d cn est immuablecommandela commande « %(name)s » prend au plus %(count)d argumentla commande « %(name)s » prend au plus %(count)d argumentsla commande « %(name)s » ne prend pas d'argumentcommandesdes commandes ne peuvent pas être ajoutées quand la catégorie de commande est « all »commandes pour contrôler la configuration sudola communication avec le serveur CIFS a échouéoptions de configurationentrée conteneur (%(container)s) introuvableLa LCA d'AC par défaut ne peut qu'être désactivéedélégationdélégationssupprimerdescriptionJustificatifs Kerberos non reçusne correspond à aucun des formats acceptés :domainele domaine n'est pas configuréle domaine n'est pas de confiancele nom de domaine « %(domain)s » doit être normalisé à : %(normalized)sle nom de domaine ne peut pas dépasser 255 caractèreschaque élément de LCA doit se terminer par un point-virgulelibellé DNS videfiltre videentréesentréeerreur de conversion des données lors du transport XML-RPC : %(error)serreur sur le serveur « %(server)s » : %(error)séchec de l'exécution de « ipa-getkeytab », erreur n° %d format attendu : <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphen (nombre impair de chiffres hexadécimaux ou tiret)fichier où stocker le certificatnom de fichier« filter » et « memberof » s'excluent mutuellementles marqueurs doivent être une valeur parmi « S », « A », « U », ou « P »valeur des marqueurs : intervalle autorisé 0-255forcer la création d'un enregistrement NS même si le nom du système n'est pas dans le DNSforcer la suppression des permissions SYSTEMforcer le nom même si absent des DNSforcer le nom du principal même si absent du DNSechec de « fork() » le format doit être définit sous la forme "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" où : d1: [0 .. 90] (degrés de latitude) d2: [0 .. 180] (degrés de longitude) m1, m2: [0 .. 59] (minutes de latitude/longitude) s1, s2: [0 .. 59.999] (secondes de latitude/longitude) alt: [-100000.00 .. 42849672.95] PAR .01 (altitude en mètres) siz, hp, vp: [0 .. 90000000.00] (taille/précision en mètres) Cf. RFC 1876 plus de détailsle format doit être spécifié comme « %(format)s » %(rfcs)sLa zone redirigiée « %(fwzone)s » n'est pas en fonction car il lui manque une délégation NS correcte dans la zone faisant autorité « %(authzone)s ». Merci d'ajouter les enregistrement NS « %(ns_rec)s » à la zone « %(authzone)s ».l'identifiant de groupe ne peut être défini pour un groupe externegivenname est requisgroupegroupe runAs« group », « permission » et « self » s'excluent mutuellementgroupesgroupes à ajoutergroupes à exclure de la migrationgroupes à supprimerhôteune catégorie d'hôtes ne peut pas être définie à « all » tant qu'il reste des hôtes autorisésgroupe d'hôtesgroupes d'hôtesgroupes d'hôtes à ajoutergroupes d'hôtes à supprimermasques d'hôtes des hôtes autorisésgroupe d'hôtesUn groupe d'hôtes nommé « %s » existe déjà. Les groupes d'hôtes et les groupes réseau partagent le même espace de nommagegroupe d'hôtesnom d'hôtele nom d'hôte contient un libellé vide (plusieurs points consécutifs)Le nom d'hôte indiqué dans le sujet de la demande « %(cn)s » ne correspond pas au nom d'hôte du principal « %(hostname)s »hôtesdes hôtes ne peuvent pas être ajoutés quand la catégorie de l'hôte est « all »des hôtes ne peuvent pas être définis quand le type est « group »hôtes à ajouterhôtes à supprimerplage idtype de plage d'idvaleur de temps incomplètetype incorrectentier pour ordonner les règles sudo« %(name)s » invalide : %(error)sDN invalide (%s)format d'adresse IP invalideversion d'adresse IP invalide (est %(value)d, doit être %(required_value)d) !format de réseau IP invalideIdentifiant de profil invalideclé publique SSH invalideformat d'adresse invalidenom d'attribut invalidenom de domaine invalidenom de domaine invalide : %snom de domaine invalide : doit être pleinement qualifiéformat d'e-mail invalide : %(email)scode d'échappement invalide dans le nom du domainemasque d'hôte invalidenuméro de port invalide« ipa-getkeytab » a des permissions incorrectes ? « ipa-getkeytab » introuvable est requisvaleur des itérations : intervalle autorisé 0-65535réglages de la politique de tickets KerberosLa clé %(key)s existe déjàla clé nommée %(key)s existe déjà« krb5_kt_close » %1$d : %2$s « krb5_kt_get_entry » %1$d : %2$s « krb5_kt_remove_entry » %1$d : %2$s « krb5_parse_name » %1$d : %2$s « krb5_unparse_name » %1$d : %2$s « kvno » %d les nœuds de gauche et de droite ne peuvent être identiquesle nœud de gauche n'est pas un nœud de la topologie : %(leftnode)sle nœud de gauche ou de droite doit être indiquélimites dépassées pour cette requêtePlage pour domaine localemplacementemplacementsresponsable %(manager)s introuvableLa carte %(map)s existe déjàcartes non connectées à « /etc/auto.master » :correspond exactement au nom communnuméro de série plafond%s membreService HBAC membreGroupe de services HBAC membregroupe membrehôte membregroupe d'hôte membreGroupe réseau membrecommande membre de règle sudonuméro de série plancher« base_id » manquantla modification de clé principale n'est pas autoriséepoint de montage relatif à la carte parente, ne peut pas commencer par /doit être « %s »doit être « %(value)s »doit être un nom de DNSdoit être « TRUE » ou « FALSE »doit être « True » ou « False »doit être un texte Unicodedoit être un nombre décimaldoit être absoludoit être un nombre entierdoit être d'au moins %(minlength)d octetsdoit être d'au moins %(minlength)d caractèresdoit être supérieur ou égal à %(minvalue)ddoit valoir a minima %(minvalue)sdoivent être des données binairesdoit être une valeur date/heuredoit être un dictionnairedoit être mis entre parenthèsesdoit être d'exactement %(length)d octetsdoit être d'exactement %(length)d caractèresdoit être une valeur parmi %(values)sdoit être relatifdoit contenir un tuple (liste, dict)doit avoir le rôle %(role)s activédoit correspondre au motif « %(pattern)s »groupe réseauUn groupe réseau nommé « %s » existe déjà. Les groupes d'hôtes et les groupes réseau partagent un même espace de noms.groupes réseauGroupes réseau à ajouterGroupes réseau à supprimerpas de commande ou de sujet d'aide pour « %(topic)s »pas de modification à effectuerpas de relation de confiance configuréeaucun domaine approuvé ne correspond au nom simple indiquémodification des entrées de groupe interditemodification des entrées d'un utilisateur interditenon autorisé à effectuer l'opération : %simpossible d'effectuer la vérification de la connexion au serveurintrouvablepas pleinement qualifiénon modifiable sur les permissions administréesLa classe de nombres « %(cls)s » n'est pas dans la liste des classes de nombres autorisées : %(allowed)snombre de mots de passeclasse d'objet %s introuvableune ou plusieurs valeurs à supprimerseul « ad » est pris en chargeuniquement disponible sur les permissions administréesuniquement lettres, nombres, %(chars)s sont autorisés. Les noms DNS ne peuvent commencer ou se terminer par %(chars2)sseules les zones maître peuvent contenir des enregistrementsseul un unique enregistrement CNAME est autorisé par nom (RFC 2136, section 1.1.5)un seul enregistrement DNAME est autorisé par nom (RFC 6672, section 2.4)seul un nœud peut être indiquéopération non définieoption renommée ; utiliser %sles options ne sont pas autoriséesle rang doit être une valeur unique (%(order)d déjà utilisée par %(rule)s)mémoire saturée donnée hors zone : le nom de l'enregistrement doit être un sous-domaine de la zone ou un nom relatifles arguments et options se chevauchent : %(names)spropriétaire %sle propriétaire des enregistrements %(types)s ne doit pas être un nom de domaine comportant des jokers (RFC 4592 section 4)« params » doit être une liste« params » doit contenir [args, options]« params[0] » (alias « args ») doit être une liste« params[1] » (alias « options ») doit être un dictionnaire mot de passepolitiques de mot de passepolitique de mots de passemot de passe à utiliser pour la connexion en cas de non-utilisation de Kerberospermissionla permisison « %(value)s » existe déjàpermissions« pkinit »préserverpreserve et no-preserve ne peuvent être indiqués simultanémentprincipal introuvable principal introuvable dans la réponse XML-RPC la priorité ne peut être définie sur la politique globalela priorité doit être une valeur unique (%(prio)d est déjà utilisé par %(gname)s)privilègegroupe avec privilègesgroupe d'hôtes privilégiésrègle de délégation de service privilégiécible de délégation de service privilégiéeprivilègesla catégorie de profil ne peut être positionnée à 'all' tant qu'il existe des profils autorisésdes profils ne peuvent pas être ajoutés quand la catégorie de profil est « all »« pysss_murmur » non disponible sur le serveur et aucun « base-id » fourni.requête « %(owner)s %(rtype)s » avec EDNS0: %(error)srequête « %(owner)s %(rtype)s » : %(error)sla plage existeune modification de plage laissant des objets avec un ID en dehors de la plage définie n'est pas autoriséemodifier le type de plageerreur en lecture domaine introuvable la validation DNSSEC de l'enregistrement « %(owner)s %(rtype)s » a échoué sur le serveur %(ip)séchec de la requête avec le code état HTTP %drésultat de la réponse XML-RPC introuvable récupère et affiche tous les attributs du serveur. Modifie la sortie de la commande.le nœud de droite n'est pas un nœud de la topologie : %(rightnode)srôlerôlesrôles à supprimergroupes runAsutilisateur runAsutilisateurs runAsvaleur « salt » : %(err)srechercher des groupes POSIXrechercher des groupes autorisant la prise en charge des membres externes non-IPA depuis les domaines approuvésrechercher les groupes administrésrechercher des groupes non-POSIXrechercher des groupes privésles résultats des recherches sur les objets à migrer ont été tronquées par le serveur ; le processus de migration peut être incomplet secondessegmentsegmentspermission de libre servicepermissions de libre serviceserveurrôle serveurrôles serveurserveursserviceune catégorie de services ne peut pas être définie à « all » tant qu'il reste des services autorisésrègle de délégation de servicerègles de délégation de servicecible de délégation de servicecibles de délégation de serviceservicesaucun service ne peut être ajouté quand la catégorie de services est « all »configuration du serveur de nom ayant autoriténe doit pas être un nom de domaine avec joker (RFC 4592 section 4)« sidgen_was_run »sauter la détection du DNS inversesn est requisutilisutilisateurs en attenteIl est interdit d'utiliser un « subject alt name » (nom alternatif) de type %s pour les principaux autres qu'utilisateurs.Il est interdit d'utiliser un « subject alt name » (nom alternatif) de type %s pour les principaux d'utilisateurs.« subtree » et « type » s'excluent mutuellementcommande sudogroupe de commandes sudogroupes de commandes sudocommandes sudocommandes sudo à ajoutercommandes sudo à supprimerrègle sudorègles sudosuffixesuffixesVue d'identifiants du système« target » et « targetgroup » s'excluent mutuellementle serveur IPA et le domaine distant ne peuvent partager le même nom NetBIOS : %sle certificat ayant le numéro de série cette entrée a été supprimée pendant sa modificationla valeur ne suit pas le format d'horodatage « YYYYMMDDHHMMSS »il doit y avoir au moins une définition d'entrée cible (ex. « target », « targetfilter », « attrs »)cette option a été abandonnée.cette option est obsolètetrop de caractères « @ »confianceconfiguration des relations d'approbationdomaine approuvédomaines approuvéstype de confianceobjet domaine approuvéobjet relation de confiance introuvableutilisateur de domaine approuvé introuvableconfiancestype d'objet IPA (« user », « group », « host », « hostgroup », « service », « netgroup »)« type », « filter », « subtree » et « targetgroup » s'excluent mutuellementcommande « %(name)s » inconnueErreur %(code)d inconnue renvoyée par %(server)s : %(error)sniveau de fonctionnalité non pris en chargetype de relation de confiance non pris en chargeutilisateurl'utilisateur « %s » est déjà actifune catégorie d'utilisateurs ne peut pas être définie à « all » tant qu'il reste des utilisateurs autorisésutilisateursimpossible de définir à la fois des utilisateurs et des hôtesdes utilisateurs ne peuvent pas être ajoutés quand la catégorie « RunAs User » ou « RunAs Group » est « all »des utilisateurs ne peuvent pas être ajoutés quand la catégorie de l'utilisateur est « all »impossible de définir des utilisateurs quand le type est « hostgroup »utilisateurs à exclure de la migrationutilisateurs à supprimervaleurcoffre-fortvaultcontainervaultcontainerscoffres-forts{attr} : attribut introuvable{role} : rôle introuvable