Þ•|8k Üpˆ–X‰–Câ–!&—/H—$x—7—MÕ—$#˜4H˜D}˜&Â˜Aé˜+™6 =šHt§Í½«‹¯Ò¡±lt´×á¶¹¸§9¿ŒáÆŽnÍýÎÓÞÓ™òÔ˜ŒÚ®%â¹Ôå\Žèëì´{ðô0ö.%øÑT!& Hi†¥Ã%Û!Æ=, 81 Jj >µ Fô J; >† 8Å @þ J?@Š:Ë0.78f6Ÿ:Ö0 8B 0{ .¬ /Û <4H.}¬?ÀE^bÁ8Ö-=]{ ˜£ ÀÊ ç'ñ7%QwX"éGFT&›Âà û '=%e.‹(º)ã. <Q}hæ.fP•3æ (, 5@Wtyˆ «ºÍÞ êôü -LT%l’°¼ À1Î5167h 6»òû 7.K8z³Ñé ;K`tŠŸ"¯Ò0â&\:—· ËÙ;æ!"/D$t'™"Áäü3O%fŒ©¾Þø10H<y(¶.ß+,:%g1¿Û$ú ": ] $| ¡ !½ (ß !$(!M!!m!!¬!Ä!Û!÷!1"D"a"}"”"²"#Ì"ð"!#)#@#]# q#*{#¦#¬#:»#ö# $D$P^$¯$3¾$ò$%0%F?%†% ’%œ%¥%±%¸%"¾%Yá%);&1e&*—&)Â&1ì&/'2N''7‰' Á' Ë'QÙ' +(6(<($U(z(!(±( Ñ(Ü( ì( ö())&)B) V)d)s)‡))¶)Ê) á)ë)þ)**/*J*1R*"„*"§*Ê*Ò*-ã*+ $+H2+{++5†+&¼+ã+ï+û+, ,9,(J,#s,4—,Ì,â,%÷, ->-N-[-r-ˆ- ¡-Â-2Ô-.".'.-.1@.@r.³.¹.Ð.%Ý."/H&/Go/K·/J0LN0K›0Mç0L51&‚1©1$º1ß1ì12+ 292"E2$h2 2›2#¨2Ì2Ô2è23" 3,3 =3^3&g3HŽ3I×3$!4F4^4}4 ™4º4Ö4"ê4 5)5!;5]5|5•5«5)º5ä5ü5' 656S6d6#6¥6©6;Â6þ67'707 B7 L7V7p74†7-»7é7ý782+8^8g8&ƒ8 ª8´8¹8Ê8,ã89?%9e9!{99%¹9ß92û9.:$A: f:t::£:1¾:ð:;; ';2;B;N;U;r;Ž;¬;Ä;ß;ô;<!<6<V<e<y<Œ<¡<µ<!Ä<æ<õ<==4=R=f=[}=Ù=ò=> )> J>X>p> Ž>&¯>Ö>$ó> ?&9?`?#~?!¢?&Ä?!ë? @,@F@_@}@š@¹@×@ò@A+AGAC`A¤A©A#µA0ÙA B! B BB cB)„B®BµBÁBÈBÚBíBC CC0CHC!^C:€CE»CD D(D%GDmD…DŸD!¼DÞDôDE&E9ESErEŒE,ªE2×E' F!2F&TF({F%¤F'ÊF&òF"G!×j4k KkVkkk#†k$ªkÏkékúkl,lKlcltlŒl•l®l!Íl'ïlm%5m![m'}m¥m$Äm"ém"n/nOnjn„n£nÁnáno o;oXoroˆo¥oÃoÔoóop#p5pSpnpƒp£p³pÇpÚpïpq!q4qCqXqvqŽq§qÀqàq þq rP@r‘r£r¯rÂrÒrìrÿrs41sAfs7¨sàsbt|t…t—t ¬t ºtÄtÑtátîtuu$u5uBuGuXuhu}u˜u¸uÄuÔuíu-v-5v3cv—v±v½v Ývþv)w9wWw ^w hwsw‡wžw·wÐwïwxxx4xOx8lx¥xÀxØxòxy,yEy`y'}y¥y¨y,°yÝyïy z'z8Azzz‹z¡z²z¿zÑz2Ùz>{=K{‰{={ Í{×{ä{ø{||(|7|G|V|f|w|‡| |«|´|»|Á|Æ| Ó|=Þ|}'%}M}_}(o}˜}±}Å}Û} ô}~,~ùD~>8S.Œ »Ææö€"€,2€_€k€†€œ€7¥€!Ý€ÿ€ C+PoÀÅÖ ç<ñ6.‚e‚t‚‚B¬‚+ï‚ƒ:$ƒ _ƒiƒ|ƒƒ¦ƒ µƒÀƒÈƒèƒôƒýƒ „„!„d*„„&›„Â„Ò„ á„ ì„ ÷„@… C…N…U…*k…–…¢…º…Æ…Ò…ä…ð…ø… ††3†;†M†#V†!z†2œ†Ï†Ü†ò†‡‡4*‡8_‡4˜‡:Í‡9ˆBˆ:Tˆ1ˆ;Áˆ3ýˆ#1‰ U‰>v‰µ‰Í‰$Ý‰2Š'5Š*]Š'ˆŠ°Š ÍŠîŠ‹**‹$U‹z‹4™‹5Î‹5ŒA:Œ.|Œ/«Œ*ÛŒ6%=;c5Ÿ%ÕûŽ#Ž=ŽXŽ dŽoŽP~ŽÏŽÞŽ3äŽ ":Ib~0†·1Ì8þ!7JY¤Ä/ÊMú\H‘¥‘a½‘’1’/8’h’~’†’’’’ ¬’ º’Ä’ Ê’Ô’ à’ê’ü’5“8“E“ N“(\“+…“±“Æ“Ú“(ï“”%”'9”a”5m”4£”3Ø”••)•:•P•g•<y•/¶•0æ•–.– ?– I–T–`–q–ˆ– –¶–Ï–ç– ó– ý–——(—C—S—c—j—Ky—NÅ—˜#.˜R˜i˜2ƒ˜¶˜Ï˜í˜ ™'™=™%T™!z™œ™!¹™Û™ø™ š1š#Ošsš†šš9¯šéš››+›=›O›a›s›†›—› ©›´›Ò›×›ï›œWœ[rœ ÎœÜœ ðœþœ>Q]2e˜¬»ËÜ$íž%ž2žCDžSˆžÜžòž ûž Ÿ ŸŸ+Ÿ7ŸŠNŸ7ÙŸ ' @ M i *‰ 4´ é /ö &¡0¡E¡ Y¡g¡*{¡¦¡ «¡¶¡Ô¡ì¡ÿ¡¢¢(-¢(V¢¢¢®¢É¢ç¢,£/£J£`£f£u£|£ ‹£–£%ž£Ä£Ì£ä£¤¤¤+¤?¤L¤_¤ s¤¤š¤¤ ¹¤ Ã¤ Î¤Ù¤ö¤$¥3¥:¥G¥S¥m¥Œ¥©¥,º¥ ç¥!ñ¥ ¦;!¦(]¦)†¦"°¦bÓ¦6§:N§)‰§³§*Ñ§ü§W¨4p¨:¥¨Gà¨H(©jq©LÜ©5)ª#_ª!ƒª¥ª(¿ªèª«&«D«*_«1Š«¼«EÚ«5 ¬V¬ e¬p¬¬R¬}ð¬UnÄ(Ôý%®'(®P®._®Ž®“® ®I©®ó®÷®û®#¯C$¯'h¯.¯"¿¯â¯-°2.°#a°9…°W¿°<±T±o±±§±&Ã±ê±"²*²@² Z²h²ƒ² ²ª²¶²Ï² ë²õ²³³³%³'8³`³ e³p³7|³´³ Á³!Ï³ñ³ ´´+´;´!L´"n´ ‘´ œ´¦´ ¸´Æ´-Ù´µµµ0µAµJµZµtµ‡µ“µ˜µ& µLÇµ¶c¶¶8ƒ¶@¼¶#ý¶*!·L·P·`· t·~·"·²·&È·ï·õ·6¸#K¸So¸%Ã¸é¸¹3"¹ V¹d¹s¹†¹ š¹¨¹·¹&¾¹ å¹ ó¹!º"#º'FºnºŠº$¦º$Ëº$ðº »"6»$Y»~»#»³»?Ë»¼!¼31¼e¼!€¼4¢¼$×¼Kü¼dH½#½NÑ½4 ¾+U¾¾)—¾(Á¾ ê¾õ¾¿$ ¿42¿g¿t¿€¿¿•¿7›¿%Ó¿)ù¿#À3ÀBÀ_À*hÀ*“À;¾À"úÀ'ÁEÁTÁ1oÃY¡ÃûÃBÄ1DÄvÄ}ÄB‚Ä ÅÄÐÄZÜÄ7Åb@Å£Å.©ÅØÅîÅýÅÆF3ÆzÆ”Æ«ÆÂÆ#ÚÆþÆÇ7Ç RÇsÇ|Ç›Ç®ÇÌÇ'çÇ ÈÈ0È$@È:eÈ È¶ÈËÈäÈ$÷È)ÉFÉdÉ‚É –É%·É ÝÉþÉYÊ aÊ#kÊ=Ê ÍÊ#îÊ"Ë#5ËYËWmËÅËÙËòË,Ì.Ì7ÌIÌ%YÌ ÌŠÌ–ÌÌ(²Ì'ÛÌDÍ HÍRÍ cÍRnÍÁÍÍÍÞÍ%æÍJÎWÎ\ÎbÎ|Îs–Î" Ï-Ï5ÏMÏfÏHnÏ·Ï4ÀÏõÏ;ÐNLÐ›Ð¨Ð»Ð ÏÐ ÝÐ çÐ*òÐ6Ñ TÑuÑDÑ<ÒÑÒ(ÒBÒGÒPÒ1iÒ›ÒB Ò@ãÒ$ÓC*Ó.nÓ;Ó¼ÙÓt–ÕSÖ._Ö@ŽÖ0ÏÖD×dE×/ª×AÚ×cØ2€Ø`³ØsÙàˆÚiéÏlîƒ<óLÀõÉ ù×û ÚýK äK0¾|,;h(z£ ´&Î/Ý3eå6äK<˜0@”ÉF\^Ió»Y/¯Z!ßZ[![ @[a[$z[Ÿ['¼[çä[;Ì\K]aT]K¶]‘^c”^Oø^KH_Y”_Wî_[F`M¢`?ð`C0aYtaCÎaIb5\bG’b?Úb=cAXccšcAþcI@dŠdVždõd eJej]eÈeDÜe.!f!Pfrf!’f ´f'¿fçf ùfg*,gDWg3œg"Ðgeóg,Yh[†h_âh0BisiŽi%©iÏi,çi+j9@j8zj9³j/íjk8k˜Rkšëk<†leÃlR)m|mœm mªm·mÒmïm2óm&n@nPnanwn‹nœn©n°nÆnÖn!énoo*,o&Wo~oŠo’o3¤o8ØoDp9Vp p8±pêpüpq9&q0`q:‘q+Ìq øqr"9r/\rŒr'©rÑr îrs.s-Hsvs5•s(Ësgôs%\t ‚t£tµtPÉt5uKPu5œu4Òu3v!;v.]v#Œv%°v Öv2÷v3*w7^w)–w$Àw(åwIxHXxk¡x1 y/?yAoyG±y7ùyZ1z Œz z+Îz#úzC{"b{,…{ ²{,Ó{0|&1|&X|(|%¨|!Î|ð| }''}O}9l}¦}Æ}å},ÿ},~,H~u~)•~¿~$Õ~ú~ 8 V `L&ÎõT€a]€¿€@Ö€*=3UqÇÖâú ‚ ‚.)‚dX‚0½‚Cî‚22ƒ.eƒ6”ƒ9Ëƒ8„>„DJ„„˜„t¨„ …'… -…2N……&™…*À…ë…þ…†"†5†I†\†|††¤†¹†Ô†î†‡!‡ ;‡F‡e‡l‡"y‡%œ‡ Â‡6Í‡(ˆ'-ˆUˆeˆMzˆÈˆ àˆDîˆ3‰7‰L?‰5Œ‰Â‰ Ô‰ß‰ò‰Š#Š06Š+gŠF“ŠÚŠîŠ1‹(5‹^‹m‹y‹‹«‹%É‹ï‹;Œ1BŒtŒzŒŒF™ŒRàŒ3":]9j,¤[Ñ^-ŽbŒŽfïŽuVzÌlG\´;‘M‘7d‘œ‘¬‘ Æ‘4Ð‘ ’%’'5’ ]’k’%x’ž’§’º’Î’!×’ù’$“ 5“(?“Eh“V®“3” 9”BZ”'”$Å”(ê”•,-•#Z•~•2›•+Î•"ú• –>–5\–’–ª–+É–)õ–—!3—FU—œ— —Kº— ˜!'˜I˜R˜ j˜ t˜˜œ˜/¸˜Hè˜1™&Q™!x™7š™Ò™Û™=ù™ 7šAšJš^š>|š»šdÛš.@›.o›=ž›=Ü›-œPHœ™œ4¸œíœDÿœ D2eU˜î žž3ž@ž Wž ež%ož.•ž+Äž#ðž&Ÿ;ŸXŸ<pŸŸ(ÉŸòŸ! + B \ t &‡ ® 'È ð ¡%¡B¡]¡lw¡!ä¡ ¢"'¢#J¢n¢ƒ¢"›¢"¾¢-á¢%£F5£$|£.¡£"Ð£.ó£)"¤(L¤*u¤# ¤Ä¤á¤)¥*¥!I¥ k¥$Œ¥±¥-Í¥û¥!¦Q;¦ ¦—¦1£¦9Õ¦§.-§+\§'ˆ§.°§ ß§é§û§¨¨*¨A¨M¨f¨"ƒ¨¦¨?Ã¨?©UC©™©!¥©$Ç©Hì©5ª Sªtª*”ª-¿ª%íª«/« I«j«!Š«¬«>É«G¬/P¬*€¬5«¬-á¬'-7,e(’'»:ã*®9I®.ƒ®-²®<à®¯v*¯)¡¯OË¯,°GH°°˜°§°Ã° â°ð°±#±,±?±P±f±n±ƒ±œ±»±;Ô±²&*²Q²Z² x²D™²Þ²&ø²³ ?³`³d³p³|³.’³Á³.á³3´D´J´d´y´´+ˆ´A´´1ö´)(µ9Rµ Œµ—µžµ ®µ ¼µ ÆµÑµXÙµ2¶]F¶J¤¶ï¶·S·c·s·*ˆ·³·Ç·(Ù·0¸3¸,J¸†w¸!þ¸& ¹*G¹$r¹/—¹ Ç¹è¹º! º7Bº9zº<´º*ñº»-!»O»^»|»*š»3Å»ù» ¼ ¼¼%¼6¼ G¼R¼/o¼+Ÿ¼Ë¼Ó¼Ü¼Yã¼ =½K½X½5r½¨½Á½Ö½Ý½$é½¾¾<¾ [¾Ee¾!«¾;Í¾ ¿%¿7¿+M¿y¿€¿œ¿¼¿Î¿ä¿ó¿À À,À!EÀgÀÀ*À»ÀÃÀÙÀSåÀ9ÁFÁSÁkÁ „Á ’ÁœÁ ¨ÁOÉÁÂ&Â3ÂOÂ&gÂŽÂ §ÂµÂ*ÁÂ8ìÂ%Ã>ÃRÃEfÃ¬ÃÃÃÛÃûÃÄÄ2;ÄnÄ…Ä"™Ä¼ÄÑÄáÄùÄ Å8 Å<YÅ–ÅµÅ:ÕÅÆ(*Æ*SÆ~Æ7ŽÆ-ÆÆôÆÇÇ 6Ç4@Ç uÇ€Ç ŒÇ?—Ç3×Ç ÈÈ"È:È YÈ gÈqÈJ‰ÈÔÈ'îÈ&É+=ÉiÉrÉ!‰É=«ÉéÉÊ5ÊAIÊ‹Ê’Ê¢Ê»ÊÄÊ"áÊË%ËDË`Ë|Ë˜Ë³ËÒË éËEóËa9Ì›Ì\¹ÌÍ&%ÍLÍ]_Í@½ÍBþÍ%AÎ%gÎ&Î´ÎFÑÎÏ2ÏD;Ï €ÏŠÏ “Ï žÏA¨ÏêÏþÏÐL#Ð pÐ~Ð.”Ð.ÃÐ$òÐÑ]4Ñ0’Ñ%ÃÑéÑÒhÒ*€Ò«Ò°ÒÀÒÓÒÚÒ<ðÒ-Ó5Ó3>ÓrÓ~Ó0ÓÁÓÎÓÚÓ6ÞÓ(Ô >Ô1_ÔB‘Ô ÔÔâÔòÔøÔýÔÕ *Õ4ÕGÕTÕkÕ wÕ…Õ•Õ<¢Õ>ßÕÖ3Ö?Ö EÖSÖcÖrÖŠÖ£Ö¬ÖËÖFßÖ$&×;K×R‡×LÚ×3'Ø*[Ø!†Ø&¨ØÏØïØÙ Ù9ÙIÙYÙvÙˆÙ šÙ¤Ù·ÙÈÙÛÙùÙÚ*Ú;Ú[Ú!pÚ"’Ú0µÚQæÚD8Û}ÛÛ!®Û(ÐÛ3ùÛ-ÜMÜ^ÜsÜ.‰Ü(¸ÜáÜöÜÝÝ!7Ý!YÝ,{Ý$¨ÝDÍÝ#Þ.6Þ!eÞ-‡Þ(µÞ)ÞÞ"ß+ßGß(eßŽß ß Îßïß, à7à Tàuà$’à*·àâà)öà% áFábá-|á;ªáæá1â3â Gâhâ~â—â¯â%Ââèâã%ãAã [ã!|ãžã&·ã&Þã(äk.äšä±äÂä×äêä å$åCå4^åK“åLßå·,æ"äæçç(ç@ç PçZçoç‚ç!—ç¹çÆçæçè è!è8èKèdè,‚è¯è¿è!Öè&øèBéBbé5¥éÛéøé!ê-*êXê;oê!«êÍê Ôê ßêéêëë9ëUëqëë¤ë©ëÄë ãë8ì=ìZìuì’ì!²ìÔìðìí).íXí[í-jí˜í'µí)ÝíîA'îiîîžî¹îÉîáîGéîT1ïS†ïÚï[àï<ðUðbð{ðˆð§ð¼ðÏðâðöðñ!ñ:ñTñfñrñyññ„ñ ¡ñL¯ñüñ5 ò?ò&ZòCò&Åòìò(ó80ó4ió&žó(Åó"îó&õL8õ>…õ Äõ Ïõðõ ö$ö6ö0Iözö†ö¦öÃöEÏö,÷ B÷L÷Q÷h÷Wu÷]Í÷+ø:øOø høCrø<¶øóøù%#ùbIù.¬ù ÛùHåù .ú9úSúfúú‘úú&¥ú Ìú Öúàú ñú ÿú ûzû ’û4 ûÕûíûüü )üB7üzü‰üü*©üÔü,êüý1ýFýbýxý ˆý©ý%µýÛýçýüý7þ)@þOjþºþÉþçþþþÿ5+ÿ:aÿEœÿGâÿG*r:‹2Æ?ù79)q%›PÁ-5?Ku7Á6ù40"e/ˆ$¸!Ý3ÿ*3%^>„HÃGlTAÁG6K[‚%ÞW;\.˜Çä!í,9S`gÈÕ2ä /+ [ 8z !³ Õ 5ß ;0 Zl #Ç aë &M t8^¸g{š / =9 w š ¡ .§ Ö ì ù !0G=O¤ °BÑ0E(Y‚7™ÑÞ6ô+776o:¦áñ./40d/•XÅCSb.¶å ôÿ+:.f7•)Í%÷ /=Sew–ª ¾ÉGÞG&1n/ Ðí@L>i)¨Òñ (%(N"w!š$¼á%ÿ'%4M‚"š½F×9Ulƒ »Öíÿ(( Q[s!Œw®x&Ÿ±ÉÛFó:I5Q‡±ÄÛ7ñ)HWHl]µ,5G+P%|¢*·¦âU‰ßë # '9 #a &… >¬ ë 7! =!G!_! v!!C !ä!ë!.ü!#+"O"k"}""@«"8ì" %#F#!Z# |#$#+Â#î#$.$5$D$J$ R$]$1d$ –$%¡$.Ç$ ö$%)%/% D%R%k%…%)”%¾%Ñ%Ý%é% ö%"&#&+A&m&s&€&& ©&"Ê&í&-' 2',@'m'B|'-¿'-í'(j7(¢(I¹(8)&<)@c),¤)hÑ);:*Av*M¸*F+M+kÏ+:;,-v,'¤,Ì,4è,-%=-!c-!…-.§-8Ö-".N2.c.å.ô.,/ 2/`@/¡/•20È04Þ0151(N1w1A–1Ø1Ý1 ê1Gø1@2D2H2*M2Kx23Ä27ø2-03#^33‚37¶31î3J 4nk4TÚ4#/5*S5"~5*¡52Ì5*ÿ5'*6R6q6Œ6œ6-¹6ç6ý6( 7"67Y7f7†7›7ª7³70Ó788(8Q?8‘8¦8:¿8ú89()9R9!o95‘99Ç9::,:H:a:/:±:Ã:Ð:ì: ;;%%;K;`;o; t;3~;k²;<x$<<<¡<GÞ<,&=3S=‡=“=©=Á=Í=5à=&>+=>i>q>9‘>(Ë>Rô>2G?z?!‘?5³?é?ü?@#@7@K@`@,g@”@®@)½@)ç@.A.@A oA!A0²A>ãA1"B3TB@ˆBÉB3ÜBCV,C ƒC¤CL´C&D1(DBZD3D[ÑDl-E,šEqÇE\9F/–FÆF-ßF) G7G DGRG$^G<ƒGÀGÌGÒGÙGâG>êG+)H2UHˆH—H!ªHÌH.ÛHA I\LI%©I1ÏIJ2J=ELiƒLíLTôL5IMM‡MaMòMN€NœN„¬N 1O[;O—O³OÂOàONýOLPjP…PŸP.¼PëP0Q7Q%UQ{Q'„Q¬Q#ÈQìQ,R 8RBR]R5nRE¤RêRSS=S*YS/„S.´S!ãS T)&T.PT(T¨Tv±T (U12UhdU ÍU+îU0V)KVuVWŽVæVþVW//W_WlW‡WP¡W òWýW XX/'X<WXS”X èXóXYcY{YŽY£Y-«YVÙY0Z6Z#=ZaZ€Z.[1[:[R[k[`s[Ô[\Ý[):\ed\oÊ\ :]H]a]{]Š]–]8£]7Ü]&^;^BS^@–^"×^$ú^_ (_6_?Q_‘_g_``f`is`aÝ`Q?a³=ÿßxßÞ-n¸-3Ö(;Q>«0ÿ¶Åh1UD`Ø.±xª êÐãólâ|)³j›†ˆôÖ.âdÏm#~;Ôë'}Ë7T®EWúN°fÃÎ"™!g£ª~ÍRhF…f¼‡f´sÒÅÚ~“I·ö½^Ø'ënv†‡ú¥‰pÜ{OÀó¿0Ð ÂÛC›|GÜ 0íJVüé*läþI’‚ ¿2|¤_Ç=Æj¨IC./9â·Âïœã¡)Ø ÌP²æŠ(£´AY-„6aÈ”n¹µû¾ƒ?³bŠY/¯$¯ð@+ø'Úµ ¨Àžµž{Z–AK¸wBy:ÿWH‘øN½oÉKGìv|yÕ©vÃaZ>xK›*N2»:Ÿ¯ü(ü‡ÁjU82ÂÄ»[–Þ•h}¡bÑK¾õ›šw5“Ð)¶7=à8}€o@Í[ö57¹@¡}ôƒMžn-x!<I£Œ3¥8ˆ!‡òGuÐa}\\ "&ŸÔ¹Îaä‰ñŒIïÙ(…¶ZXÌáQæý¤z> ºàiýuäÀ€trˆP@P>ú»SÁõJ?ÎâdÇ¬+c¤½–6±©l¢êðŒèJy¥Û<¡ zo‰QÜSŠŠ‹¼Ówé¢úxÅ¸Oœ;ÇÒSHò“ì^å¬"ÈDBTi£g’É_i²³¼vî?êº| ˜èY¬¨T¦~ó°WþÒšŽÏ•KÍ~®¬<—æÜ‚Í;ò™wsÿÝ·Jõúaò“}ç«0»ìçDAt/ ³ˆK4þad([þµc<ÛRG¦Ú=AHL…tÈéf®W·Çš%©¿(SXr¶÷•{@qêÐpÌŽ¢À»2ŠŒ¥Eàv&|BáçVCIæmåòt‹[Oõ>\ÝÉÑ²ØOöš[‚Cœ™zõ]fÞ¨›Ã•`„öÊÀ±`ÄÆ)4½*÷`q=ËR5 %_ø1¼Nç3Tæ 6.÷¢ˆƒqµ´ù¾£‰Y©Å¬œŸÚuÃe¨0Õ‘ZFÏJƒ‰]×üiQ^b%—ÀÉ$HŽ˜ìyj,@B Š* ’7î/dVÏg€ËÜwGÆÍdMñácË5ë¢±êmMeqr î{p†eHÍÌÙ3kyÅ’Uªý7ß…’ubEd‚¿DÃ`¾½ó”³»7á—äX§ºt ²?üÁèåÛPÕ¾:ÔÈpüÔ%î¶$åÉ ®Jr»,€lÇ0¢û˜~¬Ó2F« ´9gf„Ì@5bï˜Äò¶\„Ñ€°æòÑ½=þÓMj"k4,£Ï Vú¿ÃýÊs†WTrÄ¦LX®Âª\"ë¶ëm™ÓiÚÌ/$5-ÀÁQùEåJõŽÖ"áûg©9<eôÆ>º¸Š!p ÒŸý®yÞClñíšÈ†î·¦ï]PäÎ”vŽx‹žÃ½ô1cB¼dM\ù&×p˜¤3>„•H! $ñç¸N‡Ó*{\:s4ø™ŸþåÝ] ÙûX+Þ_ì— è…ÍuÕÁ)L„…íã:§ùÓˆ×sÒ÷8Ù!?U6äoTû4 Ñ‹ Ò¡ëémºÿY±‘ÛÎ'u–Ôhí°Å§œÖÏƒº:89E9Á‘ó°Õàm€Sˆ ŽLØ;‚,‹‡âoz112å;ÿÙTZw%‘úçÊ¨°«Õ·ìÉ+èóù)€økmÛ“¹Ë^¹Pá¡/æ×•ø”–¡†ØîÏ+^ª^ ¾ilø#Ä(<ER“=,ý³°§ ÆÁ'²UËàÈWVÇ&ì¸%±áöÐñãD¦×ÑÊïSYNV#rý›×g#o7ðËC}«`bÊ¼ÝÚ•FÞ.O*è5NÙñ¤M_U˜Â9à‰j“/œéàL²é¹GÖ_¼%Œxêçûß!ßÆ"óµ©AŸsšÆ„n”Ä®#R1¯´šâG4‘§ãlØÎÂª´ïžÙ{¸¢4íu’?kÿ& |‡nÇµ$IR™ï‰Œk‘Aßz?WZî~6¦OFA h›Ì][ð§†äS;¹Rùe”ž¥¥£kLjÅtF¤q‹,¾íôKÊL÷ù<_e+ð ŒEÕ¿öãëÐðiwqö91ÒC²Z&ƒžþÄ˜–2œ—o.ÈY8)Xk0¯gè¨Û¤‚ŽÚQ–¥DpÎ*§P´Þô.XíÜ÷hÑb#eB‹×tFé&ÂêO]¯º6^ ¬`QŸ…”8Brãƒ™ÜÔnz÷aHq±3ÔV'-Ö#Ö«âª- +cð{’Dy—s6 ñvU f'ûz«ü¯c‚©ÊÓ·Ý¿Ý:$õ],M3¦ôhÝ—Éßc[ Override this so we can add completed and failed to the return result. Override this so we can set completed and failed. Add an automember rule. Add conditions to an automember rule. Delete an automember rule. Display information about an automember rule. Display information about the default (fallback) automember groups. Modify an automember rule. Remove conditions from an automember rule. Remove default (fallback) group for all unmatched entries. Search for automember rules. Set default (fallback) group for all unmatched entries. Unlock a user account An account may become locked if the password is entered incorrectly too many times within a specific time period as controlled by password policy. A locked account is a temporary condition and may be unlocked by an administrator. Automount Stores automount(8) configuration for autofs(8) in IPA. The base of an automount configuration is the configuration file auto.master. This is also the base location in IPA. Multiple auto.master configurations can be stored in separate locations. A location is implementation-specific with the default being a location named 'default'. For example, you can have locations by geographic region, by floor, by type, etc. Automount has three basic object types: locations, maps and keys. A location defines a set of maps anchored in auto.master. This allows you to store multiple automount configurations. A location in itself isn't very interesting, it is just a point to start a new automount map. A map is roughly equivalent to a discrete automount file and provides storage for keys. A key is a mount point associated with a map. When a new location is created, two maps are automatically created for it: auto.master and auto.direct. auto.master is the root map for all automount maps for the location. auto.direct is the default map for direct mounts and is mounted on /-. An automount map may contain a submount key. This key defines a mount location within the map that references another map. This can be done either using automountmap-add-indirect --parentmap or manually with automountkey-add and setting info to "-type=autofs :". EXAMPLES: Locations: Create a named location, "Baltimore": ipa automountlocation-add baltimore Display the new location: ipa automountlocation-show baltimore Find available locations: ipa automountlocation-find Remove a named automount location: ipa automountlocation-del baltimore Show what the automount maps would look like if they were in the filesystem: ipa automountlocation-tofiles baltimore Import an existing configuration into a location: ipa automountlocation-import baltimore /etc/auto.master The import will fail if any duplicate entries are found. For continuous operation where errors are ignored, use the --continue option. Maps: Create a new map, "auto.share": ipa automountmap-add baltimore auto.share Display the new map: ipa automountmap-show baltimore auto.share Find maps in the location baltimore: ipa automountmap-find baltimore Create an indirect map with auto.share as a submount: ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man This is equivalent to: ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Remove the auto.share map: ipa automountmap-del baltimore auto.share Keys: Create a new key for the auto.share map in location baltimore. This ties the map we previously created to auto.master: ipa automountkey-add baltimore auto.master --key=/share --info=auto.share Create a new key for our auto.share map, an NFS mount for man pages: ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Find all keys for the auto.share map: ipa automountkey-find baltimore auto.share Find all direct automount keys: ipa automountkey-find baltimore --key=/- Remove the man key from the auto.share map: ipa automountkey-del baltimore auto.share --key=man Entitlements Manage entitlements for client machines Entitlements can be managed either by registering with an entitlement server with a username and password or by manually importing entitlement certificates. An entitlement certificate contains embedded information such as the product being entitled, the quantity and the validity dates. An entitlement server manages the number of client entitlements available. To mark these entitlements as used by the IPA server you provide a quantity and they are marked as consumed on the entitlement server. Register with an entitlement server: ipa entitle-register consumer Import an entitlement certificate: ipa entitle-import /home/user/ipaclient.pem Display current entitlements: ipa entitle-status Retrieve details on entitlement certificates: ipa entitle-get Consume some entitlements from the entitlement server: ipa entitle-consume 50 The registration ID is a Unique Identifier (UUID). This ID will be IMPORTED if you have used entitle-import. Changes to /etc/rhsm/rhsm.conf require a restart of the httpd service. Group to Group Delegation A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. Group to Group Delegations grants the members of one group to update a set of attributes of members of another group. EXAMPLES: Add a delegation rule to allow managers to edit employee's addresses: ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add postalCode to the list: ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees' street" Display our updated rule: ipa delegation-show "managers edit employees' street" Delete a rule: ipa delegation-del "managers edit employees' street" Groups of Sudo Commands Manage groups of Sudo Commands. EXAMPLES: Add a new Sudo Command Group: ipa sudocmdgroup-add --desc='administrators commands' admincmds Remove a Sudo Command Group: ipa sudocmdgroup-del admincmds Manage Sudo Command Group membership, commands: ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds Manage Sudo Command Group membership, commands: ipa group-remove-member --sudocmds=/usr/bin/less admincmds Show a Sudo Command Group: ipa group-show localadmins Groups of hosts. Manage groups of hosts. This is useful for applying access control to a number of hosts by using Host-based Access Control. EXAMPLES: Add a new host group: ipa hostgroup-add --desc="Baltimore hosts" baltimore Add another new host group: ipa hostgroup-add --desc="Maryland hosts" maryland Add members to the hostgroup: ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore Add a hostgroup as a member of another hostgroup: ipa hostgroup-add-member --hostgroups=baltimore maryland Remove a host from the hostgroup: ipa hostgroup-remove-member --hosts=box2 baltimore Display a host group: ipa hostgroup-show baltimore Delete a hostgroup: ipa hostgroup-del baltimore HBAC Service Groups HBAC service groups can contain any number of individual services, or "members". Every group must have a description. EXAMPLES: Add a new HBAC service group: ipa hbacsvcgroup-add --desc="login services" login Add members to an HBAC service group: ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login Display information about a named group: ipa hbacsvcgroup-show login Add a new group to the "login" group: ipa hbacsvcgroup-add --desc="switch users" login ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login Delete an HBAC service group: ipa hbacsvcgroup-del login HBAC Services The PAM services that HBAC can control access to. The name used here must match the service name that PAM is evaluating. EXAMPLES: Add a new HBAC service: ipa hbacsvc-add tftp Modify an existing HBAC service: ipa hbacsvc-mod --desc="TFTP service" tftp Search for HBAC services. This example will return two results, the FTP service and the newly-added tftp service: ipa hbacsvc-find ftp Delete an HBAC service: ipa hbacsvc-del tftp Host-based access control Control who can access what services on what hosts and from where. You can use HBAC to control which users or groups on a source host can access a service, or group of services, on a target host. You can also specify a category of users, target hosts, and source hosts. This is currently limited to "all", but might be expanded in the future. Target hosts and source hosts in HBAC rules must be hosts managed by IPA. The available services and groups of services are controlled by the hbacsvc and hbacsvcgroup plug-ins respectively. EXAMPLES: Create a rule, "test1", that grants all users access to the host "server" from anywhere: ipa hbacrule-add --usercat=all --srchostcat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Display the properties of a named HBAC rule: ipa hbacrule-show test1 Create a rule for a specific service. This lets the user john access the sshd service on any machine from any machine: ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd Create a rule for a new service group. This lets the user john access the FTP service on any machine from any machine: ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp Disable a named HBAC rule: ipa hbacrule-disable test1 Remove a named HBAC rule: ipa hbacrule-del allow_server Hosts/Machines A host represents a machine. It can be used in a number of contexts: - service entries are associated with a host - a host stores the host/ service principal - a host can be used in Host-based Access Control (HBAC) rules - every enrolled client generates a host entry ENROLLMENT: There are three enrollment scenarios when enrolling a new client: 1. You are enrolling as a full administrator. The host entry may exist or not. A full administrator is a member of the hostadmin role or the admins group. 2. You are enrolling as a limited administrator. The host must already exist. A limited administrator is a member a role with the Host Enrollment privilege. 3. The host has been created with a one-time password. A host can only be enrolled once. If a client has enrolled and needs to be re-enrolled, the host entry must be removed and re-created. Note that re-creating the host entry will result in all services for the host being removed, and all SSL certificates associated with those services being revoked. A host can optionally store information such as where it is located, the OS that it runs, etc. EXAMPLES: Add a new host: ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com Delete a host: ipa host-del test.example.com Add a new host with a one-time password: ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Add a new host with a random one-time password: ipa host-add --os='Fedora 12' --random test.example.com Modify information about a host: ipa host-mod --os='Fedora 12' test.example.com Remove SSH public keys of a host and update DNS to reflect this change: ipa host-mod --sshpubkey= --updatedns test.example.com Disable the host Kerberos key, SSL certificate and all of its services: ipa host-disable test.example.com Add a host that can manage this host's keytab and certificate: ipa host-add-managedby --hosts=test2 test IPA certificate operations Implements a set of commands for managing server SSL certificates. Certificate requests exist in the form of a Certificate Signing Request (CSR) in PEM format. If using the selfsign back end then the subject in the CSR needs to match the subject configured in the server. The dogtag CA uses just the CN value of the CSR and forces the rest of the subject. A certificate is stored with a service principal and a service principal needs a host. In order to request a certificate: * The host must exist * The service must exist (or you use the --add option to automatically add it) EXAMPLES: Request a new certificate and add the principal: ipa cert-request --add --principal=HTTP/lion.example.com example.csr Retrieve an existing certificate: ipa cert-show 1032 Revoke a certificate (see RFC 5280 for reason details): ipa cert-revoke --revocation-reason=6 1032 Remove a certificate from revocation hold status: ipa cert-remove-hold 1032 Check the status of a signing request: ipa cert-status 10 IPA currently immediately issues (or declines) all certificate requests so the status of a request is not normally useful. This is for future use or the case where a CA does not immediately issue a certificate. The following revocation reasons are supported: * 0 - unspecified * 1 - keyCompromise * 2 - cACompromise * 3 - affiliationChanged * 4 - superseded * 5 - cessationOfOperation * 6 - certificateHold * 8 - removeFromCRL * 9 - privilegeWithdrawn * 10 - aACompromise Note that reason code 7 is not used. See RFC 5280 for more details: http://www.ietf.org/rfc/rfc5280.txt Kerberos pkinit options Enable or disable anonymous pkinit using the principal WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with pkinit support. EXAMPLES: Enable anonymous pkinit: ipa pkinit-anonymous enable Disable anonymous pkinit: ipa pkinit-anonymous disable For more information on anonymous pkinit see: http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Kerberos ticket policy There is a single Kerberos ticket policy. This policy defines the maximum ticket lifetime and the maximum renewal age, the period during which the ticket is renewable. You can also create a per-user ticket policy by specifying the user login. For changes to the global policy to take effect, restarting the KDC service is required, which can be achieved using: service krb5kdc restart Changes to per-user policies take effect immediately for newly requested tickets (e.g. when the user next runs kinit). EXAMPLES: Display the current Kerberos ticket policy: ipa krbtpolicy-show Reset the policy to the default: ipa krbtpolicy-reset Modify the policy to 8 hours max life, 1-day max renewal: ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Display effective Kerberos ticket policy for user 'admin': ipa krbtpolicy-show admin Reset per-user policy for user 'admin': ipa krbtpolicy-reset admin Modify per-user policy for user 'admin': ipa krbtpolicy-mod admin --maxlife=3600 Misc plug-ins Netgroups A netgroup is a group used for permission checking. It can contain both user and host values. EXAMPLES: Add a new netgroup: ipa netgroup-add --desc="NFS admins" admins Add members to the netgroup: ipa netgroup-add-member --users=tuser1,tuser2 admins Remove a member from the netgroup: ipa netgroup-remove-member --users=tuser2 admins Display information about a netgroup: ipa netgroup-show admins Delete a netgroup: ipa netgroup-del admins Password policy A password policy sets limitations on IPA passwords, including maximum lifetime, minimum lifetime, the number of passwords to save in history, the number of character classes required (for stronger passwords) and the minimum password length. By default there is a single, global policy for all users. You can also create a password policy to apply to a group. Each user is only subject to one password policy, either the group policy or the global policy. A group policy stands alone; it is not a super-set of the global policy plus custom settings. Each group password policy requires a unique priority setting. If a user is in multiple groups that have password policies, this priority determines which password policy is applied. A lower value indicates a higher priority policy. Group password policies are automatically removed when the groups they are associated with are removed. EXAMPLES: Modify the global policy: ipa pwpolicy-mod --minlength=10 Add a new group password policy: ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Display the global password policy: ipa pwpolicy-show Display a group password policy: ipa pwpolicy-show localadmins Display the policy that would be applied to a given user: ipa pwpolicy-show --user=tuser1 Modify a group password policy: ipa pwpolicy-mod --minclasses=2 localadmins Permissions A permission enables fine-grained delegation of rights. A permission is a human-readable form of a 389-ds Access Control Rule, or instruction (ACI). A permission grants the right to perform a specific task such as adding a user, modifying a group, etc. A permission may not contain other permissions. * A permission grants access to read, write, add or delete. * A privilege combines similar permissions (for example all the permissions needed to add a user). * A role grants a set of privileges to users, groups, hosts or hostgroups. A permission is made up of a number of different parts: 1. The name of the permission. 2. The target of the permission. 3. The rights granted by the permission. Rights define what operations are allowed, and may be one or more of the following: 1. write - write one or more attributes 2. read - read one or more attributes 3. add - add a new entry to the tree 4. delete - delete an existing entry 5. all - all permissions are granted Read permission is granted for most attributes by default so the read permission is not expected to be used very often. Note the distinction between attributes and entries. The permissions are independent, so being able to add a user does not mean that the user will be editable. There are a number of allowed targets: 1. type: a type of object (user, group, etc). 2. memberof: a member of a group or hostgroup 3. filter: an LDAP filter 4. subtree: an LDAP filter specifying part of the LDAP DIT. This is a super-set of the "type" target. 5. targetgroup: grant access to modify a specific group (such as granting the rights to manage group membership) EXAMPLES: Add a permission that grants the creation of users: ipa permission-add --type=user --permissions=add "Add Users" Add a permission that grants the ability to manage group membership: ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Ping the remote IPA server to ensure it is running. The ping command sends an echo request to an IPA server. The server returns its version information. This is used by an IPA client to confirm that the server is available and accepting requests. The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first. If it does not respond then the client will contact any servers defined by ldap SRV records in DNS. EXAMPLES: Ping an IPA server: ipa ping ------------------------------------------ IPA server version 2.1.9. API version 2.20 ------------------------------------------ Ping an IPA server verbosely: ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml' ----------------------------------------------------- IPA server version 2.1.9. API version 2.20 ----------------------------------------------------- Privileges A privilege combines permissions into a logical task. A permission provides the rights to do a single task. There are some IPA operations that require multiple permissions to succeed. A privilege is where permissions are combined in order to perform a specific task. For example, adding a user requires the following permissions: * Creating a new user entry * Resetting a user password * Adding the new user to the default IPA users group Combining these three low-level tasks into a higher level task in the form of a privilege named "Add User" makes it easier to manage Roles. A privilege may not contain other privileges. See role and permission for additional information. Roles A role is used for fine-grained delegation. A permission grants the ability to perform given low-level tasks (add a user, modify a group, etc.). A privilege combines one or more permissions into a higher-level abstraction such as useradmin. A useradmin would be able to add, delete and modify users. Privileges are assigned to Roles. Users, groups, hosts and hostgroups may be members of a Role. Roles can not contain other roles. EXAMPLES: Add a new role: ipa role-add --desc="Junior-level admin" junioradmin Add some privileges to this role: ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Add a group of users to this role: ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Display information about a role: ipa role-show junioradmin The result of this is that any users in the group 'junioradmin' can add users, reset passwords or add a user to the default IPA user group. Self-service Permissions A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. A Self-service permission defines what an object can change in its own entry. EXAMPLES: Add a self-service rule to allow users to manage their address: ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add telephoneNumber to the list: ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address" Display our updated rule: ipa selfservice-show "Users manage their own address" Delete a rule: ipa selfservice-del "Users manage their own address" Server configuration Manage the default values that IPA uses and some of its tuning parameters. NOTES: The password notification value (--pwdexpnotify) is stored here so it will be replicated. It is not currently used to notify users in advance of an expiring password. Some attributes are read-only, provided only for information purposes. These include: Certificate Subject base: the configured certificate subject base, e.g. O=EXAMPLE.COM. This is configurable only at install time. Password plug-in features: currently defines additional hashes that the password will generate (there may be other conditions). When setting the order list for mapping SELinux users you may need to quote the value so it isn't interpreted by the shell. EXAMPLES: Show basic server configuration: ipa config-show Show all configuration options: ipa config-show --all Change maximum username length to 99 characters: ipa config-mod --maxusername=99 Increase default time and size limits for maximum IPA server search: ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 Set default user e-mail domain: ipa config-mod --emaildomain=example.com Enable migration mode to make "ipa migrate-ds" command operational: ipa config-mod --enable-migration=TRUE Define SELinux user map order: ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' Set a user's password If someone other than a user changes that user's password (e.g., Helpdesk resets it) then the password will need to be changed the first time it is used. This is so the end-user is the only one who knows the password. The IPA password policy controls how often a password may be changed, what strength requirements exist, and the length of the password history. EXAMPLES: To reset your own password: ipa passwd To change another user's password: ipa passwd tuser1 Simulate use of Host-based access controls HBAC rules control who can access what services on what hosts and from where. You can use HBAC to control which users or groups can access a service, or group of services, on a target host. Since applying HBAC rules implies use of a production environment, this plugin aims to provide simulation of HBAC rules evaluation without having access to the production environment. Test user coming to a service on a named host against existing enabled rules. ipa hbactest --user= --host= --service= [--rules=rules-list] [--nodetail] [--enabled] [--disabled] [--srchost= ] [--sizelimit= ] --user, --host, and --service are mandatory, others are optional. If --rules is specified simulate enabling of the specified rules and test the login of the user using only these rules. If --enabled is specified, all enabled HBAC rules will be added to simulation If --disabled is specified, all disabled HBAC rules will be added to simulation If --nodetail is specified, do not return information about rules matched/not matched. If both --rules and --enabled are specified, apply simulation to --rules _and_ all IPA enabled rules. If no --rules specified, simulation is run against all IPA enabled rules. By default there is a IPA-wide limit to number of entries fetched, you can change it with --sizelimit option. If --srchost is specified, it will be ignored. It is left because of compatibility reasons only. EXAMPLES: 1. Use all enabled HBAC rules in IPA database to simulate: $ ipa hbactest --user=a1a --host=bar --service=sshd -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 2. Disable detailed summary of how rules were applied: $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Access granted: True -------------------- 3. Test explicitly specified HBAC rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: myrule 4. Use all enabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --enabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 5. Test all disabled HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Access granted: False --------------------- notmatched: new-rule 6. Test all disabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --disabled --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule 7. Test all (enabled and disabled) HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd --enabled --disabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule notmatched: new-rule matched: allow_all Sudo Commands Commands used as building blocks for sudo EXAMPLES: Create a new command ipa sudocmd-add --desc='For reading log files' /usr/bin/less Remove a command ipa sudocmd-del /usr/bin/less ${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service matched%(count)d services matched%(count)d user matched%(count)d users matched%(count)d variables%(cver)s client incompatible with %(sver)s server at %(server)r%(desc)s: %(info)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(name)r is required%(obj)s default attribute %(attr)s would not be allowed!%(oname)s with name "%(pkey)s" already exists%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(user)s is not a POSIX user%s Record%s is not a valid attribute.%s record'%(entry)s' doesn't have a certificate.'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reasonA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA list of global forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A list of per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA string searched in all relevant object attributesAA CompromiseACIACI nameACI prefixACI prefix is requiredACI with name "%s" not foundACIsAD Trust setupAD domain controllerAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActive Directory domainActive Directory domain administratorActive Directory domain rangeActive zoneAddAdd ${entity}Add ${entity} ${primary_key} into ${other_entity}Add ${other_entity} Managing ${entity} ${primary_key}Add ${other_entity} into ${entity} ${primary_key}Add Allow ${other_entity} into ${entity} ${primary_key}Add Condition into ${pkey}Add Deny ${other_entity} into ${entity} ${primary_key}Add ManyAdd PermissionAdd RuleAdd RunAs ${other_entity} into ${entity} ${primary_key}Add RunAs Groups into ${entity} ${primary_key}Add Source ${other_entity} into ${entity} ${primary_key}Add a new HBAC service group.Add a new HBAC service.Add a new IPA new service.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new self-service permission.Add a new user.Add a permission for per-zone access delegation.Add a system permission without an ACIAdd an attribute/value pair. Format is attr=value. The attribute must be part of the schema.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd commands and sudo command groups affected by Sudo Rule.Add group for Sudo to execute as.Add hosts and hostgroups affected by Sudo Rule.Add hosts that can manage this host.Add hosts that can manage this service.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a privilege.Add members to a role.Add members to an HBAC service group.Add new DNS resource record.Add new trust to useAdd permissions to a privilege.Add privileges to a role.Add services to an HBAC rule.Add source hosts and hostgroups from a HBAC rule.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add the host to DNS with this IP addressAdd the nameserver to DNS with this IP addressAdd users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID range "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added system permission "%(value)s"Added user "%(value)s"Address not valid, can't redirectAdministrative accountAdministrator e-mail addressAffiliation ChangedAlgorithmAll commands should at least have a resultAllowAllow PTR syncAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllows migration despite the usage of compat pluginAlready registeredAltitudeAn IPA master host cannot be deleted or disabledAn interval between regular polls of the name server for new DNS zonesAny CommandAny GroupAny HostAny ServiceAnyoneApplyApply ACI to your own entry (self)Are you sure you want to ${action} the user?
The change will take effect immediately.Are you sure you want to delete ${object}Are you sure you want to delete selected entries?Are you sure you want to disable ${object}Are you sure you want to enable ${object}Are you sure you want to proceed with the action.Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?As WhomAsks for a non-random password to use for the principalAttributeAttribute KeyAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAuditAuthoritative nameserverAuthoritative nameserver domain nameAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!AutomemberAutomember RuleAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad search filter %(info)sBase IDBase for certificate subjects (OU=Test,O=Example)Base-64 encoded server certificateBase64 decoding failed: %(reason)sBind DNBind failed: %s Bind password required when using a bind DN. Built-in commands:CA CompromiseCNAME record is not allowed to coexist with any other records except PTRCSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot resolve KDC for requested realmCar LicenseCertificateCertificate HoldCertificate RevokedCertificate Subject baseCertificate TypeCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate operation cannot be completed: %(error)sCertificate requestedCertificate restoredCertificate stored in file '%(file)s'Certificate subject base is: %s Certificate/CRLCertificatesCessation of OperationChange to POSIX groupChange to external groupChanged password for "%(value)s"Character classesCheck the status of a certificate signing request.Checking if record exists.CityClassClick to ${action}Client is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.CloseClosing keytab failed Collapse AllComma separated encryption types listComma-separated list of attributesComma-separated list of attributes to be ignored for group entries in DSComma-separated list of attributes to be ignored for user entries in DSComma-separated list of objectclasses to be ignored for group entries in DSComma-separated list of objectclasses to be ignored for user entries in DSComma-separated list of objectclasses used to search for group entries in DSComma-separated list of objectclasses used to search for user entries in DSComma-separated list of permissions to grant (read, write). Default is write.Comma-separated list of permissions to grant (read, write, add, delete, all)Comma-separated list of raw %s recordsCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommands for controlling sudo configurationCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfirmationConsecutive failures before lockoutConsumeConsume EntitlementConsume an entitlement.ConsumedConsumed %(value)s entitlement(s).Contact SettingsContact this specific KDC ServerContinueContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Could not get %(name)s interactivelyCreate a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create as a non-POSIX groupCreate dns recordCreate new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Creating record.Credentials cache permissions incorrectCurrent DNS record contents: Current PasswordCurrent password is requiredDN to bind as if not using kerberosDNSDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ZoneDNS Zone SettingsDNS ZonesDNS classDNS configuration optionsDNS is not configuredDNS record was deleted because it contained no data.DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone for IP address %(addr)s not foundDNS zoneDNS zone %(zone)s not foundDNS zone root record cannot be renamedDNS zonesDataDebugging outputDefault (fallback) GroupDefault (fallback) group for entries to landDefault SELinux userDefault SELinux user when no match is found in SELinux map ruleDefault e-mail domainDefault group for entries to landDefault group for new usersDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default host groupDefault location of home directoriesDefault shellDefault shell for new usersDefault user groupDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDegrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete DNS resource record.Delete DNS zone (SOA record).Delete Key, UnprovisionDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a self-service permission.Delete a user.Delete all associated recordsDelete all?Delete an HBAC rule.Delete an HBAC service group.Delete an ID range.Delete an IPA service.Delete an attribute/value pair. The option will be evaluated last, after all sets and adds.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete group.Deleted ACI "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID range "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted user "%(value)s"Deleting a managed group is not allowed. It must be detached first.DenyDescriptionDetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"Dict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping variable name to valueDigestDigest TypeDirectDirect MembershipDirection LatitudeDirection LongitudeDisableDisable DNS Zone.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.DisabledDisabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled host "%(value)s"Disabled service "%(value)s"Disabled user account "%(value)s"Display DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display an automount key.Display an automount location.Display an automount map.Display current entitlements.Display effective policy for a specific userDisplay information about a DNS zone (SOA record).Display information about a delegation.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a user.Display information about an HBAC service group.Display information about an HBAC service.Display information about an IPA service.Display information about password policy.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDomainDomain SIDDomain SID of the trusted domainDon't create user private groupDownloadDownload CertificateDynamic updateEditEdit ${entity}Email addressEmployee InformationEnableEnable DNS Zone.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.EnabledEnabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed! EndEnrolledEnrollmentEnrollment UUIDEnrollment UUID (not implemented)Enrollment failed. %s Enter %(label)s again to verify: Enter the Base64-encoded entitlement certificate below:EntitlementEntitlement(s) synchronized.EntitlementsEntryErrorError changing account statusError getting default Kerberos realm: %s. Error obtaining initial credentials: %s. Error resolving keytab: %s. Error storing creds in credential cache: %s. ExchangerExclusiveExclusive RegexExpand AllExpires OnExpressionExternalExternal Group the commands can run as (sudorule-find only)External UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExtra hashes to generate in password plug-inFailed RunAsFailed RunAsGroupFailed hosts/hostgroupsFailed managedbyFailed membersFailed service/service groupsFailed source hosts/hostgroupsFailed to addFailed to add key to the keytab Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to close the keytab Failed to create control! Failed to create key material Failed to create key! Failed to create random key! Failed to open Keytab Failed to open keytab Failed to removeFailed users/groupsFailure decoding Certificate Signing RequestFailure decoding Certificate Signing Request:Failure decoding Certificate Signing Request: %sFailure reset intervalFalseFalse if migration mode was disabled.Fax NumberFetching DNS zones.File %(file)s not foundFile to store the certificate in.File were to store the keytab informationFilterFindFingerprintFingerprint (MD5)Fingerprint (SHA1)Fingerprint TypeFingerprintsFirst Posix ID of the rangeFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst nameFlagsForceForce DNS zone creation even if nameserver not in DNS.Forward firstForward onlyForward policyForward to server instead of running locallyForward zones onlyFound '%(value)s'FromFull nameFully Qualified Host NameGECOS fieldGIDGID (use this option to set it manually)GeneralGenerate a random password to be used in bulk enrollmentGenerate a random user passwordGenerate automount files for a specific location.GetGlobal DNS configuration is emptyGlobal forwardersGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup OptionsGroup SettingsGroup TypeGroup containerGroup descriptionGroup nameGroup object classGroup to apply ACI toGroup: %s not found!Grouping TypeGrouping to which the rule appliesGroupsGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC servicesHTTP ErrorHardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Help subtopics:Help topics:Hide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost Based Access ControlHost CertificateHost GroupHost Group SettingsHost GroupsHost NameHost SettingsHost based access control commandsHost categoryHost category the rule applies toHost does not have corresponding DNS A recordHost group ruleHost group rulesHost hardware platform (e.g. "Lenovo T61")Host is already joined. Host locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host-based access control commandsHost-groupHostnameHostname of this serverHostsHow long should negative responses be cachedID RangeID RangesIP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP network to create reverse zone name fromIPA ErrorIPA ServerIPA Server to useIPA namingContext not found IPA unique IDIdentityIdentity SettingsIf the problem persists please contact the system administrator.Ignore group attributeIgnore group object classIgnore user attributeIgnore user object classImportImport CertificateImport an entitlement certificate.Import automount files for a specific location.Include DisabledInclude EnabledInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]InclusiveInclusive RegexIncorrect password. IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInitialsInput form contains invalid or missing values.Insufficient 'write' privilege to the 'userCertificate' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to create a certificate with subject alt name '%s'.Internal ErrorInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid MCS value, must match c[0-1023].c[0-1023] and/or c[0-1023]-c[0-c0123]Invalid MLS value, must match s[0-15](-s[0-15])Invalid SELinux user name, only a-Z and _ are allowedInvalid Service Principal Name Invalid credentialsInvalid format. Should be name=valueInvalid number of parts!Invalid or unsupported type. Allowed values are: %sIs zone active?IssueIssue New Certificate for ${entity} ${primary_key}Issued ByIssued OnIssued ToIssuerIssuer "%(issuer)s" does not match the expected issuerItems addedItems removedJob TitleKerberos Credential Cache not found. Do you have a Kerberos Ticket? Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache? Kerberos context initialization failed Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s LDAP DNLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLabelsLast nameLeading and trailing spaces are not allowedLegal LDAP filter (e.g. ou=Engineering)List of deletions that failedLists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Loading...Local domainLocalityLocationLockout durationLogged In AsLoginLogin shellLogoutLogout errorMAC addressMD5 FingerprintMailing AddressMalformed DNManage password policy for specific groupManage ticket policy for specific userManagedby permissionManagerMapMap TypeMaster fileMatchedMatched rulesMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum number of entries returnedMaximum number of records to search (-1 is unlimited)Maximum number of rules to process when no --rules is specifiedMaximum password life must be greater than minimum.Maximum password lifetime (in days)Maximum renewable age (seconds)Maximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember HBAC serviceMember HBAC service groupsMember HostMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember service groupsMember servicesMember user groupMember usersMembers that could not be addedMembers that could not be removedMigrate users and groups from DS to IPA.Migration mode is disabled. Use 'ipa config-mod' to enable it.Migration of LDAP search reference is not supported.Min lengthMin lifetime (hours)Minimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing or invalid HTTP Referer, %(referer)sMissing reply control! Missing values: Mobile Telephone NumberModifiedModified ACI "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified user "%(value)s"Modified: key not setModify %(name)s '%(value)s'?Modify DNS zone (SOA record).Modify ID range.Modify Kerberos ticket policy.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a DNS resource record.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a self-service permission.Modify a user.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify information about a host.More than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMust be an integerNIS domain nameName of command to exportName of host-groupName of method to exportName of object to exportName of parent automount map (default: auto.master).Nameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver address is not a fully qualified domain nameNeither --del-all nor options to delete a specific record provided. Command help may be consulted for all supported record types.Nested Methods to executeNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew mount informationNew: key not setNew: key setNextNext Domain NameNo Certificate.No Valid CertificateNo credentials cache foundNo default (fallback) group setNo entries.No file to readNo keys accepted by KDC No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain. No permission to registerNo responseNo such attribute on this entryNo system preferred enctypes ?! No values for %sNo write permissions on keytab file '%s' Non-existent or invalid rulesNormalNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot an entitlement certificateNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of entries returnedNumber of members addedNumber of members removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of variables returned (<= total)OKOTP setOne of group, permission or self is requiredOne-Time-PasswordOne-Time-Password Not PresentOne-Time-Password PresentOnly one value is allowedOperating System and version of the host (e.g. Fedora 9)Operating systemOperation failed! %s Operations ErrorOption addedOption(s) removedOptionsOptions dom_sid and rid_base must be used togetherOptions dom_sid and secondary_rid_base cannot be used togetherOptions secondary_rid_base and rid_base must be used togetherOrderOrder in increasing priority of SELinux users, delimited by $Org. UnitOrganizationOrganizational UnitOriginal TTLOther Record TypesOut of Memory! Out of memory Out of memory Out of memory!Out of memory! Out of memory!? Output filenameOutput only on errorsOverwrite GIDPAC typePKINITPOSIXPagePager NumberParent mapParse all raw DNS records and return them in a structured wayPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword plugin featuresPassword used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords have been migrated in pre-hashed format. IPA is unable to generate Kerberos keys unless provided with clear text passwords. All migrated users need to login at https://your.domain/ipa/migration/ before they can use their Kerberos accounts.Passwords must matchPeriod after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission TypePermission denied: %(file)sPermission namePermission typePermission with invalid target specificationPermissionsPermitted Encryption TypesPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease try the following options:PolicyPortPositional argumentsPreferencePreference given to this exchanger. Lower values are more preferredPrefix used to distinguish ACI types (permission, delegation, selfservice, none)PrevPrimary RID basePrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal is not of the form user@REALM: %(principal)rPrincipal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority of the policy (higher number means lower priorityPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProductPrompt to set the user passwordProspectiveProtocolProvisioningPublic KeyPurpose: %sQuantityQuery returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.Random passwordRange SettingsRange nameRange sizeRange typeRe-sync the local entitlement cache with the entitlement server.Realm nameReasonReason for RevocationReason for revoking the certificate (0-10)Record TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRedirection to PTR recordRefreshRefresh the page.RegisterRegister to the entitlement system.Registered to entitlement server.Registering to specific UUID is not supported yet.RegistrationRegistration passwordRegular ExpressionReload the browser.Remove ${entity}Remove ${entity} ${primary_key} from ${other_entity}Remove ${other_entity} Managing ${entity} ${primary_key}Remove ${other_entity} from ${entity} ${primary_key}Remove Allow ${other_entity} from ${entity} ${primary_key}Remove Deny ${other_entity} from ${entity} ${primary_key}Remove PermissionRemove RunAs ${other_entity} from ${entity} ${primary_key}Remove RunAs Groups from ${entity} ${primary_key}Remove Source ${other_entity} from ${entity} ${primary_key}Remove a permission for per-zone access delegation.Remove all principals in this realmRemove an option from Sudo Rule.Remove commands and sudo command groups affected by Sudo Rule.Remove entries from DNSRemove from CRLRemove group for Sudo to execute as.Remove hosts and hostgroups affected by Sudo Rule.Remove hosts that can manage this host.Remove hosts that can manage this service.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a role.Remove members from an HBAC service group.Remove permissions from a privilege.Remove privileges from a role.Remove service and service groups from an HBAC rule.Remove source hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Removed condition(s) from "%(value)s"Removed default (fallback) group for automember "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing principal %s RenameRename the %(ldap_obj_name)s objectRenamed ACI to "%(value)s"ReplacementRequest idRequest statusRequest subject "%(request_subject)s" does not match the form "%(subject_base)s"Required fieldResetReset Kerberos ticket policy to the default values.Reset OTPReset One-Time-PasswordReset PasswordReset Password and LoginResolve a host name in DNS.RestoreRestore Certificate for ${entity} ${primary_key}Result of simulationResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Retrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve the entitlement certs.RetryReturn to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkReverse zone for PTR record should be a sub-zone of one the following fully qualified domains: %sRevocation reasonRevokeRevoke Certificate for ${entity} ${primary_key}Revoke a certificate.RevokedRightsRoleRole Based Access ControlRole SettingsRole nameRolesRule nameRule statusRule typeRule type (allow)RulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersRunAsGroup does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a user nameSELinux OptionsSELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user map default user not in order listSELinux user map list not found in configurationSELinux user map orderSHA1 FingerprintSOA classSOA expireSOA minimumSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA record time to liveSOA refreshSOA retrySOA serialSOA time to liveSSH public keySSH public key fingerprintSSH public key:SSH public keysSearchSearch OptionsSearch for %(searched_object)s with these %(relationship)s %(ldap_object)s.Search for %(searched_object)s without these %(relationship)s %(ldap_object)s.Search for DNS resources.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA namingContext failed with error %d Search for IPA services.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an HBAC service group.Search for an automount key.Search for an automount location.Search for an automount map.Search for delegations.Search for entitlement accounts.Search for forward zones onlySearch for group password policies.Search for groups.Search for hostgroups.Search for hosts.Search for ipaCertificateSubjectBase failed with error %dSearch for permissions.Search for privileges.Search for ranges.Search for roles.Search for users.Search size limitSearch time limitSecondary RID baseSeconds LatitudeSeconds LongitudeSelect AllSelect entries to be removed.SelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServer NameServiceService %(service)r not found in Kerberos databaseService CertificateService GroupsService OptionsService SettingsService categoryService category the rule applies toService group nameService nameService principalService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService unprovisionedServicesSession errorSetSet OTPSet One-Time-PasswordSet SSH keySet a user's password.Set an attribute to a name/value pair. Format is attr=value. For multi-valued attributes, the command replaces the values already present.Set default (fallback) group for automember "%(value)s"SettingsShow ResultsShow all loaded plugins.Show detailsShow environment variables.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShow/Set keyShowing ${start} to ${end} of ${total} entries.SignatureSignature ExpirationSignature InceptionSigner's NameSimple bind failed Simulate use of Host-based access controlsSizeSize LimitSome entries were not deletedSome operations failed.Source Host GroupsSource HostsSource hostSource host categorySource host category the rule applies toSourcehost value of rule "%s" is ignoredSpecified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified Services and GroupsSpecified Users and GroupsSpecifies where to store keytab information.Specify external ${entity}Standard Record TypesStartState/ProvinceStatusStreet addressStructuredSubjectSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSupersededSupported encryption types: Syntax Error: %(error)sTake a revoked certificate off hold.TargetTarget groupTarget hostTarget members of a groupTarget reverse zone not found.Target your own entry (self)Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe IPA realmThe automount key %(key)s with info %(info)s does not existThe character '%(char)r' is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain name of the target host or '.' if the service is decidedly not available at this domainThe group doesn't existThe host was added but the DNS update failed with: %(exc)sThe hostname must be fully-qualified: %s The hostname must not be: %s The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe most common types for this type of zone are: %s The primary_key value of the entry, e.g. 'jdoe' for a userThe principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The service principal for this request doesn't exist.There are only %d entitlements leftThis command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis page has unsaved changes. Please save or revert.Ticket expiredTime LimitTime limit of search in secondsTime to liveTo confirm your intention to restore this certificate, click the "Restore" button.To confirm your intention to revoke this certificate, select a reason from the pull-down list, and click the "Revoke" button.To login with username and password, enter them in the fields below then click Login.Topic commands:Total number of variables env (>= count)TrueTrue if not all results were returnedTrue means the operation was successfulTrust SettingsTry `ipa --help` for a list of global options.TypeType CoveredType MapType of IPA object (user, group, host, hostgroup, service, netgroup, dns)UIDURLUUIDUnable to communicate with CMS (%s)Unable to create private group. A group '%(group)s' already exists.Unable to determine IPA server from %s Unable to determine certificate subject of %s Unable to determine root DN of %s Unable to enable SSL in LDAP Unable to generate Kerberos Credential Cache Unable to initialize connection to ldap server: %sUnable to initialize ldap library! Unable to join host: Kerberos Credential Cache not found Unable to join host: Kerberos User Principal not found and host password not provided. Unable to join host: Kerberos context initialization failed Unable to parse principal Unable to parse principal name Unable to remove entry Unable to set LDAP version Unable to set LDAP_OPT_X_SASL_NOCANON Unable to set ldap options! Unenroll this host from IPA serverUnenrollment failed. Unenrollment successful. Unknown ErrorUnknown option: %(option)sUnlocked account "%(value)s"UnmatchedUnprovisionUnprovisioning ${entity}Unresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUpdateUpdate DNS entriesUsage: ipa [global-options] COMMAND ...UserUser GroupUser GroupsUser ID Number (system will assign one if not provided)User OptionsUser categoryUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group ruleUser group rulesUser group to apply delegation toUser group to apply permissions toUser loginUser nameUser object classUser passwordUser search fieldsUser-friendly description of action performedUsernameUsersValid Certificate PresentValidation errorValidityVerify PasswordVerify Principal PasswordVertical PrecisionVia ServiceViewWarningWarning: failed to convert type (#%d) Warning: salt types are not honored with randomized passwords (see opt. -P) WeightWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhoYou must enroll a host in order to create a host serviceYou need to be a member of the serviceadmin role to add servicesYou will be redirected to DNS Zone.Your session has expired. Please re-login.ZIPZone forwardersZone found: ${zone}Zone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d addedan internal error has occurredan internal error has occurred on server at %(server)rapi has no such namespace: %(name)rat least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredattribute "%(attribute)s" not allowedattribute "%s" not allowedattribute is not configurableautomatically add the principal if it doesn't existautomount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?! bind passwordblank servicecan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot be longer that 255 characterscannot connect to %(uri)r: %(error)scannot delete global password policycannot obtain next serial numbercannot open configuration file %s cannot stat() configuration file %s certutil failurechange collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d cn is immutablecomma-separated SIDs of members of a trusted domaincomma-separated list of %scomma-separated list of %s to addcomma-separated list of %s to exclude from migrationcomma-separated list of %s to removecomma-separated list of permissions to grant(read, write, add, delete, all)command %(name)r takes at most %(count)d argumentcommand %(name)r takes at most %(count)d argumentscommand %(name)r takes no argumentscommand category cannot be set to 'all' while there are allow or deny commandscommands cannot be added when command category='all'commands for controlling sudo configurationconfiguration optionscontainer entry (%(container)s) not foundcould not allocate unique new session_iddelegationdelegationsdescriptiondid not receive Kerberos credentialseach ACL element must be terminated with a semicolonempty filterentitlemententitlementsentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server %(server)r: %(error)sexecuting ipa-getkeytab failed, errno %d external memberfile operationfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"force NS record creation even if its hostname is not in DNSforce host name even if not in DNSforce principal name even if not in DNSfork() failed format must be specified as "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" where: d1: [0 .. 90] (degrees latitude) d2: [0 .. 180] (degrees longitude) m1, m2: [0 .. 59] (minutes latitude/longitude) s1, s2: [0 .. 59.999] (seconds latitude/longitude) alt: [-100000.00 .. 42849672.95] BY .01 (altitude in meters) siz, hp, vp: [0 .. 90000000.00] (size/precision in meters) See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sformat must be specified as "NEXT TYPE1 [TYPE2 [TYPE3 [...]]]" (see RFC 4034 for details)groupgroup runAs category cannot be set to 'all' while there are groupsgroup, permission and self are mutually exclusivegroupshosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostnamehostname in subject of request '%(subject_host)s' does not match principal hostname '%(hostname)s'hostshosts cannot be added when host category='all'incomplete time valueincorrect typeinvalid %(name)r: %(error)sinvalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid SSH public keyinvalid address formatinvalid domain-name: %sipa-getkeytab has bad permissions? ipa-getkeytab not found kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskvno %d limits exceeded for this querylocal domain rangemanager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:member %smissing address domainmissing servicemodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be True or Falsemust be Unicode textmust be a decimal numbermust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be binary datamust be exactly %(length)d bytesmust be exactly %(length)d charactersmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsno command nor help topic %(topic)rno host record for subject alt name %s in certificate requestno modifications to be performednot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform this commandnot fully qualifiednumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)snumber of passwordsobjectclass %s not foundout of memory overlapping arguments and options: %(names)rpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermissionspkinitprincipal not found principal not found in XML-RPC response priority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivilegesrange modification leaving objects with ID out of the defined range is not allowedread error realm not found removedresult not found in XML-RPC response retrieve and print all attributes from the server. Affects command output.rolerolessearch for managed groupssearch for private groupssearch results for objects to be migrated have been truncated by the server; migration process might be incomplete searchtimelimit must be -1 or > 1.secondsself service permissionself service permissionsserviceservice category cannot be set to 'all' while there are allowed servicesservicesservices cannot be added when service category='all'skip reverse DNS detectionsource hosts cannot be added when sourcehost category='all'sourcehost category cannot be set to 'all' while there are allowed sourcehostssudo commandsudo command groupsudo command groupssudo commandssudo rulesudo rulesthe entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthis option has been deprecated.too many '@' characterstype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunable to decode csr: %sunable to determine realmundoundo allunknown command %(name)runknown error %(code)d from %(server)s: %(error)suseruser category cannot be set to 'all' while there are allowed usersuser runAs category cannot be set to 'all' while there are usersusersusers cannot be added when runAs user or runAs group category='all'users cannot be added when user category='all'values are not recognized as valid SIDs from trusted domainProject-Id-Version: FreeIPA Report-Msgid-Bugs-To: https://hosted.fedoraproject.org/projects/freeipa/newticket POT-Creation-Date: 2012-10-12 04:08-0400 PO-Revision-Date: 2012-10-06 10:27+0000 Last-Translator: JÃ©rÃ´me Fenal Language-Team: French MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Language: fr Plural-Forms: nplurals=2; plural=(n > 1); Outrepasser ceci afin de pouvoir prÃ©ciser les ajouts et Ã©checs aux rÃ©sultats renvoyÃ©s. Outrepasser ceci afin de pouvoir prÃ©ciser les ajouts et Ã©checs. Ajouter une rÃ¨gle d'auto-adhÃ©sion. Ajouter des conditions Ã une rÃ¨gle d'auto-adhÃ©sion. Supprimer une rÃ¨gle d'auto-adhÃ©sion. Afficher les informations sur une rÃ¨gle d'auto-adhÃ©sion. Afficher les informations par dÃ©faut (repli) pour les groupes d'appartenance automatique. Modifier une rÃ¨gle d'auto-adhÃ©sion. Supprimer les conditions d'une rÃ¨gle d'auto-adhÃ©sion. Supprimer le groupe par dÃ©faut (de repli) pour toutes les entrÃ©es sans correspondance. Rechercher des rÃ¨gles d'auto-adhÃ©sion. DÃ©fini le groupe par dÃ©faut (de repli) pour toutes les entrÃ©es sans correspondance. DÃ©verrouiller un compte utilisateur Un compte utilisateur peut se verrouiller si le mot de passe est saisi de maniÃ¨re incorrecte de trop nombreuses fois sur une pÃ©riode prÃ©cise spÃ©cifiÃ©e par la politique de mot de passe. Le verrouillage d'un compte est une situation temporaire et le compte peut Ãªtre dÃ©verrouillÃ© par un administrateur. Automount Stocke la configuration automount(8) pour autofs(8) dans IPA. tLa base d'une configuration automount est le fichier de configuration auto.master. C'est aussi le lieu de base dans IPA. Plusieurs configurations auto.master peuvent Ãªtre stockÃ©es dans plusieurs lieux diffÃ©rents. Un lieu est spÃ©cifique Ã chaque mise en Å“uvre, le lieu par dÃ©faut Ã©tant 'default'. Par exemple, vous pouvez avoir un lieu par rÃ©gion gÃ©ographique, par Ã©tage, par type, etc. Automount a trois types d'objets : les lieux, les cartes et les clÃ©s. Un lieu dÃ©finit un jeu de cartes ancrÃ©es dans auto.master. Cela permet de stocker de multiples configurations automount. Un lieu en soi n'est pas trÃ¨s intÃ©ressant, mais est le point de dÃ©part d'une nouvelle carte automount. Une carte est en gros Ã©quivalente Ã un fichier individuel automount et fournit le stockage pour les clÃ©s. Une clÃ© est un point de montage associÃ© Ã une carte. A key is a mount point associated with a map. Quand un nouveau lieu est crÃ©Ã©, deux cartes sont automatiquement crÃ©Ã©es pour lui: auto.master et auto.direct. auto.master est la carte racine pour toutes les cartes automount pour le lieu en question. auto.direct est la carte par dÃ©faut pour les montages directs et est montÃ© sur /-. Une carte d'automontage peut contenir une clÃ© de sous-montage. Cette clÃ© dÃ©finit un lieu de montage dans la carte qui rÃ©fÃ©rence une autre carte. Cela peut Ãªtre rÃ©alisÃ© par l'utilisation de automountmap-add-indirect --parentmap ou manuellement avec automountkey-add et l'information de configuration "-type=autofs :". EXEMPLES: Lieux: CrÃ©er un nouveau lieu nommÃ© "Baltimore" : ipa automountlocation-add baltimore Afficher le nouveau lieu : ipa automountlocation-show baltimore Trouver les lieux disponibles : ipa automountlocation-find Supprimer un lieu automount nommÃ© : ipa automountlocation-del baltimore Afficher Ã quoi ressembleraient les cartes automount si elles Ã©taient dans le systÃ¨me de fichiers : ipa automountlocation-tofiles baltimore Importer une configuration existante dans un lieu: ipa automountlocation-import baltimore /etc/auto.master L'import Ã©choera si une entrÃ©e dupliquÃ©e est trouvÃ©e. Pour une utilisation continue oÃ¹ les erreurs sont ignorÃ©es, utiliser l'option --continue. Cartes : CrÃ©er une nouvelle carte, "auto.share" : ipa automountmap-add baltimore auto.share Afficher la nouvelle carte : ipa automountmap-show baltimore auto.share Trouver les cartes du lieu baltimore : ipa automountmap-find baltimore CrÃ©er la carte indirecte avec auto.share comme sous-montage : ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man Ce qui est Ã©quivalent Ã : ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Supprimer la carte auto.share : ipa automountmap-del baltimore auto.share ClÃ©s : CrÃ©er une nouvelle clÃ© pour la carte auto.share du lieu baltimore. Cela associe la carte prÃ©cÃ©demment crÃ©Ã©e Ã auto.master auto.master: ipa automountkey-add baltimore auto.master --key=/share --info=auto.share CrÃ©er une nouvelle clÃ© dans notre carte auto.share, un montage NFS pour les pages de manuel : ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Trouver toutes les clÃ©s de la carte auto.share : ipa automountkey-find baltimore auto.share Trouver toutes les clÃ©s automount directes : ipa automountkey-find baltimore --key=/- Supprimer la clÃ© man de la carte auto.share : ipa automountkey-del baltimore auto.share --key=man Droits d'utilisation Administration des droits d'utilisation pour les machines clientes Les droits d'utilisation peuvent Ãªtre administrÃ©s soit par l'enregistrement auprÃ¨s d'un serveur de droits avec un identifiant utilisateur et un mot de passe, ou en important manuellement un certificat de droits. Un certificat de droits contient une information complÃ©mentaire comme le produit auquel le certificat donne droit, et les dates de validitÃ©. Un serveur de droits permet l'administration des nombres de clients disponibles. Pour Ãªtre utilisÃ©es par le serveur IPA, vous devez fournir une quantitÃ© de droits qui pourra ensuite Ãªtre utilisÃ©e par le serveur de droits. Enregistrer un consommateur auprÃ¨s du serveur : ipa entitle-register consumer Importer un certificat de droits : ipa entitle-import /home/user/ipaclient.pem Afficher les droits actuels : ipa entitle-status RÃ©cupÃ©rer les informations sur les certificats de droits : ipa entitle-get Consommer des droits du serveur de droits : ipa entitle-consume 50 L'identifiant d'enregistrement est un identifiant unique (UUID). Cet identifiant sera importÃ© si vous utilisez la commande entitle-import. Les modifications Ã /etc/rhsm/rhsm.conf requiÃ¨rent un redÃ©marrage du service httpd. DÃ©lÃ©gation de groupe Ã groupe Une permission permet une dÃ©lÃ©gation fine des autorisations. Les rÃ¨gles de contrÃ´le d'accÃ¨s, ou les instructions (ACI), accordent la possibilitÃ© aux permissions de rÃ©aliser certaines tÃ¢ches comme l'ajout d'utilisateur, la modification d'un groupe, etc. La dÃ©lÃ©gation de groupe Ã groupe permet aux membres d'un groupe de modifier un jeu d'attributs de membres d'un autre groupe. EXEMPLES: Ajouter une rÃ¨gle de dÃ©lÃ©gation permettant aux directeurs de modifier les adresses des administrateurs : ipa delegation-add --attrs=street --membergroup=admins --group=editors 'les directeurs modifient les adresses des administrateurs' Lors de la gestion d'une liste d'attributs, vous devez toujours spÃ©cifier la liste complÃ¨te des attributs, y compris les attributs existants. Ajouter postalCode Ã la liste : ipa delegation-mod --attrs=street,postalCode --membergroup=admins --group=editors 'les directeurs modifient les adresses des administrateurs' Afficher la rÃ¨gle modifiÃ©e : ipa delegation-show 'les directeurs modifient les adresses des administrateurs' Supprimer une rÃ¨gle : ipa delegation-del 'les directeurs modifient les adresses des administrateurs' Groupes de commandes Sudo Administre les groupes de commandes Sudo. EXEMPLES : Ajouter un nouveau groupe de commandes Sudo : ipa sudocmdgroup-add --desc='commandes administrateurs' admincmds Supprimer un groupe de commandes Sudo : ipa sudocmdgroup-del admincmds Administrer l'appartenance et les commandes d'un groupe de commandes Sudo : ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds Administrer l'appartenance et les commandes d'un groupe de commandes Sudo : ipa group-remove-member --sudocmds=/usr/bin/less admincmds Afficher un groupe de commandes Sudo : ipa group-show localadmins Groupes de systÃ¨mes. Gestion des groupes de systÃ¨mes. Permet d'appliquer des contrÃ´les d'accÃ¨s Ã plusieurs systÃ¨mes en utilisant les contrÃ´les HBAC. EXEMPLES : Ajouter un nouveau groupe de systÃ¨mes : ipa hostgroup-add --desc="SystÃ¨mes de Baltimore" baltimore Ajouter un nouveau groupe de systÃ¨mes : ipa hostgroup-add --desc="SystÃ¨mes du Maryland" maryland Ajouter des membres Ã un groupe de systÃ¨mes : ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore Ajouter un groupe de systÃ¨mes en tant que membre d'un autre : ipa hostgroup-add-member --hostgroups=baltimore maryland Supprimer un systÃ¨me d'un groupe : ipa hostgroup-remove-member --hosts=box2 baltimore Afficher un groupe de systÃ¨mes : ipa hostgroup-show baltimore Supprimer un groupe de systÃ¨mes : ipa hostgroup-del baltimore Groupes de services HBAC Les groupes de services HBAC peuvent contenir n'importe quel nombre de services individuels, dit Â« membres Â». Chaque groupe doit avoir une description. EXEMPLES: Ajouter un nouveau groupe de services HBAC : ipa hbacsvcgroup-add --desc="login services" login Ajouter des membres Ã un groupe de services HBAC : ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login Afficher les informations d'un groupe nommÃ© : ipa hbacsvcgroup-show login Ajouter un nouveau groupe au groupe "login" : ipa hbacsvcgroup-add --desc="switch users" login ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login Supprimer un groupe de services HBAC : ipa hbacsvcgroup-del login Services HBAC Les services PAM dont le systÃ¨me HBAC peut contrÃ´ler l'accÃ¨s. Le nom utilisÃ© ici doit correspondre au nom de service utilisÃ© par PAM. EXEMPLES: Ajouter un nouveau service HBAC : ipa hbacsvc-add tftp Modifier un service HBAC existant : ipa hbacsvc-mod --desc="TFTP service" tftp Chercher des services HBAC. Cet exemple renverra deux rÃ©sultats, le service FTP et le service tftp nouvellement ajoutÃ© : ipa hbacsvc-find ftp Supprimer un service HBAC : ipa hbacsvc-del tftp ContrÃ´le d'accÃ¨s des systÃ¨mes (HBAC) HBAC (Host-based acces control) permet de contrÃ´ler qui peut accÃ©der Ã quels services sur quels systÃ¨mes, et d'oÃ¹. Il est possible d'utiliser le systÃ¨me HBAC afin de contrÃ´ler quels utilisateurs ou groupes d'un systÃ¨me source peuvent accÃ©der quels services, ou groupes de services, sur un systÃ¨me cible. Vous pouvez aussi spÃ©cifier une catÃ©gorie d'utilisateur, de systÃ¨mes cibles et de systÃ¨mes sources. La seule catÃ©gorie existante pour le moment est "all", mais pourra Ãªtre Ã©tendu dans le futur. Les systÃ¨mes sources et cibles des rÃ¨gles HBAC doivent Ãªtre des systÃ¨mes administrÃ©s par IPA. Les services et groupes de services disponibles sont gÃ©rÃ©s respectivement par les greffons hbacsvc and hbacsvcgroup. EXEMPLES: CrÃ©er une rÃ¨gle "test1" autorisant tous les utilisateurs Ã accÃ©der le serveur "server" depuis n'importe oÃ¹ : ipa hbacrule-add --type=allow --usercat=all --srchostcat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Afficher les propriÃ©tÃ©s d'une rÃ¨gle nommÃ©e HBAC : ipa hbacrule-show test1 CrÃ©er une rÃ¨gle pour un service spÃ©cifique, permettant Ã l'utilisateur john d'accÃ©der au service sshd sur toute machine depuis n'importe quelle machine : ipa hbacrule-add --type=allow --hostcat=all --srchostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd CrÃ©er une rÃ¨gle pour un nouveau groupe de services, permettant Ã l'utilisateur john d'accÃ©der au service FTP de toute machine depuis n'importe quelle machine. ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers ipa hbacrule-add --type=allow --hostcat=all --srchostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp DÃ©sactiver une rÃ¨gle HBAC nommÃ©e : ipa hbacrule-disable test1 Supprimer une rÃ¨gle HBAC nommÃ©e : ipa hbacrule-del allow_server SystÃ¨mes/Machines Un systÃ¨me reprÃ©sente une machine, et peut Ãªtre utilisÃ© dans plusieurs contextes : - les entrÃ©es de services sont associÃ©s Ã un systÃ¨me - un systÃ¨me stocke les entrÃ©es des principaux de services host/ - un systÃ¨me peut Ãªtre utilisÃ© dans les rÃ¨gles de contrÃ´les d'accÃ¨s HBAC - chaque client enregistrÃ© crÃ©e une entrÃ©e systÃ¨me INSCRIPTION : Trois scenarii d'inscriptions d'un nouveau client sont possibles : 1. La machine est enregistrÃ©e par un administrateur de plein droit. L'entrÃ©e systÃ¨me peut prÃ©-exister ou non. Un administrateur de plein droit est membre du rÃ´le hostadmin ou du groupe admins 2. L'inscription est faite par un administrateur limitÃ©. Le systÃ¨me doit avoir Ã©tÃ© prÃ©alablement crÃ©Ã©. Un administrateur limitÃ© possÃ¨de le privilÃ¨ge Host Enrollment. 3. Le systÃ¨me a Ã©tÃ© crÃ©Ã© avec un mot de passe Ã usage unique. Un systÃ¨me peut Ãªtre inscrit une seule fois. Si un client est dÃ©jÃ inscrit et nÃ©cessite d'Ãªtre rÃ©-inscrit, il faut d'abord le supprimer puis re-crÃ©Ã©. La re-crÃ©ation du systÃ¨me provoquera la perte de tous les services du systÃ¨me Ã supprimer, ainsi que la rÃ©vocation de tous les certificats SSL associÃ©s aux services supprimÃ©s. Un systÃ¨me peut de faÃ§on optionnelle stocker des informations complÃ©mentaires comme sa localisation, son systÃ¨me d'exploitation, etc. EXEMPLES : Ajouter un nouveau systÃ¨me : ipa host-add --location="labo 3e Ã©tage" --locality=Dallas test.example.com Supprimer un systÃ¨me : ipa host-del test.example.com Ajouter un systÃ¨me avec un mot de passe Ã usage unique : ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Ajouter un nouveau systÃ¨me avec un mot de passe Ã usage unique alÃ©atoire : ipa host-add --os='Fedora 12' --random test.example.com Modifier les informations d'un systÃ¨me : ipa host-mod --os='Fedora 12' test.example.com Supprimer les clÃ©s publiques SSH du systÃ¨me et modifie les DNS pour reflÃ©ter ce changement : ipa host-mod --sshpubkey= --updatedns test.example.com DÃ©sactiver la clÃ© Kerberos du systÃ¨me, ses certificats SSL et tous ses services : ipa host-disable test.example.com Ajouter un systÃ¨me pouvant administrer le keytab et les certificats du systÃ¨me sur lequel la commande est lancÃ©e : ipa host-add-managedby --hosts=test2 test OpÃ©ration sur les certificats IPA Met en Å“uvre un jeu de commandes permettant l'administration des certificats SSL de serveurs. Les requÃªtes de certificats existent sous la forme d'un Certificate Signing Request (CSR) au format PEM. En cas d'utilisation du module d'auto-signature, alors le sujet du CSR devra Ãªtre identique au sujet configurÃ© dans le serveur. L'autoritÃ© de certification dogtag utilise uniquement la valeur du CN du CSR, et remplace le reste du sujet. Un certificat est stockÃ© avec un principal de service, qui requiert lui un systÃ¨me. Afin de demander un certificatâ€¯ : * Le systÃ¨me doit exister * Le service doit exister (ou utiliser l'option --add pour l'ajouter automatiquement) EXEMPLES: Demander un nouveau certificat et l'ajouter au principal : ipa cert-request --add --principal=HTTP/lion.example.com example.csr RÃ©cupÃ©rer un certificat existant : ipa cert-show 1032 RÃ©voquer un certificat (cf. RFC 5280 pour les dÃ©tails sur les raisons) : ipa cert-revoke --revocation-reason=6 1032 Supprimer l'Ã©tat en maintien de rÃ©vocation d'un certificat : ipa cert-remove-hold 1032 VÃ©rifier l'Ã©tat d'une demande de signature : ipa cert-status 10 IPA Ã©met actuellement (ou refuse d'Ã©mettre) toutes les demandes de certificats, rendant inutile l'Ã©tat de la requÃªte. Cette commande sera utile dans une version future, dans le cas oÃ¹ l'AC n'Ã©met pas immÃ©diatement le certificat. Les raisons suivantes de rÃ©vocation sont supportÃ©es : * 0 - unspecified * 1 - keyCompromise * 2 - cACompromise * 3 - affiliationChanged * 4 - superseded * 5 - cessationOfOperation * 6 - certificateHold * 8 - removeFromCRL * 9 - privilegeWithdrawn * 10 - aACompromise N.B.: le code 7 n'est pas utilisÃ©. Cf. RFC 5280 pour les dÃ©tails : http://www.ietf.org/rfc/rfc5280.txt Options Kerberos pkinit Active ou dÃ©sactive l'opÃ©ration pkinit anonyme utilisant le principal WELLKNOWN/ANONYMOUS@REALM. Le serveur doit avoir Ã©tÃ© installÃ© avec le support pkinit. EXEMPLES : Active le pkinit anonyme : ipa pkinit-anonymous enable DÃ©sactive le pkinit anonyme : ipa pkinit-anonymous disable Pour plus d'informations sur l'opÃ©ration pkinit anonyme, cf. : http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Politique de ticket Kerberos Il n'existe qu'une unique politique de ticket Kerberos. Cette politique dÃ©finit la durÃ©e de vie maximale des tickets, ainsi que l'Ã¢ge maximal de renouvellement, pÃ©riode pendant laquelle le ticket est renouvelable. Vous pouvez aussi crÃ©er une politique par utilisateur en spÃ©cifiant l'identifiant de l'utilisateur. Pour que les changements Ã la politique globale s'appliquent, il est nÃ©cessaire de redÃ©marrer le service KDC, par exemple : service krb5kdc restart Les changements Ã une politique spÃ©cifique Ã un utilisateur prennent effet immÃ©diatement pour les tickets nouvellement demandÃ©s (i.e. quand l'utilisateur lance kinit). EXEMPLES : Affiche la politique actuelle de ticket Kerberos : ipa krbtpolicy-show RÃ©initialise la politique aux valeurs par dÃ©faut : ipa krbtpolicy-reset Modifie la politique Ã 8 heures de durÃ©e de vie, 1 journÃ©e de durÃ©e maximale de renouvellement : ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Affiche la politique actuelle de ticket Kerberos de l'utilisateur 'admin' : ipa krbtpolicy-show admin RÃ©initialise la politique de ticket Kerberos de l'utilisateur 'admin' : ipa krbtpolicy-reset admin Modifie la politique de ticket Kerberos de l'utilisateur 'admin' : ipa krbtpolicy-mod admin --maxlife=3600 Greffons divers Netgroups Un netgroup est un groupe utilisÃ© pour la vÃ©rification de permissions. Il peut contenir Ã la fois des utilisateurs et des noms de systÃ¨mes. EXEMPLES : Ajouter un nouveau netgroup : ipa netgroup-add --desc="NFS admins" admins Ajouter des membres au netgroup : ipa netgroup-add-member --users=tuser1,tuser2 admins Retirer un membre du netgroup : ipa netgroup-remove-member --users=tuser2 admins Afficher les informations sur un netgroup : ipa netgroup-show admins Supprimer un netgroup : ipa netgroup-del admins Politique de mots de passe Une politique de mots de passe permet de dÃ©finir des limites sur les mots de passe dans IPA, comme leur durÃ©e de vie, minimale ou maximale, la taille de l'historique de mots de passe, le nombre de classes de caractÃ¨res requises (pour la rÃ©sistance Ã force brute) et la longueur minimale du mot de passe. Par dÃ©faut, une politique unique et globale est dÃ©finie pour tous les utilisateurs. Vous pouvez aussi crÃ©er une politique Ã appliquer Ã un groupe. Chaque utilisateur est l'objet d'une seule politique de mots de passe, par un groupe ou par la politique globale. Une politique de groupe remplace totalement la politique globale ; elle n'est pas la somme de la politique globale plus quelques paramÃ¨tres spÃ©cifiques. Chaque politique de groupe requiert un paramÃ¨tre de prioritÃ© unique. Si un utilisateur appartient Ã plusieurs groupes ayant des politiques diffÃ©rentes, la prioritÃ© sera utilisÃ©e afin de dÃ©terminer quelle politique appliquer. Une valeur infÃ©rieure indique une prioritÃ© supÃ©rieure pour la politique de mots de passe. Les politiques de mots de passe sont automatiquement supprimÃ©es lorsque les groupes auxquels elles sont associÃ©es sont supprimÃ©s. EXEMPLES : Modifier la politique globale : ipa pwpolicy-mod --minlength=10 Ajouter une nouvelle politique de groupe : ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Afficher la politique de mots de passe globale : ipa pwpolicy-show Afficher une politique de mots de passe de groupe : ipa pwpolicy-show localadmins Afficher la politique applicable Ã un utilisateur : ipa pwpolicy-show --user=tuser1 Modifier une politique de mots de passe de groupe : ipa pwpolicy-mod --minclasses=2 localadmins Permissions Une permission permet une dÃ©finition fine des dÃ©lÃ©gations de droits. Une permission est une forme lisible par un humain des rÃ¨gles ou instructions de contrÃ´le d'accÃ¨s (ACI) de 389-ds. Une permission accorde le droit d'effectuer une tÃ¢che spÃ©cifique comme la crÃ©ation d'un utilisateur, la modification d'un groupe, etc. Une permission ne peut contenir d'autres permissions. * Une permission accorde un droit en lecture, Ã©criture, ajout ou supression. * Un privilÃ¨ge combine des permissions similaires (par exemple toutes les permissions requises pour la crÃ©ation d'un utilisateur). * Un rÃ´le accorde un jeu de privilÃ¨ges Ã des utilisateurs, des groupes, des systÃ¨mes, ou Ã des groupes de systÃ¨mes. Une permission est constituÃ©s des Ã©lÃ©ments suivants : 1. Le nom de la permission. 2. La cible de la permission. 3. Les droits accordÃ©s par la permission. Les droits dÃ©finissent quelles opÃ©rations sont autorisÃ©es, et peuvent Ãªtre une ou plusieurs parmi : 1. write - Ã©crire un ou plusieurs attributs 2. read - lire un ou plusieurs attributs 3. add - ajouter une nouvelle entrÃ©e dans l'arbre 4. delete - supprimer une entrÃ©e existante 5. all - toutes les permissions sont accordÃ©es La permission read est accordÃ©e par dÃ©faut sur la plupart des attributs, elle ne sera donc utilisÃ©e que peu souvent. Notez la distinction entre attributs and entrÃ©es. Les permissions sont indÃ©pendantes, donc la capacitÃ© de crÃ©er un utilisateur ne signifie pas que l'utilisateur sera modifiable. Il existe plusieurs sortes de cibles autorisÃ©es dans une permission : 1. type: un type d'objet (user, group, etc.). 2. memberof: un membre d'un groupe ou d'un groupe de systÃ¨mes 3. filter: un filtre LDAP 4. subtree: un filtre LDAP spÃ©cifiant une branche du DIT LDAP. Ceci est un sur-ensemble de la cible 'type'. 5. targetgroup: accorde l'accÃ¨s permettant de modifier un groupe spÃ©cifique (comme le fait d'accorder les droits en modification des membres d'un groupe) EXEMPLES : Ajouter une permission accordant la crÃ©ation d'utilisateurs : ipa permission-add --type=user --permissions=add "Add Users" Ajouter une permission accordant la capacitÃ© de gÃ©rer les membres d'un groupe : ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Ping sur le serveur distant IPA afin de s'assurer qu'il est en marche. La commande ping envoie une requÃªte echo au serveur IPA. Le serveur renvoie ses informations de version. Ce mÃ©canisme est utilisÃ© par le client IPA pour confirmer que le serveur est disponible et en mesure d'accepter les requÃªtes. Le serveur spÃ©cifiÃ© en xmlrpc_uri dans /etc/ipa/default.conf est contactÃ© en premier. S'il ne rÃ©pond pas alors le client contactera tout autre serveur dÃ©fini dans les enregistrements SRV du DNS. EXEMPLES : Ping d'un serveur IPA : ipa ping ------------------------------------------ IPA server version 2.1.9. API version 2.20 ------------------------------------------ Ping verbeux d'un serveur IPA : ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml' ----------------------------------------------------- IPA server version 2.1.9. API version 2.20 ----------------------------------------------------- PrivilÃ¨ges Un privilÃ¨ge combine les permissions en tÃ¢ches logiques. Une permission fournit les droits de rÃ©aliser une tÃ¢che unique. Certaines opÃ©rations IPA requiÃ¨rent une combinaison de plusieurs permissions. Un privilÃ¨ge est la combinaison de ces permissions pour rÃ©aliser une tÃ¢che. Par example, la crÃ©ation d'utilisateur requiert les permissions suivantes : * CrÃ©ation d'une nouvelle entrÃ©e * RÃ©initialisation du mot de passe * Ajout du nouvel utilisateur au groupe d'utilisateurs par dÃ©faut de IPA La combinaison de ces trois tÃ¢ches de bas niveau en privilÃ¨ge nommÃ© "Add User" facilite la gestion des rÃ´les. Un privilÃ¨ge ne peut contenir d'autres privilÃ¨ges. Reportez-vous la gestion des rÃ´les et des permissions pour plus d'informations. RÃ´les Les rÃ´les sont utilisÃ©s pour les dÃ©lÃ©gations fines. Une permission accorde la capacitÃ© d'effectuer une tÃ¢che de bas niveau (ajouter un utilisateur, modifier un groupe, etc.). Un privilÃ¨ge combine une ou plusieurs permissions en une abstraction de plus haut niveau comme useradmin. Un administrateur d'utilisateur (useradmin) sera capable d'ajouter, modifier et supprimer des utilisateurs. Les privilÃ¨ges sont attribuÃ©s aux RÃ´les. Peuvent Ãªtre membres d'un rÃ´le des utilisateurs, des groupes, des systÃ¨mes et des groupes de systÃ¨mes. Les rÃ´les ne peuvent contenir d'autres rÃ´les. EXEMPLES : Ajouter un nouveau rÃ´le : ipa role-add --desc="Junior-level admin" junioradmin Ajouter des privilÃ¨ges Ã ce rÃ´le : ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Ajouter un groupe d'utilisateurs Ã ce rÃ´le : ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Afficher les informations sur un rÃ´le : ipa role-show junioradmin Le rÃ©sultat des commandes ci-dessus est que le groupe 'junioradmin' peut ajouter des utilisateurs, rÃ©initialiser des mots de passe, ou ajouter un utilisateur au groupe d'utilisateur par dÃ©faut de IPA. Permissions self-service Une permission permet la dÃ©lÃ©gation fine de permissions. Les rÃ¨gles ou instructions de contrÃ´le d'accÃ¨s (ACI) accorde la permission d'effectuer des tÃ¢ches spÃ©cifiques comme ajouter un utilisateur, modifier un groupe, etc. Une permission self-service dÃ©finit ce qu'un objet peut modifier dans sa propre entrÃ©e. EXEMPLES : Ajouter une rÃ¨gle self-service permettant aux utilisateurs de gÃ©rer leur adresse : ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address" Tous les attributs doivent Ãªtre mentionnÃ©s lors de l'utilisation de listes d'attributs, y compris ceux dÃ©jÃ existants. Ajouter telephoneNumber Ã la liste : ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address" Afficher la rÃ¨gle modifiÃ©e : ipa selfservice-show "Users manage their own address" Supprimer une rÃ¨gle : ipa selfservice-del "Users manage their own address" Configuration serveur Administrer les valeurs de configuration par dÃ©faut qu'utilise IPA ainsi que certains paramÃ¨tres. NOTES : La valeur pour le prÃ©avis d'expiration des mots de passe (--pwdexpnotify) est stockÃ©e ici afin de pouvoir Ãªtre rÃ©pliquÃ©e. Elle n'est pas encore utilisÃ©e pour la notification des utilisateurs avant l'expiration de leur mot de passe. Certains attributs sont en lecture seule, fournis Ã titre d'information, incluant : Base de sujet de certificat : la base configurÃ©e pour les sujets de certificat, par exemple O=EXAMPLE.COM, configurable uniquement lors de l'installation. FonctionnalitÃ©s du greffon de gestion des mots de passe : dÃ©fini actuellement les types de condensÃ©s additionnels qu'un mot de passe va gÃ©nÃ©rer (d'autres conditions peuvent s'appliquer). EXEMPLES : Afficher la configuration de base du serveur : ipa config-show Afficher toutes les options de configuration : ipa config-show --all Modifier la longueur maximale d'un nom d'utilisateur Ã 99 caractÃ¨res : ipa config-mod --maxusername=99 Augmenter les limites de temps et de taille pour les recherches sur le serveur IPA : ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 DÃ©finir le domaine par dÃ©faut pour les adresses courriel des utilisateurs : ipa config-mod --emaildomain=example.com Activer le mode migration pour rendre la commande "ipa migrate-ds" opÃ©rationelle : ipa config-mod --enable-migration=TRUE DÃ©finir l'ordre des utilisateurs SELinux pour les cartes : ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' DÃ©finir le mot de passe d'un utilisateur Si une personne autre que l'utilisateur change le mot de passe de cet utilisateur (par exemple en cas de rÃ©initialisation par les services d'assistance technique), le mot de passe devra Ãªtre modifiÃ© la premiÃ¨re fois qu'il sera utilisÃ©, afin que l'utilisateur soit le seul Ã connaÃ®tre son mot de passe. La politique de mot de passe de IPA contrÃ´le la frÃ©quence de changement des mots de passe, les prÃ©requis quant Ã leur rÃ©sistance, et la taille de l'historique des mots de passe. EXEMPLES : Modifier son mot de passe : ipa passwd Modifier le mot de passe d'un utilisateur : ipa passwd tuser1 Simuler l'utilisation des contrÃ´les d'accÃ¨s basÃ©s sur les systÃ¨mes Les rÃ¨gles HBAC contrÃ´lent qui peut accÃ©der Ã quel service et d'oÃ¹. Vous pouvez utiliser HBAC pour contrÃ´ler quelques utilisateurs et groupes peuvent accÃ©der Ã un service ou Ã un groupe de services, sur un systÃ¨me cible. Comme l'application des rÃ¨gles HBAC suppose l'utilisation d'un environnement de production, ce greffon vise Ã fournir une simulation de l'Ã©valuation des rÃ¨gles HBAC sans nÃ©cessiter l'accÃ¨s Ã l'environnement de production. Tester les rÃ¨gles activÃ©es existantes au regard de l'arrivÃ©e d'un utilisateur sur un service sur un systÃ¨me nommÃ©. ipa hbactest --user= --host= --service= [--rules=rules-list] [--nodetail] [--enabled] [--disabled] [--srchost= ] [--sizelimit= ] --user, --host, et --service sont obligatoires, les autres sont optionnelles. Si --rules est spÃ©cifiÃ©, simuler l'activation des rÃ¨gles spÃ©cifiÃ©es et tester l'identifiant de l'utilisateur uniquement sur ces rÃ¨gles. Si --enabled est spÃ©cifiÃ©, toutes les rÃ¨gles HBAC activÃ©es seront ajoutÃ©es Ã la simulation Si --disabled est spÃ©cifiÃ©, toutes les rÃ¨gles HBAC dÃ©sactivÃ©es seront ajoutÃ©es Ã la simulation Si --nodetail est spÃ©cifiÃ©, ne pas renvoyer d'information au sujet des rÃ¨gles en correspondance ou pas. Si --rules et --enabled sont spÃ©cifiÃ©s conjointement, appliquer la simulation Ã --rules _et_ Ã tous les rÃ¨gles IPA activÃ©es. Si --rules n'est pas spÃ©cifiÃ©, la simulation sera lancÃ©e avec toutes les rÃ¨gles IPA activÃ©es. Par dÃ©faut, il existe une limite globale Ã IPA sur le nombre d'entrÃ©es renvoyÃ©es, vous pouvez la modifier avec l'option --sizelimit. Si --srchost est spÃ©cifiÃ©, elle sera ignorÃ©e. Elle est conservÃ©e pour des raisons de compatibilitÃ© uniquement. EXEMPLES : 1. Utiliser toutes les rÃ¨gles HBAC activÃ©es dans IPA pour la simulation : $ ipa hbactest --user=a1a --host=bar --service=sshd -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 2. DÃ©sactiver le rÃ©sumÃ© dÃ©taillÃ© de la faÃ§on dont les rÃ¨gles sont appliquÃ©es : $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Access granted: True -------------------- 3. Tester explicitement les rÃ¨gles HBAC spÃ©cifiÃ©es : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: myrule 4. Utiliser toutes les rÃ¨gles HBAC de la base de donnÃ©es IPA database + les rÃ¨gles explicitement spÃ©cifiÃ©es : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --enabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 5. Tester toutes les rÃ¨gles HBAC dÃ©sactivÃ©es de la base de donnÃ©es IPA : $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Access granted: False --------------------- notmatched: new-rule 6. Tester toutes les rÃ¨gles HBAC dÃ©sactivÃ©es de la base de donnÃ©es IPA + les rÃ¨gles explicitement spÃ©cifiÃ©es : $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --disabled --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule 7. Tester toutes les rÃ¨gles HBAC (actives et inactives) de la base de donnÃ©es IPA : $ ipa hbactest --user=a1a --host=bar --service=sshd --enabled --disabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule notmatched: new-rule matched: allow_all Commandes sudo Commandes utilisÃ©es en tant que briques de base pour sudo EXEMPLES : Ajouter une nouvelle commande ipa sudocmd-add --desc='For reading log files' /usr/bin/less Supprimer une commande ipa sudocmd-del /usr/bin/less ParamÃ¨tres de l'objet ${entity} ${primary_key}${entity} ${primary_key} modifiÃ©${entity} ajoutÃ©e avec succÃ¨s${primary_key} est membre de :${primary_key} est gÃ©rÃ©e par :membres ${primary_key} :%(attr)s ne contient pas '%(value)s'%(attr)s : syntaxe invalide.%(attr)s : une seule valeur autorisÃ©e.%(count)d enregistrement %(type)s sautÃ©. Une seule valeur par enregistrement DNS peut Ãªtre modifiÃ©e Ã la fois.%(count)d enregistrements %(type)s sautÃ©s. Une seule valeur par enregistrement DNS peut Ãªtre modifiÃ©e Ã la fois.%(count)d ACI correspondantes%(count)d ACI correspondantes%(count)d rÃ¨gle HBAC correspondante%(count)d rÃ¨gles HBAC correspondantes%(count)d groupe de services HBAC correspondant%(count)d groupes de services HBAC correspondants%(count)d service HBAC correspondant%(count)d services HBAC correspondants%(count)d liste de correspondance d'utilisateurs SELinux correspondante%(count)d listes de correspondance d'utilisateurs SELinux correspondantes%(count)d groupe de commandes Sudo correspondant%(count)d groupes de commandes Sudo correspondants%(count)d commande Sudo correspondante%(count)d commandes Sudo correspondantes%(count)d rÃ¨gle Sudo correspondante%(count)d rÃ¨gles Sudo correspondantes%(count)d clÃ© d'automontage correspondante%(count)d clÃ©s d'automontage correspondantes%(count)d lieu d'automontage correspondants%(count)d lieux d'automontage correspondant%(count)d carte d'automontage correspondante%(count)d cartes d'automontage correspondantes%(count)d dÃ©lÃ©gation correspondante%(count)d dÃ©lÃ©gations correspondantes%(count)d groupe correspondant%(count)d groupes correspondants%(count)d systÃ¨me correspondant%(count)d systÃ¨mes correspondants%(count)d groupe de systÃ¨mes correspondant%(count)d groupes de systÃ¨mes correspondants%(count)d netgroup correspondant%(count)d netgroups correspondants%(count)d permission correspondante%(count)d permissions correspondantes%(count)d greffon chargÃ©%(count)d greffons chargÃ©s%(count)d privilÃ¨ge correspondant%(count)d privilÃ¨ges correspondants%(count)d plage correspondante%(count)d plages correspondantes%(count)d rÃ´le correspondant%(count)d rÃ´les correspondants%(count)d rÃ¨gle correspondante%(count)d rÃ¨gles correspondantes%(count)d permission self-service correspondante%(count)d permissions self-service correspondantes%(count)d service correspondant%(count)d services correspondants%(count)d utilisateur correspondant%(count)d utilisateurs correspondants%(count)d variablesVersion de client %(cver)s incompatible avec la version %(sver)s du serveur %(server)r%(desc)s : %(info)s%(info)s%(key)s ne peut Ãªtre supprimÃ© car %(label)s %(dependent)s en dÃ©pendent%(key)s ne peut Ãªtre supprimÃ© ou dÃ©sactivÃ© Ã©tant le dernier membre de l'objet %(container)s %(label)s%(name)r est requisL'attribut par dÃ©faut %(attr)s de %(obj)s ne serait pas autorisÃ© !%(oname)s avec le nom "%(pkey)s" existe dÃ©jÃ %(parent)s: %(oname)s introuvable%(pkey)s: %(oname)s introuvable%(port)s n'est pas un port valide%(reason)s%(user)s n'est pas un utilisateur POSIXEnregistrement %s%s n'est pas un attribut valide.enregistrement %s'%(entry)s' ne possÃ¨de pas de certificat.'%(required)s' ne doit pas Ãªtre vide lorsque '%(name)s' est dÃ©fini'%s' est une partie requise d'un enregistrement DNS(cf. RFC %s pour plus de dÃ©tails). VÃ©rifier le GID du groupe existant. Utiliser l'option --group-overwrite-gid pour rÃ©Ã©crire le GID7 n'est pas une raison de rÃ©vocation valideUne liste sÃ©parÃ©e par des virgules des champs Ã fouiller lors d'une recherche de groupesUne liste sÃ©parÃ©e par des virgules des champs Ã fouiller lors d'une recherche d'utilisateursUne description de cette rÃ¨gle d'auto-adhÃ©sionDescription de la commandeDescription de ce systÃ¨meDescription de ce groupe de systÃ¨mesDescription de ce rÃ´leUn dictionnaire reprÃ©sente une entrÃ©e LDAPUn groupe ne peut Ãªtre membre de lui-mÃªmeUn groupe ne peut Ãªtre ajoutÃ© comme membre de lui-mÃªmeUn systÃ¨me prÃªt Ã jouer le rÃ´le d'Ã©changeur de clÃ©Un systÃ¨me dÃ©sirant agir comme Ã©changeur de messagerieUn nom de systÃ¨me vers lequel cet alias pointeUne liste de valeurs d'ACIUne liste d'entrÃ©es LDAPUne liste de transmetteurs globaux. Un port particulier peut Ãªtre spÃ©cifiÃ© pour chaque transmetteur en utilisant le format Â« ADRESSE_IP port PORT Â»Une liste de transmetteurs de zone. Un port personnalisÃ© peut Ãªtre spÃ©cifiÃ© pour chaque transmetteur en utilisant le format Â« ADRESSE_IP port PORT Â»Un groupe gÃ©rÃ© ne peut avoir de politique de mot de passe.Un problÃ¨me est survenu lors de la vÃ©rification que tous les membres Ã©taient des %(verb)s: %(exc)sUne chaÃ®ne de caractÃ¨re recherchÃ©es dans tous les attributs d'objets pertinentsAutoritÃ© d'attribut compromiseACINom d'ACIPrÃ©fixe ACIUn prÃ©fixe ACI est requisACI nommÃ©e "%s" introuvableACIConfiguration des relations d'approbations avec ADContrÃ´leur de domaine ADAccÃ¨s interditAccÃ¨s autorisÃ©AccÃ¨s autorisÃ© : %sAccÃ¨de ce systÃ¨meHoraire d'accÃ¨sAccÃ©dant Ã CompteParamÃ¨tres de compteÃ‰tat du compteCompte dÃ©sactivÃ©Compte dÃ©sactivÃ© : %(disabled)sActionsDomaine Active DirectoryAdministrateur du domaine Active DirectoryPlage pour le domaine Active DirectoryZone activeAjouterAjouter ${entity}Ajouter ${entity} ${primary_key} Ã ${other_entity}Ajouter ${other_entity} gÃ©rant ${entity} ${primary_key}Ajouter un objet ${other_entity} Ã l'objet ${entity} ${primary_key}Ajouter Allow ${other_entity} Ã ${entity} ${primary_key}Ajouter une condition Ã ${pkey}Ajouter Deny ${other_entity} Ã ${entity} ${primary_key}Ajouter plusieursAjouter une permissionAjouter une rÃ¨gleAjouter RunAs ${other_entity} Ã ${entity} ${primary_key}Ajouter RunAs Groups Ã ${entity} ${primary_key}Ajouter Source ${other_entity} Ã ${entity} ${primary_key}Ajouter un nouveau groupe de services HBAC.Ajouter un nouveau service HBAC.Ajouter un nouveau service IPA.Ajouter une nouvelle dÃ©lÃ©gation.Ajouter une nouvelle politique de mot de passe.Ajouter un nouveau systÃ¨me.Ajouter un nouveau groupe de systÃ¨mes.Ajouter un nouveau netgroup.Ajouter une nouvelle permission.Ajouter un nouveau privilÃ¨ge.Ajouter un nouveau rÃ´le.Ajouter une nouvelle permission self-service.Ajouter un nouvel utilisateur.Ajouter une permission pour la dÃ©lÃ©gation par zone.Ajouter une permission systÃ¨me sans ACIAjouter une paire attribut/valeur. Format : attr=valeur. Les attributs doivent faire partie du schÃ©ma.Ajouter une option Ã la rÃ¨gle Sudo.Ajouter, puis ajouter un nouveauAjouter et fermerAjouter et modifierAjouter des commandes et groupes de commandes sudo affectÃ©s par la rÃ¨gle Sudo.Ajouter un groupe pour que sudo exÃ©cute en tant que.Ajouter des systÃ¨mes et groupes de systÃ¨mes affectÃ©s par la rÃ¨gle Sudo.Ajouter les systÃ¨mes qui peuvent gÃ©rer ce systÃ¨me.Ajouter des sytÃ¨mes pouvant administrer ce service.Ajouter des membres Ã un groupe de commandes Sudo.Ajouter des membres Ã un groupe.Ajouter des membres Ã un groupe de systÃ¨mes.Ajouter des membres Ã un netgroup.Ajouter des membres Ã un privilÃ¨ge.Ajouter des membres Ã un rÃ´le.Ajouter des membres Ã un groupe de services HBAC.Ajouter un nouvel enregistrement de ressources DNS.Ajouter une nouvelle relation d'approbation Ã utiliserAjouter des permissions Ã un privilÃ¨ge.Ajouter des privilÃ¨ges Ã un rÃ´le.Ajouter des services Ã une rÃ¨gle HBAC.Ajouter des systÃ¨mes et groupes de systÃ¨mes sources Ã une rÃ¨gle HBAC.Ajouter des systÃ¨mes et groupes de systÃ¨mes cibles Ã une rÃ¨gle HBAC.Ajouter des systÃ¨mes et groupes de systÃ¨mes cibles Ã une rÃ¨gle de correspondance d'utilisateurs SELinuxAjouter le systÃ¨me aux DNS avec cette adresse IPAjouter le serveur de nom avec cette adresse IPAjouter des utilisateurs et groupes affectÃ©s par la rÃ¨gle Sudo.Ajouter des utilisateurs et groupes pour que sudo exÃ©cute en tant que.Ajouter des utilisateurs et groupes Ã une rÃ¨gle HBAC.Ajouter des utilisateurs et groupes Ã une rÃ¨gle de correspondance d'utilisateurs SELinuxRÃ¨gle HBAC "%(value)s" ajoutÃ©eService HBAC "%(value)s" ajoutÃ©Groupe de services HBAC "%(value)s" ajoutÃ©Plage d'ID Â« %(value)s Â» ajoutÃ©eListe de correspondance d'utilisateurs SELinux "%(value)s" ajoutÃ©eCommande Sudo "%(value)s" ajoutÃ©eGroupe de commandes Sudo "%(value)s" ajoutÃ©RÃ¨gle Sudo "%(value)s" ajoutÃ©eRÃ¨gle d'auto-adhÃ©sion "%(value)s" ajoutÃ©eCarte d'automontage indirect "%(value)s" crÃ©Ã©eClÃ© d'automontage "%(value)s" crÃ©Ã©eLieu d'automontage "%(value)s" ajoutÃ©Carte d'automontage "%(value)s" ajoutÃ©eCondition(s) ajoutÃ©es Ã "%(value)s"DÃ©lÃ©gation "%(value)s" ajoutÃ©eGroupe "%(value)s" crÃ©Ã©SystÃ¨me "%(value)s" ajoutÃ©Groupe de systÃ¨mes "%(value)s" ajoutÃ©Netgroup "%(value)s" ajoutÃ©Option "%(option)s" ajoutÃ©e Ã la rÃ¨gle Sudo "%(rule)s"Permission "%(value)s" ajoutÃ©ePrivilÃ¨ge "%(value)s" ajoutÃ©RÃ´le "%(value)s" ajoutÃ©Permission self-service "%(value)s" ajoutÃ©eService "%(value)s" ajoutÃ©Permission systÃ¨me Â« %(value)s Â» ajoutÃ©eUtilisateur "%(value)s" ajoutÃ©Adresse invalide, impossible de redirigerCompte administrateurAdresse courriel de l'administrateurL'affiliation a changÃ©AlgorithmeToutes les commandes doivent avoir au moins un rÃ©sultatAutoriserAutoriser la synchronisation PTRAutoriser l'ajout de membres externes non-IPA depuis les domaines approuvÃ©sAutorise les mises Ã jour dynamiques.Autoriser requÃªteAutoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR)Autoriser la synchronisation des enregistrements directs (A, AAAA) et inverses (PTR) dans la zoneAutoriser le transfertAutoriser les migrations malgrÃ© l'utilisation du greffon compatDÃ©jÃ enregistrÃ©AltitudeUn serveur maÃ®tre IPA ne peut Ãªtre supprimÃ© ni dÃ©sactivÃ©Intervalle entre deux sondages rÃ©guliers du serveur de noms pour les nouvelles zonesToute commandeTout groupeN'importe quel systÃ¨meN'importe quel serviceN'importe quiAppliquerAppliquer l'ACI Ã votre propre entrÃ©e (self)ÃŠtes-vous sÃ»r de vouloir ${action} l'utilisateur ?
Le changement prendra effet immÃ©diatement.ÃŠtes-vous sÃ»r de vouloir supprimer ${object} ?ÃŠtes-vous sÃ»r de vouloir supprimer les entrÃ©es sÃ©lectionnÃ©es ?ÃŠtes-vous sÃ»r de vouloir dÃ©sactiver ${object} ?ÃŠtes-vous sÃ»r de vouloir activer ${object} ?ÃŠtes-vous sÃ»r de vouloir procÃ©der Ã cette action ?ÃŠtes-vous sÃ»r de vouloir dÃ©commissionner ce systÃ¨me ?ÃŠtes-vous sÃ»r de vouloir dÃ©commissionner ce service ?En tant queDemande un mot de passe non alÃ©atoire Ã utiliser pour le principalAttributClÃ© d'attributAttribut Ã filtrer via l'expression rationnelle. Par exemple fqdn pour un systÃ¨me, ou manager pour un utilisateurAttributsAuditServeur de nom faisant autoritÃ©Nom de domaine du serveur de nom faisant autoritÃ©RÃ¨gle d'auto-adhÃ©sionL'auto-adhÃ©sion n'est pas configurÃ©eRÃ¨gle d'auto-adhÃ©sion : %s introuvable !Membre automatiqueRÃ¨gle d'auto-adhÃ©sionAutomontageClÃ© d'automontageClÃ©s d'automontageLieu d'automontageDÃ©tail d'un lieu d'automontageLieux d'automontageCarte d'automontageCartes d'automontageNom de clÃ© d'automontage.Objet clÃ© d'automontage.Nom de lieu automount.Nom de carte d'automontage.Fichier maÃ®tre automountDisponiblePolitique de mise Ã jour BINDRetourHaut de pageMauvais format de cache de crÃ©ditFiltre de recherche invalide %(info)sID de baseBase pour les sujets de certificat (OU=Test,O=Example)Certificat du serveur encodÃ© en Base-64Ã‰chec de dÃ©codage base64 : %(reason)sDN de connexionÃ‰chec de bind : %s Mot de passe de connexion requis lors de l'utilisation d'un DN de connexion. Commandes intÃ©grÃ©es :AC compromiseL'enregistrement CNAME ne peut coexister avec aucun autre hormis PTRCSRAnnulerImpossible de crÃ©er l'enregistrement inverse pour Â« %(value)s Â» : %(exc)sImpossible de trouver le KDC pour le domaine demandÃ©Carte d'identitÃ©CertificatCertificat bloquÃ©Certificat rÃ©voquÃ©Base du sujet de certificatType de certificatCertificat pour l'objet ${entity} ${primary_key}Erreur de format de certificate : %(error)sL'opÃ©ration sur le certification ne peut Ãªtre effectuÃ©e : %(error)sCertificat demandÃ©Certificat restaurÃ©Certificat enregistrÃ© dans le fichier '%(file)s'Le sujet de base du certificat est : %s Certificat/CRLCertificatsCessation d'activitÃ©Transformer en groupe POSIXTransformer en groupe externeMot de passe modifiÃ© for "%(value)s"Classes de caractÃ¨resVÃ©rifier l'Ã©tat d'une demande de signature de certificat.VÃ©rification de l'existence de l'enregistrement.VilleClasseCliquer pour ${action}.Le client n'est pas configurÃ©. Lancer la commande ipa-client-install.Version du client. UtilisÃ©e pour dÃ©terminer si le serveur acceptera la requÃªte.FermerLa fermeture du keytab a Ã©chouÃ© Tout replierListe sÃ©parÃ©e par des virgules des types de chiffrementListe sÃ©parÃ©e par des virgules d'attributsListe sÃ©parÃ©e par des virgules des attributs Ã ignorer dans les entrÃ©es de groupe du DSListe sÃ©parÃ©e par des virgules d'attributs Ã ignorer dans les entrÃ©es utilisateurs dans DSListe sÃ©parÃ©e par des virgules des classes d'objets Ã ignorer pour les entrÃ©es de groupe du DSListe sÃ©parÃ©e par des virgules de classes d'objets Ã ignorer dans les entrÃ©es utilisateurs dans DSListe sÃ©parÃ©e par des virgules des classes d'objet Ã utiliser pour la recherche d'entrÃ©es groupes dans l'annuaireListe sÃ©parÃ©e par des virgules des classes d'objet Ã utiliser pour la recherche d'entrÃ©es utilisateurs dans l'annuaireListe sÃ©parÃ©e par des virgules des permissions Ã accorder (read, write). La valeur par dÃ©faut est write.Liste sÃ©parÃ©e par des virgules des permissions Ã accorder (read, write, add, delete, all)Liste sÃ©parÃ©e par des virgules d'enregistrements %s brutsCatÃ©gorie de commandeCatÃ©gorie de commande Ã laquelle la rÃ¨gle s'appliqueNom de commandeCommande non dÃ©veloppÃ©eCommandesCommandes pour le contrÃ´le d'une configuration sudoNom usuelConditions n'ayant pu Ãªtre ajoutÃ©esConditions n'ayant pu Ãªtre supprimÃ©esConfigurationConfirmationÃ‰chec consÃ©cutif avant verrouillageConsommeConsommer un droitConsommer un droit.UtilisÃ©%(value)s droits(s) consommÃ©(s).ParamÃ¨tres de contactContacter ce serveur KDC spÃ©cifiqueContinuerMode continu : pas d'arrÃªt sur erreurs.Mode continu. Les erreurs sont rapportÃ©es mais le processus continueMode opÃ©ration continue. Les erreurs seront rapportÃ©es mais le processus continuera.Impossible d'obtenir %(name)s de faÃ§on interactiveCrÃ©er une nouvelle rÃ¨gle HBAC.CrÃ©er une nouvelle liste de correspondance d'utilisateurs SELinuxCrÃ©er une nouvelle clÃ© d'automontage.CrÃ©er un nouveau lieu d'automontageCrÃ©er une nouvelle carte d'automontage.CrÃ©er un nouveau groupe.CrÃ©er un nouveau point de montage indirect.CrÃ©er en tant que groupe non-POSIXCrÃ©er un enregistrement DNSCrÃ©er une nouvelle zone DNS (enregistrement SOA).CrÃ©er un nouveau groupe de commandes Sudo.CrÃ©er une nouvelle commande Sudo.CrÃ©er une nouvelle rÃ¨gle Sudo.CrÃ©er enregistrement inverseCrÃ©er l'enregistrement inverse pour cette adresse IPACI crÃ©Ã©e "%(value)s"CrÃ©ation de l'enregistrement.Permissions du cache de crÃ©dit incorrectesContenu actuel de l'enregistrement DNS : Mot de passe actuelLe mot de passe actuel est requisDN Ã utiliser pour la connexion en cas de non-utilisation de kerberosDNSConfiguration DNS globaleLe type DNS RR "%s" n'est pas pris en compte par le greffon bind-dyndb-ldapEnregistrement de ressources DNSEnregistrements de ressources DNSZone DNSParamÃ¨tres de zone DNSZones DNSClasse DNSOptions de configuration DNSLe DNS n'est pas configurÃ©L'enregistrement DNS a Ã©tÃ© supprimÃ© car videLes enregistrements DNS ne peuvent Ãªtre modifiÃ©s qu'un seul Ã la foisEnregistrement de ressource DNSType de ressource d'enregistrement DNSEnregistrements de ressources DNSZone DNS inverse introuvable pour l'adresse IP %(addr)sZone DNSZone DNS %(zone)s introuvableL'enregistrement racine de la zone DNS ne peut Ãªtre renommÃ©Zones DNSDonnÃ©esSortie de dÃ©bogageGroupe par dÃ©faut (de repli)Groupe par dÃ©faut (de repli) oÃ¹ les entrÃ©es seront visiblesUtilisateur SELinux par dÃ©fautUtilisateur SELinux par dÃ©faut quand il n'y a aucune correspondance dans la rÃ¨gle de carte SELinuxDomaine par dÃ©faut pour les adresses courrielGroupe par dÃ©faut pour les nouvelles entrÃ©esGroupe utilisateur par dÃ©faut pour les nouveaux utilisateursGroupe par dÃ©faut pour les nouveaux utilisateurs introuvableClasses d'objets par dÃ©faut pour les groupesClasses d'objets par dÃ©faut pour les groupes (liste sÃ©parÃ©e par des virgules)Groupe de systÃ¨me par dÃ©fautEmplacement par dÃ©faut des rÃ©pertoires utilisateurShell par dÃ©fautInterprÃ©teur de commande par dÃ©faut pour les nouveaux utilisateursGroupe d'utilisateur par dÃ©fautClasses d'objets par dÃ©faut pour les utilisateursClasses d'objets par dÃ©faut pour les utilisateurs (liste sÃ©parÃ©e par des virgules)Groupe utilisateur par dÃ©fautDegrÃ©s latitudeDegrÃ©s de LongitudeDÃ©lÃ©gationNom de la dÃ©lÃ©gationDÃ©lÃ©gationsSupprimerSupprimer '%(value)s' pour %(name)s ?Supprimer un enregistrement de ressources DNS.Supprimer la zone DNS (enregistrement SOA).Supprimer la clÃ©, dÃ©commissionnerSupprimer un groupe de commandes Sudo.Supprimer une commande Sudo.RÃ¨gle Sudo supprimÃ©e.Supprimer une liste de correspondance d'utilisateurs SELinuxSupprimer une dÃ©lÃ©gation.Supprimer une politique de mot de passe.Supprimer un systÃ¨me.Supprimer un groupe de systÃ¨mes.Supprimer un netgroup.Supprimer une permission.Supprimer un privilÃ¨geSupprimer un rÃ´leSupprimer une permission self-service.Supprimer un utilisateur.Supprimer les enregistrements associÃ©sTout supprimer ?Supprimer une rÃ¨gle HBAC.Supprimer un groupe de services HBAC.Supprimer une plage d'ID..Supprimer un service IPA.Supprimer une paire attribut/valeur. L'option sera Ã©valuÃ©e en dernier, aprÃ¨s les modifications et ajouts.Supprimer une clÃ© d'automontage.Supprimer un lieu d'automontage.Supprimer une carte d'automontage.Supprimer un service HBAC existant.Supprimer un groupe.Deleted ACI "%(value)s"RÃ¨gle HBAC "%(value)s" supprimÃ©eService HBAC "%(value)s" supprimÃ©Groupe de services HBAC "%(value)s" supprimÃ©Plage d'ID Â« %(value)s Â» supprimÃ©eListe de correspondance d'utilisateurs SELinux "%(value)s" supprimÃ©e.Commande Sudo "%(value)s" supprimÃ©eGroupe de commandes Sudo "%(value)s" supprimÃ©RÃ¨gle Sudo "%(value)s" supprimÃ©eRÃ¨gle d'auto-adhÃ©sion "%(value)s" supprimÃ©eClÃ© d'automontage "%(value)s" supprimÃ©eLieu d'automontage "%(value)s" supprimÃ©Carte d'automontage "%(value)s" supprimÃ©eDÃ©lÃ©gation "%(value)s" supprimÃ©eGroupe "%(value)s" supprimÃ©SystÃ¨me "%(value)s" supprimÃ©Groupe de systÃ¨mes "%(value)s" supprimÃ©Netgroup "%(value)s" supprimÃ©Permission "%(value)s" supprimÃ©ePrivilÃ¨ge "%(value)s" supprimÃ©Enregistrement "%(value)s" supprimÃ©RÃ´le "%(value)s" supprimÃ©Permission selfservice "%(value)s" supprimÃ©eService "%(value)s" supprimÃ©Utilisateur "%(value)s" supprimÃ©La suppression d'un groupe gÃ©rÃ© est interdite. Il doit d'abord Ãªtre dÃ©tachÃ©.InterdireDescriptionDÃ©tacher un groupe administrÃ© d'un utilisateur.Groupe "%(value)s" dÃ©tachÃ© de l'utilisateur "%(value)s"Dictionnaire de messages I18NDictionnaire de commande IPA encodÃ©es en JSONDictionnaire de mÃ©thode IPA encodÃ©es JSONDictionnaire d'objets IPA encodÃ©s JSONNom de variable de correspondance de la valeurCondensÃ©Type de condensÃ©DirectAppartenance directeDirection latitudeDirection de LongitudeDÃ©sactiverDÃ©sactiver la zone DNS.DÃ©sactiver une rÃ¨gle Sudo.DÃ©sactiver un compte utilisateur.DÃ©sactiver une rÃ¨gle HBAC.DÃ©sactiver une rÃ¨gle de correspondance d'utilisateurs SELinuxDÃ©sactiver la clÃ© Kerberos et le certificat SSL d'un service.DÃ©sactiver la clÃ© Kerberos, les certificats SSL et tous les services d'un systÃ¨me.DÃ©sactivÃ©Zone DNS "%(value)s" dÃ©sactivÃ©eRÃ¨gle HBAC "%(value)s" dÃ©sactivÃ©eRÃ¨gle de correspondance d'utilisateurs SELinux "%(value)s" dÃ©sactivÃ©eRÃ¨gle Sudo "%s" dÃ©sactivÃ©eSystÃ¨me "%(value)s" dÃ©sactivÃ©Service "%(value)s" dÃ©sactivÃ©Compte utilisateur "%(value)s" dÃ©sactivÃ©Afficher un enregistrement de ressources DNS.Afficher un groupe de commandes Sudo.Afficher une commande Sudo.Afficher une rÃ¨gle Sudo.Afficher une clÃ© d'automontage.Afficher un lieu d'automontage.Afficher une carte d'automontage.Afficher les droits actuels.Afficher la politique effective sur un utilisateur spÃ©cifiqueAfficher les informations au sujet d'une zone DNS (enregistrement SOA).Afficher les informations sur une dÃ©lÃ©gation.Afficher les informations sur un systÃ¨me.Afficher les informations sur un groupe de systÃ¨mes.Afficher les informations d'un groupe nommÃ©.Afficher l'information sur un netgroup.Afficher les informations sur une permission.Afficher les informations sur un privilÃ¨ge.Afficher les informations sur une plage.Afficher les informations sur un rÃ´le.Afficher les informations sur une permission self-service.Afficher l'information sur un utilisateur.Afficher les informations sur un groupe de services HBAC.Afficher les informations sur un service HBAC.Afficher les informations sur un service IPA.Afficher les informations sur une politique de mot de passe.Nom affichÃ©Affiche les droits d'accÃ¨s sur cette entrÃ©e (requiert --all). Cf. la page de manuel de ipa pour plus d'informations.Afficher la politique de ticket Kerberos.Afficher les propriÃ©tÃ©s d'une rÃ¨gle de correspondance d'utilisateurs SELinuxAfficher les propriÃ©tÃ©s d'une rÃ¨gle HBAC.Afficher l'enregistrement utilisateur pour le principal Kerberos actuelDomaineSID du domaineSID du domaine Ã approuverNe pas crÃ©er de groupe privÃ©TÃ©lÃ©chargerTÃ©lÃ©charger le certificatMise Ã jour dynamiqueModifierModifier ${entity}Adresse courrielInformations employÃ©ActiverActiver la zone DNS.Activer une rÃ¨gle Sudo.Activer un compte utilisateur.Activer une rÃ¨gle HBAC.Activer une rÃ¨gle de correspondance d'utilisateurs SELinuxActiver le mode migrationActive ou dÃ©sactive le pkinit anonymeActivÃ©eZone DNS "%(value)s" activÃ©eRÃ¨gle HBAC "%(value)s" activÃ©eRÃ¨gle de correspondance d'utilisateurs SELinux "%(value)s" activÃ©eRÃ¨gle Sudo "%s" activÃ©eCompte utilisateur "%(value)s" activÃ©Type de chiffrement Ã demanderÃ‰chec de comparaison enctype ! FinEnregistrÃ©InscriptionUUID d'enregistrementUUID d'enregistrement (pas encore dÃ©veloppÃ©)Ã‰chec de l'enregistrement. %s Entrer Ã nouveau %(label)s pour validation : Entrer le certificat encodÃ© en Base64 ci-dessous :DroitDroit(s) synchronisÃ©(s).Droits d'utilisationEntrÃ©eErreurErreur lors du changement d'Ã©tat du compteErreur lors de l'obtention du domaine Kerberos par dÃ©faut : %s. Impossible d'obtenir les crÃ©dits initiaux : %s. Erreur Ã la rÃ©solution du keytab : %s. Erreur lors du stockage des crÃ©dits dans le cache : %s. Ã‰changeurExclusRegex exclusiveTout dÃ©plierExpire leExpressionExterneGroupe externe en tant que lequel les commandes sont lancÃ©es (sudorule-find uniquement)Utilisateur externeUtilisateur externe en tant que lequel les commandes sont lancÃ©es (sudorule-find uniquement)Utilisateur externe auquel la rÃ¨gle s'applique (sudorule-find uniquement)SystÃ¨me externeMember externeHachages supplÃ©mentaires Ã gÃ©nÃ©rer dans le greffon de gestion des mots de passeÃ‰chec de RunAsÃ‰chec de RunAsGroupSystÃ¨mes et groupes de systÃ¨me en Ã©checmanagedby en Ã©checMembres en Ã©checServices et groupes de service en Ã©checSystÃ¨mes/groupes de systÃ¨mes sources en Ã©checÃ‰chec lors de l'ajoutÃ‰chec lors de l'ajout de la clÃ© au keytab Ã‰chec Ã l'ajout de l'utlisateur dans le groupe par dÃ©faut. Utiliser la commande 'ipa group-add-member' pour l'ajouter manuellement.Ã‰chec Ã la fermeture du keytab Ã‰chec Ã la crÃ©ation du contrÃ´le ! Ã‰chec de crÃ©ation du contenu de la clÃ© Ã‰chec Ã la crÃ©ation de la clÃ© ! Ã‰chec Ã la crÃ©ation de la clÃ© alÃ©atoire ! Ã‰chec Ã l'ouverture du keytab Impossible d'ouvrir le keytab Ã‰chec Ã la suppressionUtilisateurs et groupes en Ã©checÃ‰chec dans le dÃ©codage du Certificate Signing RequestÃ‰chec dans le dÃ©codage du Certificate Signing Request :Ã‰chec dans le dÃ©codage du Certificate Signing Request : %sIntervalle de rÃ©initialisation sur Ã©checFauxFaux si le mode de migration est dÃ©sactivÃ©.NumÃ©ro de faxRÃ©cupÃ©ration des zones DNS.Fichiers %(file)s introuvableFichier dans lequel stocker le certificat.Fichier dans lequel stocker l'information de keytabFiltreRechercherEmpreinteEmpreinte (MD5)Empreinte (SHA1)Type d'empreinteCondensÃ©sPremier ID POSIX de la plagePremier RID dans la plage de RID correspondantePremier RID dans la plage de RID secondairePrÃ©nomDrapeauxForcerForcer la crÃ©ation de la zone DNS zone mÃªme si le serveur de nom n'est pas dans le DNS.Forward firstForward onlyPolitique de transmissionTransfÃ©rer au serveur au lieu d'exÃ©cuter localementZones forward uniquement'%(value)s' trouvÃ©.DepuisNom completNom de systÃ¨me pleinement qualifiÃ©Champ GECOSGIDGID (utiliser cette option pour le positionner manuellement)GÃ©nÃ©ralCrÃ©e un mot de passe alÃ©atoire utilisÃ© pour l'inscription en masseCrÃ©er un mot de passe alÃ©atoireCrÃ©er les fichiers d'automontage pour un lieu spÃ©cifique.ObtenirLa configuration globale DNS est videTransmetteurs globauxAccord en cours des privilÃ¨gues aux rÃ´lesGroupeLe groupe '%s' n'existe pasNumÃ©ro d'identifiant de groupeOptions de groupeParamÃ¨tres de groupeType de groupeConteneur de groupesDescription du groupeNom du groupeClasses d'objets groupesGroupe sur lequel appliquer l'ACIGroupe : %s introuvable !Type de groupeType de groupe auquel la rÃ¨gle s'appliqueGroupesGroupe de RunAs UsersRÃ¨gle HBACRÃ¨gles HBAC dÃ©finissant les utilisateurs, les groupes et les groupes de systÃ¨mesRÃ¨gles HBACService HBACGroupe de services HBACGroupes de services HBACServices HBACTest HBACRÃ¨gle HBACRÃ¨gle HBAC %(rule)s introuvableLes rÃ¨gles HBAC et les membres locaux ne peuvent Ãªtre dÃ©finis simultanÃ©mentRÃ¨gles HBACService HBACDescription de service HBACGroupe de services HBACDescription de groupe de services HBACGroupes de services HBACServices HBACErreur HTTPAdresse(s) MAC du matÃ©riel sur ce serveurPlate-forme matÃ©rielle du systÃ¨me (par ex. Lenovo T61)Sous-thÃ¨mes de l'aide :ThÃ¨mes de l'aide :Cacher les dÃ©tailsMasquer les dÃ©tails des rÃ¨gles correspondantes ou non, ou invalidesTaille de l'historiqueRÃ©pertoire utilisateurBase de rÃ©pertoire utilisateurPrÃ©cision horizontaleSystÃ¨meSystÃ¨me '%(host)s' introuvableContrÃ´lÃ© d'accÃ¨s basÃ© sur les systÃ¨mes (HBAC)Certificat de systÃ¨meGroupe de systÃ¨mesParamÃ¨tres du groupe de systÃ¨mesGroupes de systÃ¨mesNom de systÃ¨meParamÃ¨tres de systÃ¨meCommandes HBAC.CatÃ©gorie de systÃ¨meCatÃ©gorie de systÃ¨me sur laquelle la rÃ¨gle s'appliqueUn systÃ¨me doit avoir un enregistrement DNS A correspondantRÃ¨gle de groupes de systÃ¨mesRÃ¨gles de groupes de systÃ¨mesPlate-forme matÃ©rielle du systÃ¨me (par ex. "Lenovo T61")SystÃ¨me dÃ©jÃ inscrit. Ville du systÃ¨me (par ex. "Paris, IDF")Localisation du systÃ¨me (par ex. "Lab 2")Nom de systÃ¨meSystÃ¨me d'exploitation et version (par ex. "Fedora 9")Commandes de contrÃ´le d'accÃ¨s des systÃ¨mesGroupe de systÃ¨mesNom de systÃ¨meNom de systÃ¨me de ce serveurSystÃ¨mesDurÃ©e de maintien en cache des rÃ©ponses nÃ©gativesPlage d'IDPlages d'IDAdresse IPL'adresse IP %(ip)s est dÃ©jÃ assignÃ©e au domaine %(domain)s.RÃ©seau IP Ã partir duquel crÃ©er une zone inverseErreur IPAServeur IPAServeur IPA Ã utilisernamingContext IPA introuvable ID unique IPAIdentitÃ©ParamÃ¨tres d'identitÃ©Si le problÃ¨me persiste, merci de contacter l'administrateur du systÃ¨me.Ignorer l'attribut groupeIgnorer les classes d'objet des groupesIgnorer des attributs d'un utilisateurIgnorer une classe d'objet de l'utilisateurImporterImporter le certificatImporter un certificat de droits.Importer les fichiers d'automontage pour un lieu spÃ©cifique.Inclusion dÃ©sactivÃ©eInclusion activÃ©eInclure toutes les rÃ¨gles IPA inactives dans le testInclure toutes les rÃ¨gles IPA actives dans le test [par dÃ©faut]InclusRegex inclusiveMot de passe incorrect. IndirectService HBAC membre indirectGroupe de services membre indirectGroupes membres indirectsGroupes de systÃ¨mes membres indirectSystÃ¨mes membres indirectsNetgroups membres indirectsMembres indirect des rÃ´lesPermission membre indirectUtilisateurs membres indirectsAppartenance indirecteInitialesLe formulaire de saisie comporte des valeurs invalides ou manquantes.PrivilÃ¨ges en Ã©criture insuffisants sur l'attribut Â« userCertificate Â» de l'entrÃ©e Â« %s Â».AccÃ¨s insuffisant : %(info)sPrivilÃ¨ges insuffisants pour crÃ©er un certificat avec le nom de sujet alternatif Â« %s Â».Erreur interneRequÃªte JSON-RPC invalide : %(error)sURI LDAP invalide.Valeur pour MLS invalide, doit correspondre Ã c[0-1023].c[0-1023] et/ou c[0-1023]-c[0-c0123]Valeur pour MLS invalide, doit correspondre Ã s[0-15](-s[0-15])Nom d'utilisateur SELinux invalide, seuls a-Z et _ sont autorisÃ©sNom de principal de service invalide DonnÃ©es d'authentification invalidesFormat invalide. Doit Ãªtre nom=valeurNombre de parties invalide !Type invalide ou non pris en compte. Les valeurs autorisÃ©es sont : %sLa zone est-elle active ?Ã‰mettreÃ‰mettre un nouveau certificat pour l'objet ${entity} ${primary_key}Ã‰mis parÃ‰mis leÃ‰mis pourÃ‰metteurL'Ã‰metteur "%(issuer)s" ne correspond pas Ã l'Ã©metteur attenduÃ‰lÃ©ments ajoutÃ©sÃ‰lÃ©ments supprimÃ©sTitre de posteCache de crÃ©dits Kerberos introuvable. PossÃ©dez-vous un ticket Kerberos ? ClÃ© KerberosClÃ© Kerberos absenteClÃ© Kerberos prÃ©sente, systÃ¨me provisionnÃ©ClÃ© Kerberos prÃ©sente, service commissionnÃ©Nom de principal de service KerberosPolitique de ticket KerberosPrincipal d'utilisateur Kerberos introuvable. PossÃ©dez-vous un cache de crÃ©dits Kerberos ? Ã‰chec de l'initialisation du contexte Kerberos Erreur Kerberos : %(major)s/%(minor)sClÃ©s Kerberos disponiblesPrincipal KerberosLe principal Kerberos %s existe dÃ©jÃ . Utiliser la commande 'ipa user-mod' pour le crÃ©er manuellement.Nom de principal Kerberos pour ce systÃ¨meClÃ©ClÃ© compromiseÃ‰tiquette de clÃ©KeytabNom de fichier keytabRÃ©cupÃ©ration du keytab et stockage avec succÃ¨s dans : %s DN LDAPURI LDAPURI LDAP du serveur d'annuaire depuis lequel migrerbasedn LDAPMot de passe LDAPMot de passe LDAP (hors utilisation de Kerberos)SchÃ©ma LDAPÃ‰tiquettesNomLes espaces de dÃ©but et de fin ne sont pas autorisÃ©sFiltre LDAP valide (i.e. ou=Engineering)Liste des suppressions en Ã©checListe des objets migrÃ©s, catÃ©gorisÃ©s par type.Liste des objets n'ayant pu Ãªtre migrÃ©s, catÃ©gorisÃ©s par type.Chargement...Domaine local :VilleLieuDurÃ©e de verrouillageConnectÃ© en tant queConnexionShell de connexionDÃ©connexionErreur de dÃ©connexionAdresse MACCondensÃ© MD5Adresse postaleDN malformÃ©GÃ©rer la politique de mots de passe d'un groupe spÃ©cifiqueAdministre la politique de ticket d'un utilisateur spÃ©cifiquePermission managedbyResponsableCarteType de carteFichier maÃ®treCorrespondanceRÃ¨gles correspondantesNombre maximal d'Ã©checsVie max.DurÃ©e de vie maximale (jours)Renouvellement max.DurÃ©e maximale (secondes) pour une recherche (> 0, -1 pour illimitÃ©)Nombre maximal d'entrÃ©es renvoyÃ©esNombre maximal d'entrÃ©es Ã rechercher (-1 pour illimitÃ©)Nombre maximal de rÃ¨gles Ã traiter quand aucune option --rules n'est spÃ©cifiÃ©eLa durÃ©e de vie maximale du mot de passe doit Ãªtre supÃ©rieure au minimum.DurÃ©e de vie maximale d'un mot de passe (en jours)Ã‚ge maximale de renouvellement (secondes)DurÃ©e de vie maximale (secondes)Longueur maximale de nom d'utilisateurLa valeur maximale est ${value}Ne peut Ãªtre videServices HBAC membresGroupes de services HBAC membresSystÃ¨me membreGroupes membresGroupes de systÃ¨mes membresSystÃ¨mes membresNetgroups membresMembre deMembre d'un groupeMembre du groupeMembre des groupesMembre du groupe de systÃ¨mesMembre des netgroupsGroupes de services membresServices membresMembre du groupe d'utilisateursUtilisateurs membresMembres n'ayant pu Ãªtre ajoutÃ©sMembres n'ayant pu Ãªtre supprimÃ©Migrer les utilisateurs et groupes de DS Ã IPA.Mode migration dÃ©sactivÃ©. Utiliser la commande 'ipa config-mod' pour l'activer.La migration de rÃ©fÃ©rences de recherche LDAP n'est pas supportÃ©e.Longueur minimaleDurÃ©e de vie minimale (jours)Taille minimale d'un mot de passeNombre minimal de classes de caractÃ¨resDurÃ©e de vie maximale d'un mot de passe (en jours)La valeur minimale est ${value}Minutes latitudeMinutes de LongitudeInformations diversesReferer HTTP manquant ou invalide, %(referer)sAbsence de contrÃ´le dans la rÃ©ponse ! Valeurs manquantes :NumÃ©ro de tÃ©lÃ©phone mobileModifiÃ©ACI modifiÃ©e "%(value)s"RÃ¨gle HBAC "%(value)s" modifiÃ©eService HBAC "%(value)s" modifiÃ©Groupe de services HBAC "%(value)s" modifiÃ©Plage d'ID Â« %(value)s Â» modifiÃ©eListe de correspondance d'utilisateurs SELinux "%(value)s" modifiÃ©eCommande Sudo "%(value)s" modifiÃ©eGroupe de commandes Sudo "%(value)s" modifiÃ©.RÃ¨gle Sudo "%(value)s" modifiÃ©eRÃ¨gle d'auto-adhÃ©sion "%(value)s" modifiÃ©eClÃ© d'automontage "%(value)s" modifiÃ©eCarte d'automontage "%(value)s" modifiÃ©eDÃ©lÃ©gation "%(value)s" modifiÃ©eGroupe "%(value)s" modifiÃ©SystÃ¨me "%(value)s" modifiÃ©Groupe de systÃ¨mes "%(value)s" modifiÃ©Netgroup "%(value)s" supprimÃ©Permission "%(value)s" modifiÃ©ePrivilÃ¨ge "%(value)s" supprimÃ©RÃ´le "%(value)s" modifiÃ©Permission selfservice "%(value)s" modifiÃ©eService "%(value)s" modifiÃ©Utilisateur "%(value)s" modifiÃ©ModifiÃ© : clÃ© non dÃ©finieModifier '%(value)s' pour %(name)s ?Modifier la zone DNS (enregistrement SOA).Modifier une plage.Modifier la politique de ticket Kerberos.Modifier un groupe de commandes Sudo.Modifier une commande Sudo.Modifier une rÃ¨gle Sudo.Modifier un enregistrement de ressources DNS.Modifier une liste de correspondance d'utilisateurs SELinuxModifier une dÃ©lÃ©gation.Modifier une politique de mot de passe de groupe.Modifier un groupe.Modifier un groupe de systÃ¨mes.Modifier un netgroup.Modifier une permission.Modifier un privilÃ¨ge.Modifier un rÃ´le.Modifier une permission self-service.Modifier un utilisateur.Modifier une rÃ¨gle HBAC.Supprimer un groupe de services HBAC.Modifier un service HBAC.Modifier une clÃ© d'automontage.Modifier une carte d'automontage.Modifier un service IPA.Modifier les options de configuration.Modifier la configuration DNS globale.Modifier les informations d'un systÃ¨me.Plus d'une entrÃ©e avec la clÃ© %(key)s trouvÃ©e, utilisez --info pour sÃ©lectionner l'entrÃ©e spÃ©cifique.Information du montagePoint de montageDoit Ãªtre un entierNom de domaine NISNom de la commande Ã exporterNom du groupe de systÃ¨mesNom de la mÃ©thode Ã exporterNom de l'objet Ã exporterNom de la carte parente (par dÃ©faut : auto.master).Le serveur de noms '%(host)s' n'a pas d'enregistrement A/AAAA correspondantL'adresse du serveur de nom n'est pas un nom de domaine pleinement qualifiÃ©Aucune option de suppression d'un enregistrement spÃ©cifique ni --del-all n'ont Ã©tÃ© indiquÃ©s. Merci de consulter l'aide pour connaÃ®tre tous les types d'enregistrements supportÃ©s.Commandes imbriquÃ©es Ã exÃ©cuterNetgroupParamÃ¨tres du netgroupDescription de netgroupNom de netgroupNetgroupsNouveau nom de l'ACINouveau certificatNouveau mot de passeNouveau mot de passe du principalNouveau testNouvelle information de montageAjout : clÃ© non dÃ©finieAjout : clÃ© dÃ©finieSuivant(e)Nom de domaine suivantPas de certificat.Pas de certificat valideCache de crÃ©dits introuvablePas de groupe par dÃ©faut (de repli) dÃ©finiPas d'entrÃ©es.Pas de fichier Ã lireAucune clÃ© acceptÃ©e par le KDC Aucune entrÃ©e correspondante trouvÃ©ePas d'option fournie pour supprimer un enregistrement spÃ©cifique.Aucune option fournie pour modifier un enregistrement spÃ©cifique.Inscription de ce systÃ¨me au domaine IPA interdite. Pas la permission d'inscrirePas de rÃ©ponseAucun attribut pour cette entrÃ©ePas d'enctypes prÃ©fÃ©rÃ© sur le systÃ¨me ?! Pas de valeurs pour %sPas de permissions en Ã©criture sur le fichier keytab '%s' RÃ¨gles inexistantes ou invalidesNormalPas AprÃ¨sPas AvantPas un groupe administrÃ©Pas une adresse IP validePas une adresse IPv4 validePas une adresse IPv6 validePas un certificat de droitsRÃ¨gles non-correspondantesPas encore enregistrÃ©NoteNombre d'IDs dans la plageNombre de conditions ajoutÃ©esNombre de conditions supprimÃ©esNombre de jours de prÃ©avis d'expiration de mot de passeNombre d'entrÃ©es renvoyÃ©esNombre de membres ajoutÃ©sNombre de membres supprimÃ©sNombre de permissions ajoutÃ©esNombre de permissions supprimÃ©esNombre de greffons chargÃ©sNombre de privilÃ¨ges ajoutÃ©sNombre de privilÃ¨ges retirÃ©sNombre de variables renvoyÃ©es (<= total)OKOTP configurÃ©Un parmi group, permission ou self est requisMot de passe Ã usage uniqueAbsence de mot de passe Ã usage uniquePrÃ©sence de mot de passe Ã usage uniqueUne seule valeur est autorisÃ©eSystÃ¨me d'exploitation et version du systÃ¨me (par ex. Fedora 9)SystÃ¨me d'exploitationÃ‰chec de l'opÃ©ration %s ! Erreur sur les opÃ©rationsOption ajoutÃ©eOption(s) supprimÃ©e(s)OptionsLes options dom_sid et rid_base doivent Ãªtre utilisÃ©es simultanÃ©mentLes options dom_sid et secondary_rid_base ne peuvent Ãªtre utilisÃ©es simultanÃ©mentLes options secondary_rid_base et rid_base doivent Ãªtre utilisÃ©es simultanÃ©mentOrdreOrdre des utilisateurs SELinux pour les cartes, par prioritÃ© croissante, dÃ©limitÃ©s par $UnitÃ© organisationnelleOrganisationUnitÃ© organisationnelleTTL originelAutres types d'enregistrementsMÃ©moire saturÃ©e ! MÃ©moire saturÃ©e MÃ©moire saturÃ©e MÃ©moire saturÃ©e !MÃ©moire saturÃ©e ! MÃ©moire saturÃ©e !? Nom de fichier de sortieN'affiche que les erreursRÃ©Ã©crire le GIDtype de PACPKINITPOSIXPageNumÃ©ro de tÃ©lÃ©avertisseurCarte parenteAnalyser tous les enregistrements DNS et les renvoyer sous forme structurÃ©eMot de passeNotification avant expiration de mot de passe (jours)Politiques de mot de passePolitique de gestion des mots de passeLe mot de passe ne peut Ãªtre dÃ©fini pour le systÃ¨me enregistrÃ©.Modification du mot de passe terminÃ©eExpiration de mot de passeTaille de l'historique des mots de passeFonctionnalitÃ©s du greffon de gestion des mots de passeMot de passe utilisÃ© pour les inscriptions en masseLes mots de passe ne correspondent pasLes mots de passe ne correspondent pas !Les mots de passe ont Ã©tÃ© migrÃ© dans leur format chiffrÃ©. IPA est incapable de crÃ©er des clÃ©s Kerberos sauf Ã utiliser les mots de passe en clair. Tous les utilisateurs migrÃ©s devront se connecter Ã https://your.domain/ipa/migration/ avant de pouvoir utiliser leur compte Kerberos.Les mots de passe doivent correspondrePÃ©riode aprÃ¨s laquelle le compteur d'Ã©chec sera rÃ©initialisÃ© (secondes)PÃ©riode pendant laquelle le verrouillage est actif (secondes)PermissionL'ACI Permission donne accÃ¨s Ã Type de permissionAutorisation refusÃ©e : %(file)sNom de permissionType de permissionPermission avec spÃ©cification de cible invalidePermissionsType de chiffrements autorisÃ©sPing sur un serveur distant.Plate-formeMerci de choisir un type de ressource d'enregistrement DNS Ã ajouterMerci d'essayer les alternatives suivantes :PolitiquePortArguments positionnelsPrÃ©fÃ©rencePrÃ©fÃ©rence donnÃ©e Ã cet Ã©changeur. Les valeurs infÃ©rieures sont les prÃ©fÃ©rÃ©es.PrÃ©fixe utilisÃ© pour distinguer les types d'ACI (permission, delegation, selfservice, none)PrÃ©cÃ©dent(e)Base de RID primaireClÃ© primaire uniquementPrincipalLe principal %(principal)s n'a pÃ» Ãªtre authentifiÃ© : %(message)sLe principal n'est pas de la forme user@REALM: %(principal)rNom du principalAffiche aussi peu que possibleAffiche les informations de dÃ©bogageImprimer les entrÃ©es telles que stockÃ©es sur le serveur. Affecte uniquement le format de sortie.Affiche la sortie XML-RPC brute en mode GSSAPIPrioritÃ©PrioritÃ© de la polique (une valeur Ã©levÃ© indique une prioritÃ© basse)PrivilÃ¨geParamÃ¨tres du privilÃ¨gePrivilÃ¨ge retirÃ©Description du privilegeNom du privilÃ¨gePrivilÃ¨gesProduitInvite de modification du mot de passePotentielProtocoleCommissionnementClÃ© publiqueObjectif : %sQuantitÃ©La recherche a retournÃ© plus de rÃ©sultats que le nombre limite configurÃ©. Affichage des ${counter} premiers rÃ©sultats.Liens rapidesMode silencieux. Seules les erreurs sont affichÃ©es.Mot de passe alÃ©atoireConfiguration des plagesNom de la plageTaille de la plageType de plageRe-synchroniser le cache local de droits avec le serveur de droitsNom du royaumeRaisonRaison de la rÃ©vocationRaison de rÃ©vocation du certificat (0-10)Type d'enregistrementLa crÃ©ation de l'enregistrement a Ã©chouÃ©.DonnÃ©es d'enregistrementNom d'enregistrementEnregistrement non trouvÃ©.Type d'enregistrementEnregistrementsEnregistrements pour la zone DNSRedirectionRedirection vers l'enregistrement PTRRafraÃ®chirRafraÃ®chir la page.EnregistrerEnregistrer auprÃ¨s d'un systÃ¨me de gestion de droits.EnregistrÃ© auprÃ¨s du serveur de droits.L'enregistrement auprÃ¨s d'un UUID spÃ©cifique n'est pas encore pris en compte.EnregistrementMot de passe d'enregistrementExpression rationnelleRecharger le navigateur.Supprimer ${entity}Supprimer ${entity} ${primary_key} de ${other_entity}Supprimer ${other_entity} gÃ©rant ${entity} ${primary_key}Supprimer l'objet ${other_entity} de l'objet ${entity} ${primary_key}Supprimer l'autorisation de ${other_entity} de ${entity} ${primary_key}Supprimer l'interdiction de ${other_entity} de ${entity} ${primary_key}Supprimer une permissionSupprimer RunAs${other_entity} de ${entity} ${primary_key}Supprimer RunAs Groups de ${entity} ${primary_key}Supprimer la source ${other_entity} de ${entity} ${primary_key}Supprimer une permission pour la dÃ©lÃ©gation par zone.Retirer tous les principals de ce royaumeRetirer une option d'une rÃ¨gle Sudo.Retirer des commandes et groupes de commandes sudo affectÃ©s par la rÃ¨gle Sudo.Supprimer les entrÃ©es DNSRetrait de la LRCRetirer un groupe pour que sudo exÃ©cute en tant que.Retirer des systÃ¨mes et groupes de systÃ¨mes affectÃ©s par la rÃ¨gle Sudo.Supprimer les systÃ¨mes qui peuvent gÃ©rer ce systÃ¨me.Supprimer des sytÃ¨mes pouvant administrer ce service.Supprimer des membres d'un groupe de commandes Sudo.Supprimer des membres d'un groupe.Supprimer des membres d'un groupe de systÃ¨mes.Supprimer des membres d'un netgroup.Supprimer des membres d'un rÃ´le.Supprimer des membres d'un groupe de services HBAC.Supprimer des permissions d'un privilÃ¨ge.Supprimer des privilÃ¨ges d'un rÃ´le.Ajouter des services et groupes de services d'une rÃ¨gle HBAC.Retirer des systÃ¨mes et groupes de systÃ¨mes sources d'une rÃ¨gle HBAC.Retirer des systÃ¨mes et groupes de systÃ¨mes cibles d'une rÃ¨gle HBAC.Supprimer des systÃ¨mes et groupes de systÃ¨mes cibles d'une rÃ¨gle de correspondance d'utilisateurs SELinuxRetirer des utilisateurs et groupes affectÃ©s par la rÃ¨gle Sudo.Retirer des utilisateurs et groupes pour que sudo exÃ©cute en tant que.Retirer des utilisateurs et groupes d'une rÃ¨gle HBAC.Supprimer des utilisateurs et groupes d'une rÃ¨gle de correspondance d'utilisateurs SELinuxConditions supprimÃ©es de "%(value)s"Groupe par dÃ©faut (de repli) supprimÃ© pour l'appartenance automatique Â« %(value)s Â»Option "%(option)s" supprimÃ©e de la rÃ¨gle Sudo "%(rule)s"Permission systÃ¨me Â« %(value)s Â» supprimÃ©eSuppression du principal %s RenommerRenomme l'objet %(ldap_obj_name)sACI renommÃ©e en "%(value)s"RemplacementIdentifiant de la demandeÃ‰tat de la demandeLe sujet de la demande "%(request_subject)s" ne correspondant pas Ã la forme "%(subject_base)s"Champ requisRÃ©initialiserRemettre Ã zÃ©ro la politique de ticket Kerberos.Remise Ã zÃ©ro OTPRemise Ã zÃ©ro du mot de passe Ã usage uniqueRÃ©initialiser le mot de passeR.Ã€.Z. du mot de passe et de l'identifiant de connexionRÃ©soudre un nom de systÃ¨me DNS.RestaurerRestaurer un certificat pour ${entity} ${primary_key}RÃ©sultat de la simulationRÃ©sultats tronquÃ©s, essayer un recherche plus spÃ©cifiqueLes rÃ©sultats devraient contenir uniquement des attributs clÃ© primaire uniquement ("%s")RÃ©cupÃ©rer un certificat existant.RÃ©cupÃ©rer et imprimer tous les attributs du serveur. Affecte la sortie standard de la commande.RÃ©cupÃ©rer les certificats de droits.RÃ©essayerRetourner Ã la page principale et retenter l'opÃ©rationL'enregistrement inverse pour l'adresse IP %(ip)s existe dÃ©jÃ dans la zone inverse %(zone)s.La zone inverse %(name)s requiert exactement %(count)d composants d'adresses IP, %(user_count)d donnÃ©sZone inverse de rÃ©seau IPLa zone inverse pour l'enregistrement PTR doit Ãªtre une sous-zone de l'un des domaines suivants pleinement qualifiÃ©s : %sRaison de la rÃ©vocationRÃ©voquerRÃ©voquer un certificat pour l'objet ${entity} ${primary_key}RÃ©voquer un certificat.RÃ©voquÃ©DroitsRÃ´leContrÃ´le d'accÃ¨s basÃ© sur les rÃ´les (RBAC)ParamÃ¨tres de rÃ´lesNom du rÃ´leRÃ´lesNom de rÃ¨gleÃ‰tat de la rÃ¨gleType de rÃ¨gleType de rÃ¨gle (allow)RÃ¨glesRÃ¨gles Ã tester. Si non-spÃ©cifiÃ©, --enabled est impliciteExÃ©cute les commandesLancer testLancer en tant qu'un utilisateurLancer en tant que n'importe quel utilisateur du groupe spÃ©cifiÃ©Lancer avec le GID d'un groupe POSIX spÃ©cifiqueUtilisateur externeLancer en tant que l'utilisateur externeCatÃ©gorie RunAs GroupCatÃ©gorie RunAs Group Ã laquelle la rÃ¨gle s'appliqueRunAs GroupsCatÃ©gorie RunAs UserCatÃ©gorie RunAs User Ã laquelle la rÃ¨gle s'appliqueRunAs UsersRunAsGroup n'accepte pas '%(name)s' comme nom de groupeRunAsUser n'accepte pas '%(name)s' comme nom de groupeRunAsUser n'accepte pas '%(name)s' comme nom d'utilisateurOptions SELinuxUtilisateur SELinuxListe de correspondance d'utilisateurs SELinuxRÃ¨gle de correspondance d'utilisateurs SELinuxRÃ¨gles de correspondance d'utilisateurs SELinuxListes de correspondance d'utilisateurs SELinuxUtilisateur SELinux %(user)s introuvable dans la liste ordonnÃ©e (dans la configuration)La carte des utilisateurs par dÃ©faut n'est pas une liste ordonnÃ©eListe de correspondance d'utilisateurs SELinux introuvable dans cette configurationOrdre des utilisateurs SELinux pour les cartesCondensÃ© SHA1Classe SOAExpiration SOAMinimum SOAClasse de l'enregistrement SOA DurÃ©e d'expiration de l'enregistrement SOADurÃ©e d'actualisation de l'enregistrement SOADurÃ©e avant nouvelle tentative de l'enregistrement SOANumÃ©ro de sÃ©rie de l'enregistrement SOADurÃ©e de vie de l'enregistrement SOAActualisation SOArÃ©-essai SOANumÃ©ro de sÃ©rie SOADurÃ©e de vie SOAClÃ© publique SSHEmpreinte de clÃ© publique SSHClÃ© publique SSH :ClÃ©s publiques SSHRechercherOptions de rechercheRecherche de %(searched_object)s avec %(relationship)s %(ldap_object)s.Recherche de %(searched_object)s sans %(relationship)s %(ldap_object)s.Rechercher des enregistrements de ressources DNS.Rechercher des zones DNS (enregistrements SOA).Rechercher des rÃ¨gles HBAC.Rechercher des services HBAC.La recherche du namingContext d'IPA a Ã©chouÃ© avec l'erreur %d Rechercher des services IPA.Rechercher des listes de correspondance d'utilisateurs SELinuxRechercher des groupes de commandes Sudo.Rechercher des commandes Sudo.Rechercher une rÃ¨gle Sudo.Rechercher un netgroup.Rechercher des permissions self-service.Rechercher des groupes de services HBAC.Rechercher une clÃ© d'automontage.Rechercher un lieu d'automontage.Rechercher des cartes d'automontage.Rechercher des dÃ©lÃ©gations.Rechercher des certificats de droits.Rechercher des zones forward uniquementRechercher des politiques de mot de passe de groupe.Rechercher des groupes.Rechercher un groupe de systÃ¨mes.Rechercher des systÃ¨mes.Ã‰chec de la recherche de ipaCertificateSubjectBase avec une erreur %dRecherche des permissions.Rechercher des privilÃ¨ges.Rechercher des plages.Rechercher des rÃ´les.Rechercher des utilisateurs.Taille limite de rechercheDurÃ©e de recherche limiteBase de RID secondaireSecondes latitudeSecondes de LongitudeTout sÃ©lectionnerSÃ©lectionner les entrÃ©es Ã supprimer.Moi-mÃªmePermission Self-ServicePermissions Self-ServiceNom de la permission self-serviceListe sÃ©parÃ©e par des points-virgules d'adresses IP de systÃ¨mes ou de rÃ©seaux autorisÃ©s Ã effectuer des requÃªtesListe sÃ©parÃ©e par des points-virgules d'adresses IP de systÃ¨mes ou de rÃ©seaux autorisÃ©s Ã effectuer des transfertsNumÃ©ro de sÃ©rieNumÃ©ro de sÃ©rie (hex)NumÃ©ro de sÃ©rieNumÃ©ro de sÃ©rie (hex)NumÃ©ro de sÃ©rie en dÃ©cimal (ou en hexadÃ©cimal avec le prÃ©fixe 0x)Nom de serveurServiceService %(service)r introuvable dans la base KerberosCertificat de serviceGroupes de servicesOptions du serviceParamÃ¨tres de serviceCatÃ©gorie de serviceCatÃ©gorie de service sur laquelle la rÃ¨gle s'appliqueNom de groupe de services HBACNom de servicePrincipal du servicePrincipal de service pour ce certificat (par ex.: HTTP/test.example.com)Le principal de service n'est pas de la forme : service/fully-qualified host name: %(reason)sService dÃ©commissionnÃ©ServicesErreur de sessionDÃ©finirParamÃ©trer le mot de passe Ã usage uniqueDÃ©finir mot de passe Ã usage uniqueDÃ©finir la clÃ© SSHDÃ©finir le mot de passe d'un utilisateur.Modifie un attribut avec une paire nom/valeur. Le format est attr=valeur. Pour les attributs multi-valuÃ©s, la commande remplace toutes les valeurs dÃ©jÃ prÃ©sentes.Groupe par dÃ©faut (de repli) dÃ©fini pour l'appartenance automatique Â« %(value)s Â»ParamÃ¨tresAfficher les rÃ©sultatsAfficher les greffons chargÃ©s.Afficher les dÃ©tailsAfficher les variables d'environnement.Afficher la configuration actuelle.Afficher la configuration DNS globale.Affiche la liste des types de chiffrement autorisÃ©s, et sort.Afficher/dÃ©finir la clÃ©Affichage des entrÃ©es ${start} Ã ${end} sur ${total}.SignatureExpiration de signatureCrÃ©ation de signatureSignataireÃ‰chec de la connexion simple Simulation de rÃ¨gles de contrÃ´le d'accÃ¨s basÃ© sur les systÃ¨mesTailleLimite de tailleCertaines entrÃ©es n'ont pas Ã©tÃ© supprimÃ©esCertaines opÃ©rations ont Ã©chouÃ©.Groupes de systÃ¨mes sourceSystÃ¨mes sourcesSystÃ¨me sourceCatÃ©gorie de systÃ¨me sourceCatÃ©gorie de systÃ¨me sources sur laquelle la rÃ¨gle s'appliqueLa valeur systÃ¨me source de la rÃ¨gle "%s" est ignorÃ©eCommandes et groupes spÃ©cifiÃ©sGroupes spÃ©cifiÃ©sSystÃ¨mes et groupes spÃ©cifiquesServices et groupes spÃ©cifiquesUtilisateurs et groupes spÃ©cifiquesSpÃ©cifie oÃ¹ stocker l'information keytab.SpÃ©cifier un ${entity} externeTypes d'enregistrement standardDÃ©butÃ‰tat/provinceÃ‰tatAdresseStructurÃ©SubjetSoumettre une demande de signature de certificat.Sous-arbreSous-arbre sur lequel appliquer l'ACIBranche sur laquelle appliquer les permissionsSous-typeSudoAutorisation de groupes de commandes SudoCommandes sudo allowCommande sudoGroupe de commandes sudoGroupes de commandes sudoCommandes sudoInterdiction de groupes de commandes SudoCommande sudo denyOption sudoRÃ¨gle sudoRÃ¨gles SudoObsolÃ¨teType de chiffrements supportÃ©s : Erreur de syntaxe : %(error)sPrendre un certificat rÃ©voquÃ© en attente.CibleGroupe cibleSystÃ¨me cibleMembres cible d'un groupeZone inverse cible non trouvÃ©e.Cibler votre propre entrÃ©e (self)NumÃ©ro de tÃ©lÃ©phoneTester la syntaxe de l'ACI, sans rien Ã©crireDonnÃ©e texteLe texte ne correspond pas au motif de champLe domaine IPALa clÃ© automount %(key)s avec l'information %(info)s n'existe pasLe caractÃ¨re '%(char)r' n'est pas autorisÃ©.Le groupe par dÃ©faut ne peut Ãªtre supprimÃ©Le type deny est obsolÃ¨te.Le nom de domaine du systÃ¨me cible ou '.' si le service n'est dÃ©cidÃ©ment pas disponible dans ce domaineLe groupe n'existe pasLe systÃ¨me a Ã©tÃ© ajoutÃ© mais la mise Ã jour DNS a Ã©chouÃ© : %(exc)sLe nom du systÃ¨me doit Ãªtre pleinement qualifiÃ© : %s Le nom de systÃ¨me ne peut Ãªtre : %s Le nom de systÃ¨me vers lequel cet enregistrement inverse pointeLe nom de systÃ¨me sous lequel s'enregistrerLa paire key,info doit Ãªtre unique. Une clÃ© nommÃ©e %(key)s avec l'information %(info)s existe dÃ©jÃ .Les types les plus courants pour ce type de zone sont : %s La clÃ© primaire de l'entrÃ©e, par ex. 'jdoe' pour un utilisateurLe principal pour lequel obtenir le (par ex: ftp/ftp.example.com@EXAMPLE.COM)Le domaine du principal ne correspond pas au domaine de ce serveur IPALe schÃ©ma utilisÃ© sur le serveur LDAP. Les valeurs supportÃ©es sont RFC2307 et RFC2307bis. La valeur par dÃ©faut est RFC2307bisLe critÃ¨re de recherche n'est pas suffisamment spÃ©cifique. Une valeur attendue, mais %(found)d trouvÃ©es.Le principal de service pour cette requÃªte est inexistantIl reste seulement %d droits d'usage restantsCette commande requiert des droits rootCette entrÃ©e existe dÃ©jÃ Cette entrÃ©e ne peut Ãªtre activÃ©e ou dÃ©sactivÃ©eCette entrÃ©e est dÃ©jÃ membreCette entrÃ©e est dÃ©jÃ dÃ©sactivÃ©eCette entrÃ©e est dÃ©jÃ activÃ©eCette entrÃ©e n'est pas un membreCe groupe autorise dÃ©jÃ des membres externesCe groupe ne peut Ãªtre de type posix car il est externeCe groupe est dÃ©jÃ de type POSIXCe groupe est dÃ©jÃ de type posix et ne peut Ãªtre converti en groupe externeCette page comporte des modifications non-sauvegardÃ©es. Merci de sauvegarder ou de rÃ©initialiser.Ticket expirÃ©Limite de durÃ©eLimite de durÃ©e de la recherche en secondesDurÃ©e de vieAfin de confirmer votre intention de restaurer ce certificat, cliquer sur le bouton "Restaurer".Afin de confirmer votre intention de rÃ©voquer ce certificat, sÃ©lectionner une raison dans la liste, puis de cliquer sur le bouton "RÃ©voquer".Afin de vous connecter avec un nom d'utilisateur et un mot de passe, merci de les saisir dans les champs ci-dessous puis cliquer sur Â« Connexion Â».Commandes du thÃ¨me :Nombre total de variables d'environnement (>= count)VraiVrai si tous les rÃ©sultats n'ont pas Ã©tÃ© renvoyÃ©sVrai signifie que l'opÃ©ration a rÃ©ussiConfiguration des approbationsUtiliser `ipa --help` pour obtenir la liste des options globales.TypeType couvertType de carteType d'objet IPA (user, group, host, hostgroup, service, netgroup, dns)UIDURLUUIDImpossible de communiquer avec le CMS (%s)Impossible de crÃ©er un groupe privÃ©. Un groupe '%(group)s' existe dÃ©jÃ .Impossible de dÃ©terminer le serveur IPA depuis %s Impossible de dÃ©terminer le sujet du certificat de %s Impossible de dÃ©terminer le DN racine de %s Impossible d'activer SSL dans LDAP Impossible de crÃ©er le cache de crÃ©dits Kerberos Impossible d'Ã©tablir la connexion au serveur LDAP : %sImpossible d'initialiser la bibliothÃ¨que LDAP ! Impossible d'inscrire le systÃ¨me : cache de crÃ©dit Kerberos introuvable Impossible d'inscrire le systÃ¨me : Principal d'utilisateur Kerberos introuvable et mot de passe non fourni. Impossible d'inscrire le systÃ¨me : Ã©chec Ã l'initialisation du contexte Kerberos Impossible d'analyser le principal Impossible d'analyser le nom du principal Impossible de supprimer l'entrÃ©e Impossible de positionner la version LDAP Impossible de positionner LDAP_OPT_X_SASL_NOCANON Impossible de dÃ©finir les options LDAP ! DÃ©sinscrire ce systÃ¨me du serveur IPAÃ‰chec de la dÃ©sinscription. DÃ©sinscription rÃ©ussie. Erreur inconnueOption inconnue : %(option)sCompte utilisateur "%(value)s" dÃ©verrouillÃ©Pas de correspondanceDÃ©commissionerDÃ©commissionnement de l'objet ${entity}RÃ¨gles non rÃ©solues dans --rulesRÃ©intÃ©grÃ©Modifications non sauvegardÃ©esTout dÃ©selectionnerNon-spÃ©cifiÃ©ModifierMettre Ã jour les entrÃ©es DNSUtilisation : ipa [options-globales] COMMAND ...UtilisateurGroupe de l'utilisateurGroupes d'utilisateursNumÃ©ro d'identifiant utilisateur (le systÃ¨me en assignera un si non spÃ©cifiÃ©)Options utilisateursCatÃ©gorie d'utilisateurCatÃ©gorie d'utilisateur sur laquelle la rÃ¨gle s'appliqueConteneur d'utilisateursGroupe d'utilisateursL'ACI groupe utilisateur donne accÃ¨s Ã RÃ¨gle de groupe utilisateurRÃ¨gles de groupes d'utilisateursGroupe d'utilisateur auquel appliquer la dÃ©lÃ©gationGroupe d'utilisateur sur lequel appliquer les permissionsIdentifiant de connexionNom d'utilisateurClasses d'objet utilisateurMot de passe utilisateurChamps de recherche utilisateurDescription intelligible de l'action effectuÃ©eNom d'utilisateurUtilisateursCertificat validÃ© prÃ©sentErreur de validationValiditÃ©VÃ©rifier le mot de passeVÃ©rfier le mot de passe du principalPrÃ©cision verticaleVia le serviceVoirAttentionAvertissement : Ã©chec de conversion de type (#%d) Avertissement : les types de sels ne sont pas utilisÃ©s avec les mots de passe alÃ©atoires (cf. option -P) PoidsLors de la migration d'un groupe existant dÃ©jÃ dans le domaine IPA, rÃ©Ã©crire le GID du groupe et renvoyer un succÃ¨sQuiVous devez enregistrer un systÃ¨me afin de crÃ©er un serviceVous devez Ãªtre membre du rÃ´le serviceadmin pour ajouter des servicesVous allez Ãªtre redirigÃ© vers la zone DNS.Votre session a expirÃ©. Merci de vous reconnecter.Code postalTransmetteurs de zoneZone trouvÃ©e : ${zone}Nom de zoneNom de zone (FQDN)L'enregistrement '%s' de zone ne peut Ãªtre supprimÃ©Intervalle de rafraichissement de zoneÃ‰chec de access() sur %1$s : errno = %2$d ajoutÃ©une erreur interne est survenueune erreur interne est survenue sur le serveur %(server)rl'API n'a pas d'espace de nom : %(name)rau moins un parmi type, filter, subtree, targetgroup, attrs ou memberof est requisl'attribut Â« %(attribute)s Â» n'est pas autorisÃ©attribut "%s" interditl'attribut n'est pas configurableajoute automatiquement le principal s'il n'existe pasclÃ© d'automontageclÃ©s d'automontagelieu d'automontagelieux d'automontagecarte d'automontagecartes d'automontagebasednÃ‰chec de ber_init(), contrÃ´le invalide ?! mot de passe de connexionservice viergedoit contenir au plus %(len)d caractÃ¨respeut Ãªtre d'au plus %(maxlength)d octetspeut Ãªtre d'au plus %(maxlength)d caractÃ¨resdoit Ãªtre infÃ©rieur ou Ã©gal Ã %(maxvalue)ddoit valoir au plus %(maxvalue)sne peut excÃ©der 255 caractÃ¨res.impossible de se connecter Ã %(uri)r: %(error)simpossible de supporimer une politique de mot de passe globaleimpossible d'obtenir le nouveau numÃ©ro de sÃ©rieimpossible d'ouvrir le fichier de configuration %s impossible d'utiliser stat() sur le fichier de configuration %s Ã©chec de certutilla modification a subit un collision avec une autreTransformer en groupe POSIXmodifier afin de permettre des membres externes non-IPA depuis les domaines approuvÃ©sprocessus fils terminÃ© avec %d cn est immuableliste sÃ©parÃ©e par des virgules de SID de membres d'un domaine de confianceliste sÃ©parÃ©e par des virgules de %sliste sÃ©parÃ©e par des virgules de %s Ã ajouterListe sÃ©parÃ©e par des virgules des %s Ã exclure de la migrationliste sÃ©parÃ©e par des virgules de %s Ã supprimerListe sÃ©parÃ©e par des virgules de permissions Ã accorder (read, write, add, delete, all)la commande %(name)r prend au plus %(count)d argumentla commande %(name)r prend au plus %(count)d argumentsla commande %(name)r ne prend aucun argumentla catÃ©gorie commandes ne peut Ãªtre dÃ©finie Ã 'all' alors qu'il reste des commandes autorisÃ©es ou interditesdes commandes ne peuvent Ãªtre ajoutÃ©es quand la catÃ©gorie commandes est dÃ©finie Ã 'all'commandes pour contrÃ´ler la configuration sudooptions de configurationentrÃ©e conteneur (%(container)s) introuvableimpossible d'allouer un unique session_iddÃ©lÃ©gationdÃ©lÃ©gationsdescriptionn'ai pas reÃ§u les crÃ©dits Kerberoschaque Ã©lÃ©ment d'ACL doit se terminer par un point-virgulefiltre videdroitdroitsentrÃ©esentrÃ©eerreur au triage des donnÃ©es du transport XML-RPC : %(error)serreur sur le serveur %(server)r: %(error)sÃ©chec de l'exÃ©cution de ipa-getkeytab, errno %d membre externeopÃ©ration fichierfichier oÃ¹ stocker le certificatnom de fichierfilter et memberof sont mutuellement exclusifsles drapeaux doivent avoir une valeur parmi "S", "A", "U", ou "P"forcer la crÃ©ation d'un enregistrement NS mÃªme si le nom du systÃ¨me n'est pas dans le DNSforcer le nom mÃªme si absent des DNSforcer le nom du principal mÃªme si absent du DNSechec de fork() le format doit Ãªtre spÃ©cifiÃ© comme "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" where: d1: [0 .. 90] (degrÃ©s latitude) d2: [0 .. 180] (degrÃ©s longitude) m1, m2: [0 .. 59] (minutes latitude/longitude) s1, s2: [0 .. 59.999] (secondes latitude/longitude) alt: [-100000.00 .. 42849672.95] par .01 (altitude en mÃ¨tres) siz, hp, vp: [0 .. 90000000.00] (taille/prÃ©cision en mÃ¨tres) Cf. RFC 1876 plus les dÃ©tailsle format doit Ãªtre spÃ©cificiÃ© comme "%(format)s" %(rfcs)sle format doit Ãªtre spÃ©cifiÃ© comme "NEXT TYPE1 [TYPE2 [TYPE3 [...]]]" (cf. RFC 4034 pour les dÃ©tails)groupela catÃ©gorie RunAs du groupe ne peut Ãªtre mise Ã 'all' tant qu'il y a des groupesgroup, permission et self sont mutuellement exclusifsgroupessystÃ¨mela catÃ©gorie systÃ¨me ne peut Ãªtre dÃ©finie Ã 'all' alors qu'il reste des systÃ¨mes autorisÃ©sgroupe de systÃ¨mesgroupes de systÃ¨mesUn groupe de systÃ¨mes nommÃ© Â« %s Â» existe dÃ©jÃ . Les groupes de systÃ¨mes et netgroups partagent le mÃªme espace de nommagenon de systÃ¨meLe nom de systÃ¨me sujet de la requÃªte Â« %(subject_host)s Â» ne correspond pas au nom de systÃ¨me du principal Â« %(hostname)s Â»systÃ¨mesdes systÃ¨mes ne peuvent Ãªtre ajoutÃ©s quand la catÃ©gorie systÃ¨mes est dÃ©finie Ã 'all'valeur de temps incomplÃ¨tetype incorrect%(name)r invalide : %(error)sformat d'adresse IP invalideversion d'adresse IP invalide (est %(value)d, doit Ãªtre %(required_value)d) !format de rÃ©seau IP invalideclÃ© publique SSH invalideformat d'adresse invalidenom de domaine invalide : %sipa-getkeytab a des permissions incorrectes ? ipa-getkeytab introuvable configuration de la politique de ticket KerberosLa clÃ© %(key)s existe dÃ©jÃ la clÃ© nommÃ©e %(key)s existe dÃ©jÃ kvno %d limites dÃ©passÃ©es pour cette requÃªtePlage pour le domaine localresponsable %(manager)s introuvableLa carte %(map)s existe dÃ©jÃ cartes non connectÃ©es Ã /etc/auto.master :%s membredomaine d'adresse manquantservice manquantla modification de clÃ© primaire n'est pas autorisÃ©epoint de montage relatif Ã la carte parente, ne peut commencer par /doit Ãªtre True ou Falsedoit Ãªtre du texte Unicodedoit Ãªtre un nombre dÃ©cimaldoit Ãªtre un nombre entierdoit Ãªtre d'au moins %(minlength)d octetsdoit Ãªtre d'au moins %(minlength)d caractÃ¨resdoit Ãªtre supÃ©rieur ou Ã©gal Ã %(minvalue)ddoit valoir a minima %(minvalue)sdoit Ãªtre des donnÃ©es binairesdoit Ãªtre d'exactement %(length)d octetsdoit Ãªtre d'exactement %(length)d caractÃ¨resdoit correspondre au motif "%(pattern)s"netgroupUn netgroup nommÃ© "%s" existe dÃ©jÃ . Les groupes de systÃ¨mes et les netgroups partagent un mÃªme espace de nommage.netgroupspas de commande ou de sujet d'aide pour %(topic)rpas d'enregistrement de systÃ¨me pour le nom alternatif de systÃ¨me %s sujet de la demande de certificatpas de modification Ã effectuerinterdit de modifier les entrÃ©es de groupeinterdit de modifier les entrÃ©es d'utilisateursnon autorisÃ© Ã effectuer cette commandepas pleinement qualifiÃ©La classe de nombres '%(cls)s' ne fait pas partie d'une classe autorisÃ©e : %(allowed)snombre de mots de passeclasse d'objet %s introuvablemÃ©moire saturÃ©e arguments et options se chevauchant : %(names)rmot de passepolitiques de mot de passepolitique de mot de passemot de passe Ã utiliser pour la connexion en cas de non-utilisation de kerberospermissionpermissionspkinitprincipal introuvable principal introuvable dans la rÃ©ponse XML-RPC la prioritÃ© ne peut Ãªtre dÃ©finie sur la politique globalela prioritÃ© doit Ãªtre une valeur unique (%(prio)d dÃ©jÃ utilisÃ©e par %(gname)s)privilÃ¨gegroupe avec privilÃ¨gesprivilÃ¨gesla modification de plage laissant des objets ayant un ID en dehors de la plage n'est pas autorisÃ©eerreur en lecture domaine introuvable retirÃ©rÃ©sultat de la rÃ©ponse XML-RPC introuvable rÃ©cupÃ¨re et affiche tous les attributs du serveur. Modifie la sortie de la commande.rÃ´lerÃ´lesrechercher les groupes administrÃ©srechercher des groupes privÃ©sles rÃ©sultats de la recherche sur les objets Ã migrer a Ã©tÃ© tronquÃ©e par le server ; le processus peut donc Ãªtre incomplet searchtimelimit doit Ãªtre Ã©gal Ã -1 ou > 1.secondespermission self-servicepermissions self-serviceservicela catÃ©gorie service ne peut Ãªtre dÃ©finie Ã 'all' alors qu'il reste des systÃ¨mes autorisÃ©sservicesaucun service ne peut Ãªtre ajoutÃ© quand la catÃ©gorie de services sources est Ã Â« all Â»passer outre la dÃ©tection de DNS inverseaucun systÃ¨me source ne peut Ãªtre ajoutÃ© quand la catÃ©gorie de systÃ¨mes sources est Ã Â« all Â»la catÃ©gorie systÃ¨me source ne peut Ãªtre dÃ©finie Ã 'all' alors qu'il reste des systÃ¨mes source autorisÃ©scommande sudogroupe de commandes sudogroupes de commandes sudocommandes sudorÃ¨gle sudorÃ¨gles sudocette entrÃ©e a Ã©tÃ© supprimÃ©e pendant sa modificationla valeur n'est pas au format temporel "YYYYMMDDHHMMSS"cette option a Ã©tÃ© rendue obsolÃ¨te.trop de caractÃ¨res '@'type d'objet IPA (user, group, host, hostgroup, service, netgroup)type, filter, subtree et targetgroup sont mutuellement exclusifsimpossible de dÃ©coder le csr : %simpossible de dÃ©terminer le domainedÃ©fairetout dÃ©fairecommande inconnue %(name)rCode erreur inconnu %(code)d renvoyÃ© par %(server)s: %(error)sutilisateurla catÃ©gorie d'utilisateur ne peut Ãªtre dÃ©finie Ã 'all' alors qu'il y a des utilisateurs autorisÃ©sla catÃ©gorie RunAs de l'utilisateur ne peut Ãªtre mise Ã 'all' tant qu'il y a des utilisateursutilisateursdes utilisateurs ne peuvent Ãªtre ajoutÃ©s quand une catÃ©gorie RunAs User ou Group est dÃ©finie Ã 'all'des utilisateurs ne peuvent Ãªtre ajoutÃ©s quand la catÃ©gorie utilisateurs est dÃ©finie Ã 'all'les valeurs ne sont pas reconnues comme des SID valides d'un domaine de confiance