<1 yXC!./P$7Mݣ+$4 DU&A6 LHݷ& lJ"Jf l"4\<.1`(2)O)!k) ))))*% *F*!`*p**,+8+J ,>k,F,J,><-8{-@-J-@@.:.0...8/6U/:/0/8/010.b0/0<040031.d11?111 2%2E.2^t2282-!3O3o33 33 33 34'!47I4%44X4"5W<5'7&7G7F+8&r888 8 8'9%<9.b9(9)9.9:(:}?::.=;Pl;3; ;;< <<.<K<P<_< t<<<< < <<<<<=#=+=%C=i= == =1=5=1 >7?>w>6>>>>7>."?8Q????? ?@"@7@K@a@v@"@@0@&@\AnAA A A;A!A/B$KB'pB"BBBB C&C%=CcCCCCC1C0D<PD(D.D+D,E%>E1dE2EEE$F)F"DFgF$FF!F(FG$2GWG!wGGGGGH1HNHkHHHH#HH!I3IJIgI {I*III:IJ JD#JPhJJ3JJK0K+IKFuK K KK KKK"KYL)qL1L*L2L)+M1UM1M/M2MN7$N5\N N NQN NO O$&OKO!`OO OO O OOOOP 'P5PDPXPnPPP PPP PPQQ:QBQ`Q1hQ"Q"QQQ-Q'R :RHR,`RmR#RHShSlS5sSDS+STT&WU ~U UUUUU(U#V42VgV}V%V VV VV W#W zPz hzvzzzz z zT{W{s{{{{{{#|4|E|0a|,||,|-}0.}_}v}F|}%} }}~! ~)B~l~~~~ ~~~~ ~~;~(1$Z 6  ,$7I NX r~(81 >!Bdv Ё ߁ *@ U"c 7   $ 2 <F.c  Ãփ  %"/Hx  = %*D^ oz   " Յ!-3C*T$ چ3"+ NYbz, / ;+Έ  ! >LU@gԉ$"7/Z(1Ԋ  5>"[~Nj,@.IQxPʌJ9#Mɍ/5G}$֎3#329 l v 6 ȏ ԏ D 1>&W)~ȐIߐ')4Q#‘LՑ%"HL[cj0{%  % #/6 Q[+z'Γ/A ^ iv    ̔ؔ )&/Vksw    ̕H֕"5B?x3#0Nf  ̗ڗ  '7H^r !ט(>"4a #љ$4EW,iך!':b%!'ț$"4"WzϜ ,K e؝ ):YtԞ -@Ui!xܟ &F d P .AQk~4A7'_ + 9 CP `m֣  /J jv--3I co ȥ)٥= D NYmҦ5'9LQl8ݧ*Fd}'ݨ,'E_8yé٩  2>D==Ǫ   0=P`o ի  =T'](Ь", Op8. !AQm}, Ư7!8Zaf{ CPް/4E V<`6ԱB+^: βز $/7 Wc l y d &  1Rb q | >@Ѵ0 CNU*k   Ƶҵ  3;M#V!z2 ϶ܶ4*8_4:ͷ9B:T1;3#1 U>v͹$ݹ2'5*]' ͺ**$Uz45λ5A:.|/*ۼ6%=;c5%ս#= X doP;-33 gqƿ0108b!J#(L/RM\-aE/ 4 BL R \ hr5  (+ 9Nb(w ' 54+3` </>0n   (>W o { KNM2# $2>q%!5W!t # .AX9j /ATe wW[_  >> EQ2Y$ &C8S|   +B7 *7 P]y*4 / 6@U iw* 41 D Q](r(,,Gt % )IQVp       )F$^  ,  7!A c;q()"b#1:) 5*S~W42':ZGHj&L5#!8Z(t*1?qE5, 8 GRr {R}UY(%';AP ` m-x=.  9G LYIb#C)!'K.s"-2#D9hW<7R'r&,"?bx    " >H X eq'  7  &!4V ep!"    +->lu{ '%&- T&uLcT8X@#&*HL\ pz"&6G#eS%3< p~ &+ + 9!G"i'$$$6 ["|$#?Qg3w!4$KBd#N4f+/) (7 ` k w$4   7!%Y)**;D""'1YJB1&B+ n yZbL.R,F)p #.N i &EX'0 Xby$:$:Oh${) %; aY #= Q#r"#WI]v]A[,j##&%7%G m x('D 6@ QD\ R  "&%IJos"mH4#X;sN    2  @  J *U 6   )   + D2 <w      1 @ ] Bb @  C .0 ;_   [L\-Pb>}N=^wLc{&,S.3P54;nAeDN~HK sN YU :fps#z*D H c*ym 9$2 W9:PM13 +?)k%%" *%4PWJ673QXBf.db]`1 DG 8      ZWj"t# R8'+`)* = *18 jHx9WES,DCA!H= )';HTVSfHS # Dej | k!!""%"*8"0c""("""!"# #'>#f# |##4#*#.$<6$s$z$8$0$% %%%:<%Iw%:%G%$D&Ki&&&&&Y'Vl'I'1 ((?('h(1(D(.).6)2e)0)1))E*1a*e*B*<+1+!,2,Q,op,B,h#-a-V-BE.0.7.C.M5/;/@/60O70G0C031_G1e1 2I2V2t;33O44t4Y4.S5,555J5F06.w676.6O 7r]7S7U$8Uz8*858%19%W92}9A9R94E:5z:#:?:';E<;1;Z;><KN<&<<m<@=1S=}=9>=>o[>{>)G?uq?!? @X@ko@@|AAAAABQBiB; CTFC;CRC=*DVhD>DeDedEEELnFFFFG G&GBG4H?LHOH#H4I+5I%aI'I'I<I)J'>J:fJFJIJ*2KF]K$KK&K L*LP9LSL7LMC,MpMtMAM87NpN4NvN"8O[O8yO\OPSP"QQQ`Qv*RdRSSWT# UDU%YU)U5UU4UI2VT|V?V)WB;W:~WWWW$X/*X)ZXXdX/Y 5Y@Y$IYtnYYoZX~ZZUZHE[[%\\q]&^^v_ ````Zapa*aaAab3b7Sbbb=bb-c,Dcqc4c#cMc/deDddCeZe%7f=]fJfWf9>g%xgNgFg4h/Th.h0h%h. iN9i"i i`i.-j\j5zjRjbkzfkk-kUlil!l ll l l/l m\@mymJnbn&n!nUn o+,oYXo oo-o*oS!p+upp*4q@_qBq_qZCr4rwr$Ks=pssHs0tBFtt0uBu^u|u%uuu9u/#v/SvHv.v0v%,w=Rw,w?ww)x-Dx+rx,xx@x)'y(Qy8zyy%y,yAz"azzJK{L{L{;0|l|"|2|0|9}NJ}J}2};~2S~S~W~Y2Y9) )J6t:89)Y'C+65R P%Zv>у;=L@`˄,&Jq%΅%FD%LLdK+2J &k)+S"<._%%JډL%Lr5[CQ>.ԋ;C?A;Ō>6@,wP0:&>a54֎Q ]tGDc<- "ۑ%6PGJ)%"HWp0 ғ'H'dN.۔E P-c4Lƕ-UAWn ^k7,@e[2֘  )a8cp<oWv,{.כ4.J \g}z' 4!RWt/̞:7;W-ß. KA?b9Oܡ/,D\AAP%=v>d[X{Ф|Lɥ0IzFN2d)W[$u  Ũܨ @^@<)fnr-)31]e18 Mn}y PG1CB12 1(Db¯%د=%<bD~ ðDΰl'ձ 2$rWʲ޲ #&Jew7Só6!Oq!=0]. -ȵB9Y*qʶQ:ZZB&$SD&cC#ge}&Q \t/ 4ź/1*e\A» %N5NӽB(:c!*:.e::ϿF Q+hAM#$%H?nc2!%Tz?H8"F[9I3&GZD)"xw=?!5'!zGWF7c~5l"E 1yB xz?AJ-&xSW`, $9.^ZV%1[D]&K8 88c"MJy'C a n)y.  )0AV.tbi#p 1# 2S)o%Mk}7ETvMG_5'"+(Tn, $<*W&2HLXPk- 09EjI3.Hdg4%0Ev 0.7L>H090?QpUW7p''48-6f7%A)=4g347-=?k6,##3-W;*=*'E+m)*>9F#*!HJ:8;=,8e221R';"C'Fky[,S?0&J(qAH6^:/0+1](f0DJ$o+5;M(fv_3=qCLQ r] Sbu'$&&165h~'$EjGy*.648 9DL~<:>CN :S#m0&Lf6#:+(!FhY{rdH?R#c %$% $2%W&}"H> OZagx!r )_6&$e*H 5s * 2 0 i8 & '  * : p ;8U+"a}0b+l>D*:3nm  {$%}4*C0nLY]-2/`#%ch}u2_!%2Wk%CXKl! )C6b ?=(Jf!4=<XM<I Mj * ] XA!K!i!VP"3"s"$O#t#D#l#e>$Z$D$2D%9w%E%=%B5&Ix&E&P'eY'g''(x(/)O)v*,~*v*T"+Iw+@+,:,1X, ,,9,A,H&-o-- .&.G5.}.2..+.# /00/a/Gt/#//mj0@01=1n1M2``2v283+33%44I4*5=5 T5_5@h5555556,6J6Y666*7kH7V7( 8448>i8y8+"9LN997#:P[:O:o:l;;+;:;: <+F<r<=j=8>=> S>`>}>>@>*>U ?,v?"??%?@#@9@4Y@ @@ @@L@QGAA #B+DB!pBBWB C9)C*cC!C!C)C<C(9DWbDHDWE$[E@E)E;E'F%@FfFF'G(6G _GG'G&G.G(H!>H`H|HH@H:H,I.1IC`I/IIJRK<nKK<KzL LL LNL!M$M:MZMzMXM MN2*N]NN(O OOO#O8P!NP9pPPzQ,R5?R%uRHR#R3S9\[\x\3\(\\\ ]!]5]8F]0];]]]!^*1^I\^<^^Z^Z_<t__u_I:`Q`:`a%a_a~5bGbBbT?c1ccUld`d#eeOffgf)h3hxh#=iHai9i)i+j@:jT{jlj=kZkkcl)lm<.mkmmm-nop0pNpFUpIp ppq1qGqB[qq=r[rsrrs8s?sWsms7t ;tHtAMtktSt>OuXu@u3(v[\vavLwgwwxK.yZzyXy0.z;_zAzUzZ3{U{V{:;|v||'|/|D|D}-_}7}B})~!2~*T~~-~~~V~G#\#)=+gf+#&NJ20́mlk؂1 #>.bY$/<lI*6SGJEiEMV.f5}?^Z I'V"~;ЊB fO 0ËO>DDjȌO3D9ȍl%o'')':7rtD >(_W]]>33Б=RBRSH<bK$Lq]PniGؕd ioMNaAie+E=+FDO|/Mb w z8 jC!ОVDLZnDmf6*l) ťS ڦ ǧ{ Vla\Ω,+XKt(@o*@6۫00C]tAҬ$79/q2ԭ -Ig=p24/հ7=-QH/=T//-)]1'QV3A/̴/F,Hs<ͶU?߷=M:=$Ƹ!y39Ϲ AS$L,[RKۼc' &$oTn@^оd/%8^]y"%5/Ie6?(H&qGa .3 & h>2q%9MLaZB 2Lw 2H0@5q (ZH_|]tKrg3(0_?rd#Be!uQzwf1Ul|3A5pq_HLJ CP%KzF0b HIlhgaW%KOy\I)\hPtm`Bphv%dJ{df{oUF?#vTl1G% !hR @8E"QS|>L\s;p$sjy1wEQUECA >}:a)~*  )'i)QS^[35ij8 ArLTND4t-Y~PHS?D/oMswX(g5rS*z{+ |z.R}r0T:V~?FmWI+h@<v^$j$,iX%a-e0&_.I-< _s M6jJ-;BOc8a'`j@;;zJ5:=w\Z I"f|oxl6B4g#qC*H')aBeX3mt/GqY~}w,|?m@@XQ ($~1ou9R9Woq,G~$. *] ;<fO[m _Zgnf#>]ZiXr[fLK(WevlZ7Oy@$f%VxV6Z\tMk D/n &j[= -u^ib=Do; G=)hYUZ?=kv2-4`_xT ~XkzFNULMDY4]uY_SFPBpxK<}cA.u+tWz\c2>xnS? (JOk,c]A$d0JD#X&nU3"b}9%YgIu bRSMl!h>Mj+ZV/qFgN9++!\p:K:d1b7T k`FT}iOX|d" Q (^]T/d7/!p2B3rb$^ Z j'CUG3* 'V=2 VnO H!eN:94y2M6`Bn[tL G07*8CF.1N/7t0cR{57qaPusVcnpS,>NHy#u*w9eW6TVf^`z^b1;1A@R! pqCYO){,.7/8`"}K L(Am ,QRm#vL@.6q +kE] 'EIP<EcH]6~a v&{;WDJl}-:NEow ?"8*t%8iGy=^,E|s9rsC392c&-x\l> 7'{!b5 8kP[G>|2[2i_ .JW45rxM{5hK[s)n(  4<ymDP H=R "y<e d<6C]Y0&kwIa:+x"&& `oQgAeNU'v#4K Override this so we can add completed and failed to the return result. Override this so we can set completed and failed. Add an automember rule. Add conditions to an automember rule. Delete an automember rule. Display information about an automember rule. Display information about the default (fallback) automember groups. Lockout status of a user account An account may become locked if the password is entered incorrectly too many times within a specific time period as controlled by password policy. A locked account is a temporary condition and may be unlocked by an administrator. This connects to each IPA master and displays the lockout status on each one. To determine whether an account is locked on a given server you need to compare the number of failed logins and the time of the last failure. For an account to be locked it must exceed the maxfail failures within the failinterval duration as specified in the password policy associated with the user. The failed login counter is modified only when a user attempts a log in so it is possible that an account may appear locked but the last failed login attempt is older than the lockouttime of the password policy. This means that the user may attempt a login again. Modify an automember rule. Remove conditions from an automember rule. Remove default (fallback) group for all unmatched entries. Search for automember rules. Set default (fallback) group for all unmatched entries. Unlock a user account An account may become locked if the password is entered incorrectly too many times within a specific time period as controlled by password policy. A locked account is a temporary condition and may be unlocked by an administrator. Automount Stores automount(8) configuration for autofs(8) in IPA. The base of an automount configuration is the configuration file auto.master. This is also the base location in IPA. Multiple auto.master configurations can be stored in separate locations. A location is implementation-specific with the default being a location named 'default'. For example, you can have locations by geographic region, by floor, by type, etc. Automount has three basic object types: locations, maps and keys. A location defines a set of maps anchored in auto.master. This allows you to store multiple automount configurations. A location in itself isn't very interesting, it is just a point to start a new automount map. A map is roughly equivalent to a discrete automount file and provides storage for keys. A key is a mount point associated with a map. When a new location is created, two maps are automatically created for it: auto.master and auto.direct. auto.master is the root map for all automount maps for the location. auto.direct is the default map for direct mounts and is mounted on /-. An automount map may contain a submount key. This key defines a mount location within the map that references another map. This can be done either using automountmap-add-indirect --parentmap or manually with automountkey-add and setting info to "-type=autofs :". EXAMPLES: Locations: Create a named location, "Baltimore": ipa automountlocation-add baltimore Display the new location: ipa automountlocation-show baltimore Find available locations: ipa automountlocation-find Remove a named automount location: ipa automountlocation-del baltimore Show what the automount maps would look like if they were in the filesystem: ipa automountlocation-tofiles baltimore Import an existing configuration into a location: ipa automountlocation-import baltimore /etc/auto.master The import will fail if any duplicate entries are found. For continuous operation where errors are ignored, use the --continue option. Maps: Create a new map, "auto.share": ipa automountmap-add baltimore auto.share Display the new map: ipa automountmap-show baltimore auto.share Find maps in the location baltimore: ipa automountmap-find baltimore Create an indirect map with auto.share as a submount: ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man This is equivalent to: ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Remove the auto.share map: ipa automountmap-del baltimore auto.share Keys: Create a new key for the auto.share map in location baltimore. This ties the map we previously created to auto.master: ipa automountkey-add baltimore auto.master --key=/share --info=auto.share Create a new key for our auto.share map, an NFS mount for man pages: ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Find all keys for the auto.share map: ipa automountkey-find baltimore auto.share Find all direct automount keys: ipa automountkey-find baltimore --key=/- Remove the man key from the auto.share map: ipa automountkey-del baltimore auto.share --key=man Classes to manage trust joins using DCE-RPC calls The code in this module relies heavily on samba4-python package and Samba4 python bindings. Entitlements Manage entitlements for client machines Entitlements can be managed either by registering with an entitlement server with a username and password or by manually importing entitlement certificates. An entitlement certificate contains embedded information such as the product being entitled, the quantity and the validity dates. An entitlement server manages the number of client entitlements available. To mark these entitlements as used by the IPA server you provide a quantity and they are marked as consumed on the entitlement server. Register with an entitlement server: ipa entitle-register consumer Import an entitlement certificate: ipa entitle-import /home/user/ipaclient.pem Display current entitlements: ipa entitle-status Retrieve details on entitlement certificates: ipa entitle-get Consume some entitlements from the entitlement server: ipa entitle-consume 50 The registration ID is a Unique Identifier (UUID). This ID will be IMPORTED if you have used entitle-import. Changes to /etc/rhsm/rhsm.conf require a restart of the httpd service. Group to Group Delegation A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. Group to Group Delegations grants the members of one group to update a set of attributes of members of another group. EXAMPLES: Add a delegation rule to allow managers to edit employee's addresses: ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add postalCode to the list: ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees' street" Display our updated rule: ipa delegation-show "managers edit employees' street" Delete a rule: ipa delegation-del "managers edit employees' street" Groups of Sudo Commands Manage groups of Sudo Commands. EXAMPLES: Add a new Sudo Command Group: ipa sudocmdgroup-add --desc='administrators commands' admincmds Remove a Sudo Command Group: ipa sudocmdgroup-del admincmds Manage Sudo Command Group membership, commands: ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds Manage Sudo Command Group membership, commands: ipa group-remove-member --sudocmds=/usr/bin/less admincmds Show a Sudo Command Group: ipa group-show localadmins Groups of hosts. Manage groups of hosts. This is useful for applying access control to a number of hosts by using Host-based Access Control. EXAMPLES: Add a new host group: ipa hostgroup-add --desc="Baltimore hosts" baltimore Add another new host group: ipa hostgroup-add --desc="Maryland hosts" maryland Add members to the hostgroup: ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore Add a hostgroup as a member of another hostgroup: ipa hostgroup-add-member --hostgroups=baltimore maryland Remove a host from the hostgroup: ipa hostgroup-remove-member --hosts=box2 baltimore Display a host group: ipa hostgroup-show baltimore Delete a hostgroup: ipa hostgroup-del baltimore HBAC Service Groups HBAC service groups can contain any number of individual services, or "members". Every group must have a description. EXAMPLES: Add a new HBAC service group: ipa hbacsvcgroup-add --desc="login services" login Add members to an HBAC service group: ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login Display information about a named group: ipa hbacsvcgroup-show login Add a new group to the "login" group: ipa hbacsvcgroup-add --desc="switch users" login ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login Delete an HBAC service group: ipa hbacsvcgroup-del login HBAC Services The PAM services that HBAC can control access to. The name used here must match the service name that PAM is evaluating. EXAMPLES: Add a new HBAC service: ipa hbacsvc-add tftp Modify an existing HBAC service: ipa hbacsvc-mod --desc="TFTP service" tftp Search for HBAC services. This example will return two results, the FTP service and the newly-added tftp service: ipa hbacsvc-find ftp Delete an HBAC service: ipa hbacsvc-del tftp Host-based access control Control who can access what services on what hosts and from where. You can use HBAC to control which users or groups on a source host can access a service, or group of services, on a target host. You can also specify a category of users, target hosts, and source hosts. This is currently limited to "all", but might be expanded in the future. Target hosts and source hosts in HBAC rules must be hosts managed by IPA. The available services and groups of services are controlled by the hbacsvc and hbacsvcgroup plug-ins respectively. EXAMPLES: Create a rule, "test1", that grants all users access to the host "server" from anywhere: ipa hbacrule-add --usercat=all --srchostcat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Display the properties of a named HBAC rule: ipa hbacrule-show test1 Create a rule for a specific service. This lets the user john access the sshd service on any machine from any machine: ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd Create a rule for a new service group. This lets the user john access the FTP service on any machine from any machine: ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers ipa hbacrule-add --hostcat=all --srchostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp Disable a named HBAC rule: ipa hbacrule-disable test1 Remove a named HBAC rule: ipa hbacrule-del allow_server Hosts/Machines A host represents a machine. It can be used in a number of contexts: - service entries are associated with a host - a host stores the host/ service principal - a host can be used in Host-based Access Control (HBAC) rules - every enrolled client generates a host entry ENROLLMENT: There are three enrollment scenarios when enrolling a new client: 1. You are enrolling as a full administrator. The host entry may exist or not. A full administrator is a member of the hostadmin role or the admins group. 2. You are enrolling as a limited administrator. The host must already exist. A limited administrator is a member a role with the Host Enrollment privilege. 3. The host has been created with a one-time password. A host can only be enrolled once. If a client has enrolled and needs to be re-enrolled, the host entry must be removed and re-created. Note that re-creating the host entry will result in all services for the host being removed, and all SSL certificates associated with those services being revoked. A host can optionally store information such as where it is located, the OS that it runs, etc. EXAMPLES: Add a new host: ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com Delete a host: ipa host-del test.example.com Add a new host with a one-time password: ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Add a new host with a random one-time password: ipa host-add --os='Fedora 12' --random test.example.com Modify information about a host: ipa host-mod --os='Fedora 12' test.example.com Remove SSH public keys of a host and update DNS to reflect this change: ipa host-mod --sshpubkey= --updatedns test.example.com Disable the host Kerberos key, SSL certificate and all of its services: ipa host-disable test.example.com Add a host that can manage this host's keytab and certificate: ipa host-add-managedby --hosts=test2 test IPA certificate operations Implements a set of commands for managing server SSL certificates. Certificate requests exist in the form of a Certificate Signing Request (CSR) in PEM format. If using the selfsign back end then the subject in the CSR needs to match the subject configured in the server. The dogtag CA uses just the CN value of the CSR and forces the rest of the subject. A certificate is stored with a service principal and a service principal needs a host. In order to request a certificate: * The host must exist * The service must exist (or you use the --add option to automatically add it) EXAMPLES: Request a new certificate and add the principal: ipa cert-request --add --principal=HTTP/lion.example.com example.csr Retrieve an existing certificate: ipa cert-show 1032 Revoke a certificate (see RFC 5280 for reason details): ipa cert-revoke --revocation-reason=6 1032 Remove a certificate from revocation hold status: ipa cert-remove-hold 1032 Check the status of a signing request: ipa cert-status 10 IPA currently immediately issues (or declines) all certificate requests so the status of a request is not normally useful. This is for future use or the case where a CA does not immediately issue a certificate. The following revocation reasons are supported: * 0 - unspecified * 1 - keyCompromise * 2 - cACompromise * 3 - affiliationChanged * 4 - superseded * 5 - cessationOfOperation * 6 - certificateHold * 8 - removeFromCRL * 9 - privilegeWithdrawn * 10 - aACompromise Note that reason code 7 is not used. See RFC 5280 for more details: http://www.ietf.org/rfc/rfc5280.txt Kerberos pkinit options Enable or disable anonymous pkinit using the principal WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with pkinit support. EXAMPLES: Enable anonymous pkinit: ipa pkinit-anonymous enable Disable anonymous pkinit: ipa pkinit-anonymous disable For more information on anonymous pkinit see: http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Kerberos ticket policy There is a single Kerberos ticket policy. This policy defines the maximum ticket lifetime and the maximum renewal age, the period during which the ticket is renewable. You can also create a per-user ticket policy by specifying the user login. For changes to the global policy to take effect, restarting the KDC service is required, which can be achieved using: service krb5kdc restart Changes to per-user policies take effect immediately for newly requested tickets (e.g. when the user next runs kinit). EXAMPLES: Display the current Kerberos ticket policy: ipa krbtpolicy-show Reset the policy to the default: ipa krbtpolicy-reset Modify the policy to 8 hours max life, 1-day max renewal: ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Display effective Kerberos ticket policy for user 'admin': ipa krbtpolicy-show admin Reset per-user policy for user 'admin': ipa krbtpolicy-reset admin Modify per-user policy for user 'admin': ipa krbtpolicy-mod admin --maxlife=3600 Migration to IPA Migrate users and groups from an LDAP server to IPA. This performs an LDAP query against the remote server searching for users and groups in a container. In order to migrate passwords you need to bind as a user that can read the userPassword attribute on the remote server. This is generally restricted to high-level admins such as cn=Directory Manager in 389-ds (this is the default bind user). The default user container is ou=People. The default group container is ou=Groups. Users and groups that already exist on the IPA server are skipped. Two LDAP schemas define how group members are stored: RFC2307 and RFC2307bis. RFC2307bis uses member and uniquemember to specify group members, RFC2307 uses memberUid. The default schema is RFC2307bis. The schema compat feature allows IPA to reformat data for systems that do not support RFC2307bis. It is recommended that this feature is disabled during migration to reduce system overhead. It can be re-enabled after migration. To migrate with it enabled use the "--with-compat" option. Migrated users do not have Kerberos credentials, they have only their LDAP password. To complete the migration process, users need to go to http://ipa.example.com/ipa/migration and authenticate using their LDAP password in order to generate their Kerberos credentials. Migration is disabled by default. Use the command ipa config-mod to enable it: ipa config-mod --enable-migration=TRUE If a base DN is not provided with --basedn then IPA will use either the value of defaultNamingContext if it is set or the first value in namingContexts set in the root of the remote LDAP server. EXAMPLES: The simplest migration, accepting all defaults: ipa migrate-ds ldap://ds.example.com:389 Specify the user and group container. This can be used to migrate user and group data from an IPA v1 server: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Since IPA v2 server already contain predefined groups that may collide with groups in migrated (IPA v1) server (for example admins, ipausers), users having colliding group as their primary group may happen to belong to an unknown group on new IPA v2 server. Use --group-overwrite-gid option to overwrite GID of already existing groups to prevent this issue: ipa migrate-ds --group-overwrite-gid \ --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Migrated users or groups may have object class and accompanied attributes unknown to the IPA v2 server. These object classes and attributes may be left out of the migration process: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ --user-ignore-objectclass=radiusprofile \ --user-ignore-attribute=radiusgroupname \ ldap://ds.example.com:389 Misc plug-ins Netgroups A netgroup is a group used for permission checking. It can contain both user and host values. EXAMPLES: Add a new netgroup: ipa netgroup-add --desc="NFS admins" admins Add members to the netgroup: ipa netgroup-add-member --users=tuser1,tuser2 admins Remove a member from the netgroup: ipa netgroup-remove-member --users=tuser2 admins Display information about a netgroup: ipa netgroup-show admins Delete a netgroup: ipa netgroup-del admins Password policy A password policy sets limitations on IPA passwords, including maximum lifetime, minimum lifetime, the number of passwords to save in history, the number of character classes required (for stronger passwords) and the minimum password length. By default there is a single, global policy for all users. You can also create a password policy to apply to a group. Each user is only subject to one password policy, either the group policy or the global policy. A group policy stands alone; it is not a super-set of the global policy plus custom settings. Each group password policy requires a unique priority setting. If a user is in multiple groups that have password policies, this priority determines which password policy is applied. A lower value indicates a higher priority policy. Group password policies are automatically removed when the groups they are associated with are removed. EXAMPLES: Modify the global policy: ipa pwpolicy-mod --minlength=10 Add a new group password policy: ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Display the global password policy: ipa pwpolicy-show Display a group password policy: ipa pwpolicy-show localadmins Display the policy that would be applied to a given user: ipa pwpolicy-show --user=tuser1 Modify a group password policy: ipa pwpolicy-mod --minclasses=2 localadmins Permissions A permission enables fine-grained delegation of rights. A permission is a human-readable form of a 389-ds Access Control Rule, or instruction (ACI). A permission grants the right to perform a specific task such as adding a user, modifying a group, etc. A permission may not contain other permissions. * A permission grants access to read, write, add or delete. * A privilege combines similar permissions (for example all the permissions needed to add a user). * A role grants a set of privileges to users, groups, hosts or hostgroups. A permission is made up of a number of different parts: 1. The name of the permission. 2. The target of the permission. 3. The rights granted by the permission. Rights define what operations are allowed, and may be one or more of the following: 1. write - write one or more attributes 2. read - read one or more attributes 3. add - add a new entry to the tree 4. delete - delete an existing entry 5. all - all permissions are granted Read permission is granted for most attributes by default so the read permission is not expected to be used very often. Note the distinction between attributes and entries. The permissions are independent, so being able to add a user does not mean that the user will be editable. There are a number of allowed targets: 1. type: a type of object (user, group, etc). 2. memberof: a member of a group or hostgroup 3. filter: an LDAP filter 4. subtree: an LDAP filter specifying part of the LDAP DIT. This is a super-set of the "type" target. 5. targetgroup: grant access to modify a specific group (such as granting the rights to manage group membership) EXAMPLES: Add a permission that grants the creation of users: ipa permission-add --type=user --permissions=add "Add Users" Add a permission that grants the ability to manage group membership: ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Ping the remote IPA server to ensure it is running. The ping command sends an echo request to an IPA server. The server returns its version information. This is used by an IPA client to confirm that the server is available and accepting requests. The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first. If it does not respond then the client will contact any servers defined by ldap SRV records in DNS. EXAMPLES: Ping an IPA server: ipa ping ------------------------------------------ IPA server version 2.1.9. API version 2.20 ------------------------------------------ Ping an IPA server verbosely: ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml' ----------------------------------------------------- IPA server version 2.1.9. API version 2.20 ----------------------------------------------------- Privileges A privilege combines permissions into a logical task. A permission provides the rights to do a single task. There are some IPA operations that require multiple permissions to succeed. A privilege is where permissions are combined in order to perform a specific task. For example, adding a user requires the following permissions: * Creating a new user entry * Resetting a user password * Adding the new user to the default IPA users group Combining these three low-level tasks into a higher level task in the form of a privilege named "Add User" makes it easier to manage Roles. A privilege may not contain other privileges. See role and permission for additional information. Roles A role is used for fine-grained delegation. A permission grants the ability to perform given low-level tasks (add a user, modify a group, etc.). A privilege combines one or more permissions into a higher-level abstraction such as useradmin. A useradmin would be able to add, delete and modify users. Privileges are assigned to Roles. Users, groups, hosts and hostgroups may be members of a Role. Roles can not contain other roles. EXAMPLES: Add a new role: ipa role-add --desc="Junior-level admin" junioradmin Add some privileges to this role: ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Add a group of users to this role: ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Display information about a role: ipa role-show junioradmin The result of this is that any users in the group 'junioradmin' can add users, reset passwords or add a user to the default IPA user group. SELinux User Mapping Map IPA users to SELinux users by host. Hosts, hostgroups, users and groups can be either defined within the rule or it may point to an existing HBAC rule. When using --hbacrule option to selinuxusermap-find an exact match is made on the HBAC rule name, so only one or zero entries will be returned. EXAMPLES: Create a rule, "test1", that sets all users to xguest_u:s0 on the host "server": ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1 ipa selinuxusermap-add-host --hosts=server.example.com test1 Create a rule, "test2", that sets all users to guest_u:s0 and uses an existing HBAC rule for users and hosts: ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2 Display the properties of a rule: ipa selinuxusermap-show test2 Create a rule for a specific user. This sets the SELinux context for user john to unconfined_u:s0-s0:c0.c1023 on any machine: ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined ipa selinuxusermap-add-user --users=john john_unconfined Disable a rule: ipa selinuxusermap-disable test1 Enable a rule: ipa selinuxusermap-enable test1 Find a rule referencing a specific HBAC rule: ipa selinuxusermap-find --hbacrule=allow_some Remove a rule: ipa selinuxusermap-del john_unconfined SEEALSO: The list controlling the order in which the SELinux user map is applied and the default SELinux user are available in the config-show command. Self-service Permissions A permission enables fine-grained delegation of permissions. Access Control Rules, or instructions (ACIs), grant permission to permissions to perform given tasks such as adding a user, modifying a group, etc. A Self-service permission defines what an object can change in its own entry. EXAMPLES: Add a self-service rule to allow users to manage their address: ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address" When managing the list of attributes you need to include all attributes in the list, including existing ones. Add telephoneNumber to the list: ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address" Display our updated rule: ipa selfservice-show "Users manage their own address" Delete a rule: ipa selfservice-del "Users manage their own address" Server configuration Manage the default values that IPA uses and some of its tuning parameters. NOTES: The password notification value (--pwdexpnotify) is stored here so it will be replicated. It is not currently used to notify users in advance of an expiring password. Some attributes are read-only, provided only for information purposes. These include: Certificate Subject base: the configured certificate subject base, e.g. O=EXAMPLE.COM. This is configurable only at install time. Password plug-in features: currently defines additional hashes that the password will generate (there may be other conditions). When setting the order list for mapping SELinux users you may need to quote the value so it isn't interpreted by the shell. EXAMPLES: Show basic server configuration: ipa config-show Show all configuration options: ipa config-show --all Change maximum username length to 99 characters: ipa config-mod --maxusername=99 Increase default time and size limits for maximum IPA server search: ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 Set default user e-mail domain: ipa config-mod --emaildomain=example.com Enable migration mode to make "ipa migrate-ds" command operational: ipa config-mod --enable-migration=TRUE Define SELinux user map order: ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' Set a user's password If someone other than a user changes that user's password (e.g., Helpdesk resets it) then the password will need to be changed the first time it is used. This is so the end-user is the only one who knows the password. The IPA password policy controls how often a password may be changed, what strength requirements exist, and the length of the password history. EXAMPLES: To reset your own password: ipa passwd To change another user's password: ipa passwd tuser1 Simulate use of Host-based access controls HBAC rules control who can access what services on what hosts and from where. You can use HBAC to control which users or groups can access a service, or group of services, on a target host. Since applying HBAC rules implies use of a production environment, this plugin aims to provide simulation of HBAC rules evaluation without having access to the production environment. Test user coming to a service on a named host against existing enabled rules. ipa hbactest --user= --host= --service= [--rules=rules-list] [--nodetail] [--enabled] [--disabled] [--srchost= ] [--sizelimit= ] --user, --host, and --service are mandatory, others are optional. If --rules is specified simulate enabling of the specified rules and test the login of the user using only these rules. If --enabled is specified, all enabled HBAC rules will be added to simulation If --disabled is specified, all disabled HBAC rules will be added to simulation If --nodetail is specified, do not return information about rules matched/not matched. If both --rules and --enabled are specified, apply simulation to --rules _and_ all IPA enabled rules. If no --rules specified, simulation is run against all IPA enabled rules. By default there is a IPA-wide limit to number of entries fetched, you can change it with --sizelimit option. If --srchost is specified, it will be ignored. It is left because of compatibility reasons only. EXAMPLES: 1. Use all enabled HBAC rules in IPA database to simulate: $ ipa hbactest --user=a1a --host=bar --service=sshd -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 2. Disable detailed summary of how rules were applied: $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Access granted: True -------------------- 3. Test explicitly specified HBAC rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: myrule 4. Use all enabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --enabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule matched: allow_all 5. Test all disabled HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Access granted: False --------------------- notmatched: new-rule 6. Test all disabled HBAC rules in IPA database + explicitly specified rules: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --disabled --------------------- Access granted: False --------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule 7. Test all (enabled and disabled) HBAC rules in IPA database: $ ipa hbactest --user=a1a --host=bar --service=sshd --enabled --disabled -------------------- Access granted: True -------------------- notmatched: my-second-rule notmatched: my-third-rule notmatched: myrule notmatched: new-rule matched: allow_all Sudo Commands Commands used as building blocks for sudo EXAMPLES: Create a new command ipa sudocmd-add --desc='For reading log files' /usr/bin/less Remove a command ipa sudocmd-del /usr/bin/less ${count} items were disabled${count} items were enabled${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(container)s LDAP search did not return any result (search base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service matched%(count)d services matched%(count)d trust matched%(count)d trusts matched%(count)d user matched%(count)d users matched%(count)d variables%(cver)s client incompatible with %(sver)s server at %(server)r%(desc)s: %(info)s%(host)s failed%(host)s failed: %(error)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(name)r is required%(obj)s default attribute %(attr)s would not be allowed!%(oname)s with name "%(pkey)s" already exists%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(user)s is not a POSIX user%s Record%s is not a valid attribute.%s record'${port}' is not a valid port'%(entry)s' doesn't have a certificate.'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reason
  1. Examples uses NSS database located in current directory. Replace "-d ." in example with "-d /path/to/database" if NSS database is located elsewhere. If you don't have a NSS database you can create one in current directory by "certutil -N -d ."
  2. Create a CSR with "CN=${hostname},O=${realm}", for example:
    # certutil -R -d . -a -g 2048 -s 'CN=${hostname},O=${realm}'
  3. Copy and paste the CSR (the text block which starts with "-----BEGIN NEW CERTIFICATE REQUEST-----" and ends with "-----END NEW CERTIFICATE REQUEST-----") below:
A SYSTEM permission may not be modifiedA SYSTEM permission may not be removedA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA list of global forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A list of per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"A managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA string searched in all relevant object attributesAA CompromiseACIACI nameACI prefixACI prefix is requiredACI with name "%s" not foundACIsAD Trust setupAD domain controllerAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActive Directory domainActive Directory domain administratorActive Directory domain rangeActive zoneAddAdd ${entity}Add ${entity} ${primary_key} into ${other_entity}Add ${other_entity} Managing ${entity} ${primary_key}Add ${other_entity} into ${entity} ${primary_key}Add Allow ${other_entity} into ${entity} ${primary_key}Add Condition into ${pkey}Add Deny ${other_entity} into ${entity} ${primary_key}Add ManyAdd PermissionAdd RuleAdd RunAs ${other_entity} into ${entity} ${primary_key}Add RunAs Groups into ${entity} ${primary_key}Add Source ${other_entity} into ${entity} ${primary_key}Add a new HBAC service group.Add a new HBAC service.Add a new IPA new service.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new self-service permission.Add a new user.Add a permission for per-zone access delegation.Add a system permission without an ACIAdd an attribute/value pair. Format is attr=value. The attribute must be part of the schema.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd commands and sudo command groups affected by Sudo Rule.Add group for Sudo to execute as.Add hosts and hostgroups affected by Sudo Rule.Add hosts that can manage this host.Add hosts that can manage this service.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a privilege.Add members to a role.Add members to an HBAC service group.Add new DNS resource record.Add new trust to useAdd permissions to a privilege.Add privileges to a role.Add services to an HBAC rule.Add source hosts and hostgroups from a HBAC rule.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add the host to DNS with this IP addressAdd the nameserver to DNS with this IP addressAdd users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Added Active Directory trust for realm "%(value)s"Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID range "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added system permission "%(value)s"Added user "%(value)s"Address not valid, can't redirectAdministrative accountAdministrator e-mail addressAffiliation ChangedAlgorithmAll commands should at least have a resultAllowAllow PTR syncAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllows migration despite the usage of compat pluginAlready registeredAltitudeAn IPA master host cannot be deleted or disabledAn error occurred while fetching dns zones.An interval between regular polls of the name server for new DNS zonesAny CommandAny GroupAny HostAny ServiceAnyoneApplyApply ACI to your own entry (self)Are you sure you want to ${action} the user?
The change will take effect immediately.Are you sure you want to delete ${object}Are you sure you want to delete selected entries?Are you sure you want to disable ${object}Are you sure you want to disable selected entries?Are you sure you want to enable ${object}Are you sure you want to enable selected entries?Are you sure you want to proceed with the action.Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?As WhomAsks for a non-random password to use for the principalAt least the domain or IP address should be specifiedAttributeAttribute KeyAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAuditAuthoritative nameserverAuthoritative nameserver domain nameAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!AutomemberAutomember RuleAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad or unsupported salt type. Bad search filter %(info)sBase DNBase DN on remote LDAP serverBase IDBase for certificate subjects (OU=Test,O=Example)Base-64 encoded server certificateBase64 decoding failed: %(reason)sBind DNBind failed: %s Bind password required when using a bind DN. Built-in commands:CA CompromiseCIFS credentials objectCIFS server %(host)s denied your credentialsCIFS server communication error: code "%(num)s", message "%(message)s" (both may be "None")CIFS server denied your credentialsCNAME record is not allowed to coexist with any other records except PTRCSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot establish LSA connection to %(host)s. Is CIFS server running?Cannot find specified domain or server nameCannot perform join operation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPACannot perform join operation without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot resolve KDC for requested realmCar LicenseCertificateCertificate HoldCertificate RevokedCertificate Subject baseCertificate TypeCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate operation cannot be completed: %(error)sCertificate requestedCertificate restoredCertificate stored in file '%(file)s'Certificate subject base is: %s Certificate/CRLCertificatesCessation of OperationChange to POSIX groupChange to external groupChanged password for "%(value)s"Character classesCheck the status of a certificate signing request.Checking if record exists.CityClassClick to ${action}Client is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.CloseClosing keytab failed Collapse AllComma separated encryption types listComma-separated list of attributesComma-separated list of attributes to be ignored for group entries in DSComma-separated list of attributes to be ignored for user entries in DSComma-separated list of objectclasses to be ignored for group entries in DSComma-separated list of objectclasses to be ignored for user entries in DSComma-separated list of objectclasses used to search for group entries in DSComma-separated list of objectclasses used to search for user entries in DSComma-separated list of permissions to grant (read, write). Default is write.Comma-separated list of permissions to grant (read, write, add, delete, all)Comma-separated list of raw %s recordsCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommands for controlling sudo configurationCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfirmationConsecutive failures before lockoutConsumeConsume EntitlementConsume an entitlement.ConsumedConsumed %(value)s entitlement(s).Contact SettingsContact this specific KDC ServerContinueContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Could not get %(name)s interactivelyCreate a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create as a non-POSIX groupCreate dns recordCreate new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Creating record.Credentials cache permissions incorrectCurrent DNS record contents: Current PasswordCurrent password is requiredDN of container for groups in DS relative to base DNDN of container for users in DS relative to base DNDN to bind as if not using kerberosDNSDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ZoneDNS Zone SettingsDNS ZonesDNS classDNS configuration optionsDNS is not configuredDNS label cannot be longer that 63 charactersDNS record was deleted because it contained no data.DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone for IP address %(addr)s not foundDNS zoneDNS zone %(zone)s not foundDNS zone root record cannot be renamedDNS zonesDataDebugging outputDefault (fallback) GroupDefault (fallback) group for entries to landDefault SELinux userDefault SELinux user when no match is found in SELinux map ruleDefault e-mail domainDefault group for entries to landDefault group for new usersDefault group for new users is not POSIXDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default host groupDefault location of home directoriesDefault shellDefault shell for new usersDefault user groupDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDegrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete DNS resource record.Delete DNS zone (SOA record).Delete Key, UnprovisionDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a self-service permission.Delete a trust.Delete a user.Delete all associated recordsDelete all?Delete an HBAC rule.Delete an HBAC service group.Delete an ID range.Delete an IPA service.Delete an attribute/value pair. The option will be evaluated last, after all sets and adds.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete group.Deleted ACI "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID range "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted trust "%(value)s"Deleted user "%(value)s"Deleting a managed group is not allowed. It must be detached first.DenyDescriptionDetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"Dict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping variable name to valueDigestDigest TypeDirectDirect MembershipDirection LatitudeDirection LongitudeDisableDisable DNS Zone.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.DisabledDisabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled host "%(value)s"Disabled service "%(value)s"Disabled user account "%(value)s"Display DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display an automount key.Display an automount location.Display an automount map.Display current entitlements.Display effective policy for a specific userDisplay information about a DNS zone (SOA record).Display information about a delegation.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a trust.Display information about a user.Display information about an HBAC service group.Display information about an HBAC service.Display information about an IPA service.Display information about password policy.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDomainDomain NetBIOS nameDomain SIDDomain SID of the trusted domainDomain Security IdentifierDomain controller for the Active Directory domain (optional)Don't create user private groupDownloadDownload CertificateDynamic updateEditEdit ${entity}Email addressEmployee InformationEnableEnable DNS Zone.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.EnabledEnabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed! EndEnrolledEnrollmentEnrollment UUIDEnrollment UUID (not implemented)Enrollment failed. %s Enter %(label)s again to verify: Enter the Base64-encoded entitlement certificate below:EntitlementEntitlement(s) synchronized.EntitlementsEntryErrorError changing account statusError getting default Kerberos realm: %s. Error obtaining initial credentials: %s. Error parsing "%1$s": %2$s. Error resolving keytab: %s. Error storing creds in credential cache: %s. Establish usingEstablished and verifiedExchangerExclusiveExclusive RegexExpand AllExpires OnExpressionExternalExternal Group the commands can run as (sudorule-find only)External UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExtra hashes to generate in password plug-inFailed RunAsFailed RunAsGroupFailed hosts/hostgroupsFailed loginsFailed managedbyFailed membersFailed service/service groupsFailed source hosts/hostgroupsFailed to addFailed to add key to the keytab Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to close the keytab Failed to create control! Failed to create key material Failed to create key! Failed to create random key! Failed to open Keytab Failed to open keytab Failed to open keytab '%1$s': %2$s Failed to removeFailed to retrieve any keysFailed to retrieve encryption type %1$s (#%2$d) Failed to retrieve encryption type type #%d Failed users/groupsFailure decoding Certificate Signing RequestFailure decoding Certificate Signing Request:Failure decoding Certificate Signing Request: %sFailure reset intervalFalseFalse if migration fails because the compatibility plug-in is enabled.False if migration mode was disabled.Fax NumberFetching DNS zones.File %(file)s not foundFile to store the certificate in.File were to store the keytab informationFilename is emptyFilterFindFingerprintFingerprint (MD5)Fingerprint (SHA1)Fingerprint TypeFingerprintsFirst Posix ID of the rangeFirst Posix ID of the range reserved for the trusted domainFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst nameFlagsForceForce DNS zone creation even if nameserver not in DNS.Forward firstForward onlyForward policyForward to server instead of running locallyForward zones onlyFound '%(value)s'FromFull nameFully Qualified Host NameGECOS fieldGIDGID (use this option to set it manually)GeneralGenerate a random password to be used in bulk enrollmentGenerate a random user passwordGenerate automount files for a specific location.GetGlobal DNS configuration is emptyGlobal forwardersGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup OptionsGroup SettingsGroup TypeGroup containerGroup descriptionGroup nameGroup object classGroup to apply ACI toGroup: %s not found!Grouping TypeGrouping to which the rule appliesGroupsGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC servicesHTTP ErrorHardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Help subtopics:Help topics:Hide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost Based Access ControlHost CertificateHost GroupHost Group SettingsHost GroupsHost NameHost SettingsHost based access control commandsHost categoryHost category the rule applies toHost does not have corresponding DNS A recordHost group ruleHost group rulesHost hardware platform (e.g. "Lenovo T61")Host is already joined. Host locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host unprovisionedHost-based access control commandsHost-groupHostnameHostname of this serverHostsHow long should negative responses be cachedID RangeID RangesID range already exists, must be added manuallyID range existsID range with the same name but different domain SID already exists. The ID range for the new trusted domain must be created manually.IP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP network to create reverse zone name fromIPA ErrorIPA ServerIPA Server to useIPA namingContext not found IPA unique IDIdentityIdentity SettingsIf the problem persists please contact the system administrator.Ignore compat pluginIgnore group attributeIgnore group object classIgnore user attributeIgnore user object classImportImport CertificateImport an entitlement certificate.Import automount files for a specific location.Include DisabledInclude EnabledInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]InclusiveInclusive RegexIncorrect password. IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInitialsInput form contains invalid or missing values.Insufficient 'write' privilege to the 'krbLastPwdChange' attribute of entry '%s'.Insufficient 'write' privilege to the 'userCertificate' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to create a certificate with subject alt name '%s'.Internal ErrorInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid MCS value, must match c[0-1023].c[0-1023] and/or c[0-1023]-c[0-c0123]Invalid MLS value, must match s[0-15](-s[0-15])Invalid SELinux user name, only a-Z and _ are allowedInvalid Service Principal Name Invalid credentialsInvalid format. Should be name=valueInvalid number of parts!Invalid or unsupported type. Allowed values are: %sIs zone active?IssueIssue New Certificate for ${entity} ${primary_key}Issued ByIssued OnIssued ToIssuerIssuer "%(issuer)s" does not match the expected issuerItems addedItems removedJob TitleKerberos Credential Cache not found. Do you have a Kerberos Ticket? Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache? Kerberos context initialization failed Kerberos context initialization failed: %1$s (%2$d) Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s LDAP DNLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLabelsLast failed authenticationLast nameLast successful authenticationLeading and trailing spaces are not allowedLegal LDAP filter (e.g. ou=Engineering)List of deletions that failedLists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Loading...Local domainLocalityLocationLockout durationLogged In AsLoginLogin shellLogoutLogout errorMAC addressMD5 FingerprintMailing AddressMalformed DNManage password policy for specific groupManage ticket policy for specific userManagedby permissionManagerMapMap TypeMaster fileMatchedMatched rulesMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum number of entries returnedMaximum number of records to search (-1 is unlimited)Maximum number of rules to process when no --rules is specifiedMaximum password life must be greater than minimum.Maximum password lifetime (in days)Maximum renewable age (seconds)Maximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember HBAC serviceMember HBAC service groupsMember HostMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember service groupsMember servicesMember user groupMember usersMembers that could not be addedMembers that could not be removedMigrate users and groups from DS to IPA.Migration mode is disabled. Use 'ipa config-mod' to enable it.Migration of LDAP search reference is not supported.Min lengthMin lifetime (hours)Minimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing or invalid HTTP Referer, %(referer)sMissing reply control! Missing values: Mobile Telephone NumberModifiedModified ACI "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified trust "%(value)s"Modified user "%(value)s"Modified: key not setModify %(name)s '%(value)s'?Modify DNS zone (SOA record).Modify ID range.Modify Kerberos ticket policy.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a DNS resource record.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a self-service permission.Modify a user.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify information about a host.More than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMust be a decimal numberMust be an integerNIS domain nameName of command to exportName of host-groupName of method to exportName of object to exportName of parent automount map (default: auto.master).Nameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver address is not a fully qualified domain nameNeither --del-all nor options to delete a specific record provided. Command help may be consulted for all supported record types.Nested Methods to executeNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew mount informationNew name can not be emptyNew password is requiredNew: key not setNew: key setNextNext Domain NameNo Certificate.No Valid CertificateNo credentials cache foundNo default (fallback) group setNo entries.No file to readNo keys accepted by KDC No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain. No permission to registerNo responseNo such attribute on this entryNo such virtual commandNo system preferred enctypes ?! No values for %sNo write permissions on keytab file '%s' Non-Active Directory domainNon-existent or invalid rulesNormalNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot a valid network addressNot an entitlement certificateNot enough arguments specified to perform trust setupNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of entries returnedNumber of members addedNumber of members removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of variables returned (<= total)OKOTP setOne of group, permission or self is requiredOne-Time-PasswordOne-Time-Password Not PresentOne-Time-Password PresentOnly one value is allowedOperating System and version of the host (e.g. Fedora 9)Operating systemOperation failed! %s Operations ErrorOption addedOption(s) removedOptionsOptions dom_sid and rid_base must be used togetherOptions dom_sid and secondary_rid_base cannot be used togetherOptions secondary_rid_base and rid_base must be used togetherOrderOrder in increasing priority of SELinux users, delimited by $Org. UnitOrganizationOrganizational UnitOriginal TTLOther Record TypesOut of Memory! Out of memory Out of memory Out of memory!Out of memory! Out of memory!? Output filenameOutput only on errorsOverwrite GIDPAC typePKINITPOSIXPagePager NumberParent mapParse all raw DNS records and return them in a structured wayPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword plugin featuresPassword reset was not successful.Password used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords have been migrated in pre-hashed format. IPA is unable to generate Kerberos keys unless provided with clear text passwords. All migrated users need to login at https://your.domain/ipa/migration/ before they can use their Kerberos accounts.Passwords must matchPeriod after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission TypePermission denied: %(file)sPermission namePermission typePermission with invalid target specificationPermissionsPermitted Encryption TypesPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease try the following options:PolicyPortPositional argumentsPre-shared passwordPreferencePreference given to this exchanger. Lower values are more preferredPrefix used to distinguish ACI types (permission, delegation, selfservice, none)PrevPrimary RID basePrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal is not of the form user@REALM: %(principal)rPrincipal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority of the policy (higher number means lower priorityPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProductPrompt to set the user passwordProspectiveProtocolProvisioningPublic KeyPurpose: %sQuantityQuery returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.RFC4120-compliant Kerberos realmRandom passwordRange SettingsRange nameRange sizeRange typeRaw value of a DNS record was already set by "%(name)s" optionRe-sync the local entitlement cache with the entitlement server.Realm administrator password should be specifiedRealm nameReasonReason for RevocationReason for revoking the certificate (0-10)Record TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRedirection to PTR recordRefreshRefresh the page.RegisterRegister to the entitlement system.Registered to entitlement server.Registering to specific UUID is not supported yet.RegistrationRegistration passwordRegular ExpressionReload the browser.Remove ${entity}Remove ${entity} ${primary_key} from ${other_entity}Remove ${other_entity} Managing ${entity} ${primary_key}Remove ${other_entity} from ${entity} ${primary_key}Remove Allow ${other_entity} from ${entity} ${primary_key}Remove Deny ${other_entity} from ${entity} ${primary_key}Remove PermissionRemove RunAs ${other_entity} from ${entity} ${primary_key}Remove RunAs Groups from ${entity} ${primary_key}Remove Source ${other_entity} from ${entity} ${primary_key}Remove a permission for per-zone access delegation.Remove all principals in this realmRemove an option from Sudo Rule.Remove commands and sudo command groups affected by Sudo Rule.Remove entries from DNSRemove from CRLRemove group for Sudo to execute as.Remove hosts and hostgroups affected by Sudo Rule.Remove hosts that can manage this host.Remove hosts that can manage this service.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a role.Remove members from an HBAC service group.Remove permissions from a privilege.Remove privileges from a role.Remove service and service groups from an HBAC rule.Remove source hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Removed condition(s) from "%(value)s"Removed default (fallback) group for automember "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing principal %s RenameRename the %(ldap_obj_name)s objectRenamed ACI to "%(value)s"ReplacementRequest idRequest is missing "method"Request is missing "params"Request must be a dictRequest statusRequest subject "%(request_subject)s" does not match the form "%(subject_base)s"Required fieldResetReset Kerberos ticket policy to the default values.Reset OTPReset One-Time-PasswordReset PasswordReset Password and LoginReset your password.Resolve a host name in DNS.RestoreRestore Certificate for ${entity} ${primary_key}Result of simulationResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Retrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve the entitlement certs.Retrieving CA cert chain failed: %sRetryReturn to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkReverse zone for PTR record should be a sub-zone of one the following fully qualified domains: %sRevocation reasonRevokeRevoke Certificate for ${entity} ${primary_key}Revoke a certificate.RevokedRightsRoleRole Based Access ControlRole SettingsRole nameRolesRule nameRule statusRule typeRule type (allow)RulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersRunAsGroup does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a group nameRunAsUser does not accept '%(name)s' as a user nameSELinux OptionsSELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user map default user not in order listSELinux user map list not found in configurationSELinux user map orderSHA1 FingerprintSOA classSOA expireSOA minimumSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA record time to liveSOA refreshSOA retrySOA serialSOA time to liveSSH public keySSH public key fingerprintSSH public key:SSH public keysSearchSearch OptionsSearch for %(searched_object)s with these %(relationship)s %(ldap_object)s.Search for %(searched_object)s without these %(relationship)s %(ldap_object)s.Search for %1$s on rootdse failed with error %2$d Search for DNS resources.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA namingContext failed with error %d Search for IPA services.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an HBAC service group.Search for an automount key.Search for an automount location.Search for an automount map.Search for delegations.Search for entitlement accounts.Search for forward zones onlySearch for group password policies.Search for groups.Search for hostgroups.Search for hosts.Search for ipaCertificateSubjectBase failed with error %dSearch for permissions.Search for privileges.Search for ranges.Search for roles.Search for trusts.Search for users.Search size limitSearch time limitSecondary RID baseSeconds LatitudeSeconds LongitudeSelect AllSelect entries to be removed.Selected entries were deleted.SelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServerServer NameServiceService %(service)r not found in Kerberos databaseService CertificateService GroupsService OptionsService SettingsService categoryService category the rule applies toService group nameService nameService principalService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService unprovisionedServicesSession errorSetSet OTPSet One-Time-PasswordSet SSH keySet a user's password.Set an attribute to a name/value pair. Format is attr=value. For multi-valued attributes, the command replaces the values already present.Set default (fallback) group for automember "%(value)s"SettingsShared secret for the trustShow ResultsShow all loaded plugins.Show detailsShow environment variables.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShow/Set keyShowing ${start} to ${end} of ${total} entries.SignatureSignature ExpirationSignature InceptionSigner's NameSimple bind failed Simulate use of Host-based access controlsSizeSize LimitSize of the ID range reserved for the trusted domainSome entries were not deletedSome operations failed.Source Host GroupsSource HostsSource hostSource host categorySource host category the rule applies toSourcehost value of rule "%s" is ignoredSpecified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified Services and GroupsSpecified Users and GroupsSpecifies where to store keytab information.Specify external ${entity}Standard Record TypesStartState/ProvinceStatusStreet addressStructuredSubjectSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSudo orderSupersededSupported encryption types: Syntax Error: %(error)sTake a revoked certificate off hold.TargetTarget groupTarget hostTarget members of a groupTarget reverse zone not found.Target your own entry (self)Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe IPA realmThe automount key %(key)s with info %(info)s does not existThe character '%(char)r' is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain name of the target host or '.' if the service is decidedly not available at this domainThe group doesn't existThe host '%s' does not exist to add a service to.The host was added but the DNS update failed with: %(exc)sThe hostname must be fully-qualified: %s The hostname must not be: %s The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe most common types for this type of zone are: %s The password or username you entered is incorrect.The primary_key value of the entry, e.g. 'jdoe' for a userThe principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The service principal for this request doesn't exist.There are only %d entitlements leftThis command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis page has unsaved changes. Please save or revert.This principal is required by the IPA masterTicket expiredTime LimitTime limit of search in secondsTime nowTime to liveTo confirm your intention to restore this certificate, click the "Restore" button.To confirm your intention to revoke this certificate, select a reason from the pull-down list, and click the "Revoke" button.To login with username and password, enter them in the fields below then click Login.Topic commands:Total number of variables env (>= count)TrueTrue if not all results were returnedTrue means the operation was successfulTrustTrust SettingsTrust directionTrust statusTrust typeTrust type (ad for Active Directory, default)Trusted domain and administrator account use different realmsTrusted forestTrusting forestTrustsTry `ipa --help` for a list of global options.Two-way trustTypeType CoveredType MapType of IPA object (user, group, host, hostgroup, service, netgroup, dns)UIDURLUUIDUnable to communicate with CMS (%s)Unable to create private group. A group '%(group)s' already exists.Unable to decode certificate in entry: %sUnable to determine IPA server from %s Unable to determine certificate subject of %s Unable to determine root DN of %s Unable to enable SSL in LDAP Unable to generate Kerberos Credential Cache Unable to initialize connection to ldap server: %sUnable to initialize ldap library! Unable to join host: Kerberos Credential Cache not found Unable to join host: Kerberos User Principal not found and host password not provided. Unable to join host: Kerberos context initialization failed Unable to parse principal Unable to parse principal name Unable to parse principal: %1$s (%2$d) Unable to remove entry Unable to set LDAP version Unable to set LDAP_OPT_X_SASL_NOCANON Unable to set ldap options! Unable to verify write permissions to the ADUnenroll this host from IPA serverUnenrollment failed. Unenrollment successful. UnknownUnknown ErrorUnknown command %sUnknown option: %(option)sUnlocked account "%(value)s"UnmatchedUnprovisionUnprovisioning ${entity}Unresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUnsupported valueUpdateUpdate DNS entriesUsage: ipa [global-options] COMMAND ...UserUser GroupUser GroupsUser ID Number (system will assign one if not provided)User OptionsUser categoryUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group ruleUser group rulesUser group to apply delegation toUser group to apply permissions toUser loginUser nameUser object classUser passwordUser search fieldsUser-friendly description of action performedUsernameUsersValid Certificate PresentValidation errorValidityVerify PasswordVerify Principal PasswordVertical PrecisionVia ServiceViewWaiting for confirmation by remote sideWarningWarning unrecognized encryption type. Warning unrecognized salt type. Warning: failed to convert type (#%d) Warning: salt types are not honored with randomized passwords (see opt. -P) WeightWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhoYou must enroll a host in order to create a host serviceYou need to be a member of the serviceadmin role to add servicesYou will be redirected to DNS Zone.Your password expires in ${days} days.Your session has expired. Please re-login.ZIPZone forwardersZone found: ${zone}Zone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d addedan internal error has occurredan internal error has occurred on server at %(server)rany of the configured serversapi has no such namespace: %(name)rat least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredattribute "%(attribute)s" not allowedattribute "%s" not allowedattribute is not configurableautomatically add the principal if it doesn't existautomount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?! ber_scanf() failed, unable to find kvno ?! bind passwordblank servicecan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot be longer that 255 characterscannot connect to %(uri)r: %(error)scannot delete global password policycannot obtain next serial numbercannot open configuration file %s cannot stat() configuration file %s certutil failurechange collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d cn is immutablecomma-separated SIDs of members of a trusted domaincomma-separated list of %scomma-separated list of %s to addcomma-separated list of %s to exclude from migrationcomma-separated list of %s to removecomma-separated list of permissions to grant(read, write, add, delete, all)command %(name)r takes at most %(count)d argumentcommand %(name)r takes at most %(count)d argumentscommand %(name)r takes no argumentscommand category cannot be set to 'all' while there are allow or deny commandscommands cannot be added when command category='all'commands for controlling sudo configurationcommunication with CIFS server was unsuccessfulconfiguration optionscontainer entry (%(container)s) not foundcould not allocate unique new session_iddelegationdelegationsdescriptiondid not receive Kerberos credentialseach ACL element must be terminated with a semicolonempty DNS labelempty filterentitlemententitlementsentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server %(server)r: %(error)sexecuting ipa-getkeytab failed, errno %d external memberfile operationfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"force NS record creation even if its hostname is not in DNSforce delete of SYSTEM permissionsforce host name even if not in DNSforce principal name even if not in DNSfork() failed format must be specified as "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" where: d1: [0 .. 90] (degrees latitude) d2: [0 .. 180] (degrees longitude) m1, m2: [0 .. 59] (minutes latitude/longitude) s1, s2: [0 .. 59.999] (seconds latitude/longitude) alt: [-100000.00 .. 42849672.95] BY .01 (altitude in meters) siz, hp, vp: [0 .. 90000000.00] (size/precision in meters) See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sformat must be specified as "NEXT TYPE1 [TYPE2 [TYPE3 [...]]]" (see RFC 4034 for details)groupgroup runAs category cannot be set to 'all' while there are groupsgroup, permission and self are mutually exclusivegroupshosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostnamehostname in subject of request '%(subject_host)s' does not match principal hostname '%(hostname)s'hostshosts cannot be added when host category='all'improperly formatted DER-encoded certificateincomplete time valueincorrect typeinteger to order the Sudo rulesinvalid %(name)r: %(error)sinvalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid SSH public keyinvalid address formatinvalid domain-name: %sinvalid e-mail format: %(email)sipa-getkeytab has bad permissions? ipa-getkeytab not found kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskrb5_kt_close %1$d: %2$s krb5_kt_get_entry %1$d: %2$s krb5_kt_remove_entry %1$d: %2$s krb5_parse_name %1$d: %2$s krb5_unparse_name %1$d: %2$s kvno %d limits exceeded for this querylocal domain rangemail account may only include letters, numbers, -, _ and a dot. There may not be consecutive -, _ and . characters. Its parts may not start or end with - or _manager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:member %smissing address domainmissing base_idmissing mail accountmissing servicemodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be TRUE or FALSEmust be True or Falsemust be Unicode textmust be a decimal numbermust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be binary datamust be exactly %(length)d bytesmust be exactly %(length)d charactersmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsno command nor help topic %(topic)rno host record for subject alt name %s in certificate requestno modifications to be performednot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform this commandnot fully qualifiednumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)snumber of passwordsobjectclass %s not foundonly "ad" is supportedonly letters, numbers,%(underscore)s and - are allowed. DNS label may not start or end with -operation not definedoptions are not allowedorder must be a unique value (%(order)d already used by %(rule)s)out of memory overlapping arguments and options: %(names)rparams must be a listparams must contain [args, options]params[0] (aka args) must be a listparams[1] (aka options) must be a dictpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermissionspkinitprincipal not found principal not found in XML-RPC response priority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivilegespysss_murmur is not available on the server and no base-id is given.range existsrange modification leaving objects with ID out of the defined range is not allowedread error realm not found removedrequest failed with HTTP status %dresult not found in XML-RPC response retrieve and print all attributes from the server. Affects command output.rolerolessearch for managed groupssearch for private groupssearch results for objects to be migrated have been truncated by the server; migration process might be incomplete searchtimelimit must be -1 or > 1.secondsself service permissionself service permissionsserviceservice category cannot be set to 'all' while there are allowed servicesservicesservices cannot be added when service category='all'skip reverse DNS detectionsource hosts cannot be added when sourcehost category='all'sourcehost category cannot be set to 'all' while there are allowed sourcehostssudo commandsudo command groupsudo command groupssudo commandssudo rulesudo rulesthe entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthis option has been deprecated.too many '@' characterstop level domain label must be alphabetictrusttrust typetruststype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunable to decode csr: %sunable to determine realmundoundo allunknown command %(name)runknown error %(code)d from %(server)s: %(error)sunsupported functional leveluseruser category cannot be set to 'all' while there are allowed usersuser runAs category cannot be set to 'all' while there are usersusersusers cannot be added when runAs user or runAs group category='all'users cannot be added when user category='all'values are not recognized as valid SIDs from trusted domainProject-Id-Version: FreeIPA Report-Msgid-Bugs-To: https://hosted.fedoraproject.org/projects/freeipa/newticket POT-Creation-Date: 2012-10-12 04:08-0400 PO-Revision-Date: 2012-09-16 16:36+0000 Last-Translator: Yuri Chornoivan Language-Team: Ukrainian MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Language: uk Plural-Forms: nplurals=3; plural=(n%10==1 && n%100!=11 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2); Перевизначення з метою додавання у повернуте повідомлення даних щодо успіху чи невдачі. Перевизначення з метою встановлення станів успіху та невдачі. Додати правило автоматичної участі. Додати умови до правила автоматичної участі. Вилучити правило автоматичної участі. Показати дані щодо правила автоматичної участі. Показати дані щодо типових (резервних) груп автоматичної участі. Стан блокування облікового запису користувача Обліковий запис може бути заблоковано, якщо введено неправильний пароль забагато разів протягом певного проміжку часу, який визначається правилами роботи з паролями. Блокування облікового запису є тимчасовим станом, його може бути розблоковано адміністратором. Ця програма з’єднується з кожним основним вузлом IPA і показує стан блокування на кожному з них. Щоб визначити, чи слід блокувати обліковий запис на певному сервері, слід виконати порівняння кількості помилкових спроб входу та час останньої невдалої спроби з еталонними значеннями. Обліковий запис буде заблоковано, якщо буде перевищено кількість maxfail помилкових спроб протягом проміжку часу failinterval. Відповідні значення задаються правилами обробки паролів, пов’язаними з обліковим записом користувача. Зміни до лічильника помилкових спроб входу вносяться, лише коли користувач виконує спробу увійти, тому може статися так, що обліковий запис заблоковано, хоча час, що минув з останньої помилкової спроби, перевищує час блокування (lockouttime), заданий правилам обробки паролів. Це означає, що користувач може увійти до системи знову. Змінити правило автоматичної участі. Вилучити умови з правила автоматичної участі. Вилучити типову (резервну) групу для невідповідних записів. Шукати правила автоматичної участі. Встановити типову (резервну) групу для невідповідних записів. Розблокувати обліковий запис користувача Обліковий запис може бути заблоковано, якщо відповідно до правил безпеки користувач перевищить обмеження на кількість введення помилкових паролів протягом певного часу. Запис блокується тимчасово, його може бути розблоковано адміністратором. Автоматичне монтування Зберігає налаштування automount(8) для autofs(8) у IPA. Основою налаштувань автоматичного монтування є файл налаштувань auto.master. Це також основне місце у IPA. Декілька налаштувань auto.master можна зберігати у окремих місцях. Місце залежить від реалізації, типовим є місце з назвою «default». Наприклад, ви можете створити місця для географічної області, поверху, типу тощо. У автоматичного монтування є три основних типи об’єктів: місця, карти і ключі. Місце визначає набір карт, прив’язаних у auto.master. За його допомогою можна зберігати одразу декілька налаштувань автоматичного монтування. Місце саме собою не є дуже цікавим, це просто початок нової карти автоматичного монтування. Карта є наближеним еквівалентом окремого файла автоматичного монтування, у ній зберігаються ключі. Ключ — точка монтування, пов’язана з картою. Під час створення нового місця автоматично створюються дві карти: auto.master і auto.direct. auto.master — коренева карта для всіх карт автоматичного монтування місця. auto.direct — типова карта для безпосередніх монтувань, її змонтовано до /-. Карта автоматичного монтування може містити ключ підмонтування. Цей ключ визначає адресу монтування у карті, що посилається на іншу карту. Такий ключ може бути додано або за допомогою команди automountmap-add-indirect --parentmap або вручну за допомогою automountkey-add зі встановленням info у значення "-type=autofs :<назва карти>". ПРИКЛАДИ: Місця: Створення нового місця, "Kyiv": ipa automountlocation-add kyiv Показ нового місця: ipa automountlocation-show kyiv Пошук доступних місць: ipa automountlocation-find Вилучення іменованого місця автоматичного монтування: ipa automountlocation-del kyiv Показ того, як мають виглядати карти автоматичного монтування, якщо б вони перебували у файловій системі: ipa automountlocation-tofiles kyiv Імпортування вже створених налаштувань до місця: ipa automountlocation-import kyiv /etc/auto.master Спроба імпортування зазнає невдачі, якщо буде знайдено дублікати записів. Щоб програма працювала безперервно (з пропусканням всіх помилок), скористайтеся параметром --continue. Карти: Створення карти "auto.share": ipa automountmap-add kyiv auto.share Показ нової карти: ipa automountmap-show kyiv auto.share Пошук карт у місці kyiv: ipa automountmap-find baltimore Створити непряму карту з auto.share як точкою підмонтування: ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man Ця команда еквівалентна до таких команд: ipa automountmap-add-indirect baltimore --mount=/man auto.man ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share" Вилучення карти auto.share: ipa automountmap-del kyiv auto.share Ключі: Створення ключа для карти auto.share у місці kyiv. Карту буде пов’язано з раніше створеною у auto.master: ipa automountkey-add kyiv auto.master --key=/share --info=auto.share Створення ключа для нашої карти auto.share, змонтованого ресурсу NFS для сторінок man: ipa automountkey-add kyiv auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man" Знайти всі ключі для карти auto.share: ipa automountkey-find kyiv auto.share Пошук всіх безпосередніх ключів автоматичного монтування: ipa automountkey-find kyiv --key=/- Вилучення ключа man для карти auto.share: ipa automountkey-del kyiv auto.share --key=man Класи для керування довіреними приєднаннями за допомогою викликів DCE-RPC Код цього модуля жорстко залежить від вмісту пакунка samba4-python та обгорток для мови Python у Samba4. Іменування Керування іменуванням клієнтських комп’ютерів Іменуваннями можна керувати реєстрацією за допомогою сервера іменувань на основі імені користувача і пароля або ручним імпортуванням іменування сертифікатів. Сертифікат іменування містить вбудовану інформацію, зокрема іменування продукту, кількість та дати чинності. Сервер іменування керує кількістю доступних іменувань. Для позначення іменувань використаними сервером IPA вам слід вказати кількість та позначити як використані сервером іменування. Реєстрація за допомогою сервера іменувань: ipa entitle-register consumer Імпортування сертифіката іменування: ipa entitle-import /home/user/ipaclient.pem Показ поточних іменувань: ipa entitle-status Отримання подробиць щодо сертифікатів іменування: ipa entitle-get Використати декілька іменувань з сервера іменування: ipa entitle-consume 50 Ідентифікатором реєстрації є унікальний ідентифікатор (UUID). Ідентифікатор буде ІМПОРТОВАНО, якщо ви скористаєтеся імпортуванням іменувань. Внесення змін до /etc/rhsm/rhsm.conf потребує перезапуску служби httpd. Міжгрупове уповноваження Права доступу може бути точно налаштовано. Правила керування доступом або інструкції (ACI), надання дозволу на виконання певних завдань, зокрема додавання користувача, внесення змін до групи тощо. Міжгрупові уповноваження надають учасникам однієї групи можливість оновлювати набір атрибутів учасників іншої групи. ПРИКЛАДИ: Додати правило уповноваження, яке надасть змогу керівникам (managers) редагувати адреси співробітників: ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street" Під час керування списком атрибутів слід включати всі атрибути списку разом з вже створеними. Додавання до списку postalCode: ipa delegation-mod --attrs=street,postalCode --group=managers --membergroup=employees "managers edit employees' street" Показ нашого оновленого правила: ipa delegation-show "managers edit employees' street" Вилучення правила: ipa delegation-del "managers edit employees' street" Групи команд sudo Керування групами команд sudo. ПРИКЛАДИ: Додати нову групу команд sudo: ipa sudocmdgroup-add --desc='administrators commands' admincmds Вилучити групу команд sudo: ipa sudocmdgroup-del admincmds Керування участю групи команд sudo, команди: ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds Керування участю групи команд sudo, команди: ipa group-remove-member --sudocmds=/usr/bin/less admincmds Показ групи команд sudo: ipa group-show localadmins Групи вузлів. Керування групами вузлів. Корисні для застосування керування до декількох вузлів на основі заснованого на вузлах керування доступом (Host-based Access Control або HBAC). ПРИКЛАДИ: додавання нової групи вузлів: ipa hostgroup-add --desc="Baltimore hosts" baltimore Додавання нової групи вузлів: ipa hostgroup-add --desc="Maryland hosts" maryland Додавання учасників до групи вузлів: ipa hostgroup-add-member --hosts=box1,box2,box3 baltimore Додавання групи вузлів як учасника іншої групи вузлів: ipa hostgroup-add-member --hostgroups=baltimore maryland Вилучення вузла з групи вузлів: ipa hostgroup-remove-member --hosts=box2 baltimore Показ списку групи вузлів: ipa hostgroup-show baltimore Вилучення групи вузлів: ipa hostgroup-del baltimore Групи служб HBAC Групи служб HBAC можуть містити будь-яку кількість окремих служб або «учасників». Кожна з груп повинна мати опис. ПРИКЛАДИ: Додавання нової групи служб HBAC: ipa hbacsvcgroup-add --desc="login services" login Додавання учасників до групи служб HBAC: ipa hbacsvcgroup-add-member --hbacsvcs=sshd,login login Показ даних щодо вказаної групи: ipa hbacsvcgroup-show login Додавання нової групи до групи "login": ipa hbacsvcgroup-add --desc="switch users" login ipa hbacsvcgroup-add-member --hbacsvcs=su,su-l login Вилучення групи служб HBAC: ipa hbacsvcgroup-del login Служби HBAC Служби PAM, якими може керувати HBAC. Назва, використана тут, має відповідати назві служби, з якою працює PAM. ПРИКЛАДИ: Додати нову службу HBAC: ipa hbacsvc-add tftp Змінити вже створену службу HBAC: ipa hbacsvc-mod --desc="TFTP service" tftp Шукати служби HBAC. У нашому прикладі буде повернуто два результати службу FTP і щойно додану службу tftp: ipa hbacsvc-find ftp Вилучення служби HBAC: ipa hbacsvc-del tftp Керування доступом на основі вузлів Керуйте тим, хто з яких вузлів і звідки зможе отримувати доступ до певних служб. Ви можете скористатися HBAC для визначення користувачів і груп на вузлі походження запиту зможе отримувати доступ до певної служби або групи служб на вузлі призначення. Ви також можете визначити категорію користувачів, вузли призначення та всі вузли походження. У поточній версії можливі варіанти обмежено варіантом "all", але перелік варіантів може бути розширено у майбутніх версіях. Вузли призначення та вузли походження у правилах HBAC мають бути вузлами, керованими IPA. Доступними службами і групами служб є служби, керовані hbacsvc та додатками hbacsvcgroup, відповідно. ПРИКЛАДИ: Створення правила "test1", яке надає всім користувачам доступ до вузла "server" звідусюди: ipa hbacrule-add --usercat=all --srchostcat=all test1 ipa hbacrule-add-host --hosts=server.example.com test1 Показ властивостей вказаного правила HBAC: ipa hbacrule-show test1 Створення правила для певної служби. Це правило надасть користувачу john доступ до служби sshd у будь-якій системі звідусіль: ipa hbacrule-add --hostcat=all --srchostcat=all john_sshd ipa hbacrule-add-user --users=john john_sshd ipa hbacrule-add-service --hbacsvcs=sshd john_sshd Створення правила для нової групи служб. Користувачу john надається доступ до служби FTP у будь-якій системі звідусіль: ipa hbacsvcgroup-add ftpers ipa hbacsvc-add sftp ipa hbacsvcgroup-add-member --hbacsvcs=ftp,sftp ftpers ipa hbacrule-add --type=allow --hostcat=all --srchostcat=all john_ftp ipa hbacrule-add-user --users=john john_ftp ipa hbacrule-add-service --hbacsvcgroups=ftpers john_ftp Вимикання вказаного правила HBAC: ipa hbacrule-disable test1 Вилучення вказаного правила HBAC: ipa hbacrule-del allow_server Вузли/Комп’ютери Одному вузлу відповідає один комп’ютер. Вузол може бути використано у декількох контекстах: - записи служб, пов’язані з вузлом; - на вузлі зберігається реєстраційний запис служби вузла - вузол може бути використано у правилах Host-based Access Control (HBAC); - для кожного зареєстрованого клієнта створюється запис вузла. РЕЄСТРАЦІЯ: Передбачено три сценарії реєстрації нового клієнта: 1. Реєстрація повноцінного адміністратора. Відповідний запис вузла може існувати або не існувати. Повноцінний адміністратор є учасником ролі hostadmin або групи admins. 2. Реєстрація обмеженого адміністратора. Відповідний запис вузла вже має існувати Обмежений адміністратор є учасником розі з правами реєстрації вузлів. 3. Створення запису вузла з одноразовим паролем. Реєструвати вузол можна лише один раз. Якщо клієнт було зареєстровано і виникла потреба у перереєстрації, запис вузла слід вилучити і створити повторно. Зауважте, що повторне створення запису вузла призведе до вилучення всіх служб вузла та відкликання всіх сертифікатів SSL, пов’язаних з цими службами. У записі вузла додатково можуть зберігатися дані щодо його розташування, встановленої на ньому операційної системи тощо. ПРИКЛАДИ: Додавання нового вузла: ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com Вилучення вузла: ipa host-del test.example.com Додавання нового вузла з одноразовим паролем: ipa host-add --os='Fedora 12' --password=Secret123 test.example.com Додавання нового вузла з випадковим одноразовим паролем: ipa host-add --os='Fedora 12' --random test.example.com Зміна даних щодо вузла: ipa host-mod --os='Fedora 12' test.example.com Вилучення відкритих ключів SSH вузла і оновлення DNS відповідно до внесених змін: ipa host-mod --sshpubkey= --updatedns test.example.com Вимикання ключа Kerberos вузла, сертифіката SSL та всіх його служб: ipa host-disable test.example.com Додавання вузла, який може керувати таблицею ключів і сертифікатів цього вузла: ipa host-add-managedby --hosts=test2 test Дії з сертифікатами IPA Реалізує набір команд для керування сертифікатами серверів SSL. Запити щодо сертифікатів існують у формі Certificate Signing Request (CSR) і форматі PEM. Якщо використовується автопідписний модуль, призначення CSR має збігатися з призначенням на сервері. Служба сертифікації використовує лише CN CSR і примусово визначає призначення. Сертифікат зберігається з реєстраційним записом, а реєстраційний запис потребує вузла. Для того, щоб створити запит щодо сертифіката: * Вузол має існувати * Служба має існувати (або слід скористатися параметром --add для автоматичного додавання) ПРИКЛАДИ: Створити запит щодо нового сертифіката і додати реєстраційний запис: ipa cert-request --add --principal=HTTP/lion.example.com example.csr Отримати вже створений сертифікат: ipa cert-show 1032 Відкликати сертифікат (причини визначено у RFC 5280): ipa cert-revoke --revocation-reason=6 1032 Вилучити сертифікат зі списку відкликання: ipa cert-remove-hold 1032 Перевірити стан запиту щодо підписування: ipa cert-status 10 У поточній версії IPA негайно виконує (або відхиляє) всі запити щодо сертифікатів, отже дані щодо стану запиту не мають сенсу. Ці дані можуть знадобитися у наступних версіях або у разі, якщо CA видає сертифікат не одразу. Передбачено підтримку таких причин відкликання: * 0 - unspecified * 1 - keyCompromise * 2 - cACompromise * 3 - affiliationChanged * 4 - superseded * 5 - cessationOfOperation * 6 - certificateHold * 8 - removeFromCRL * 9 - privilegeWithdrawn * 10 - aACompromise Зауважте, що коди причини 7 не використовується. Докладніші дані у RFC 5280: http://www.ietf.org/rfc/rfc5280.txt Параметри pkinit Kerberos Вмикання або вимикання анонімного pkinit за допомогою реєстраційного запису WELLKNOWN/ANONYMOUS@REALM. Має бути встановлено сервер з підтримкою pkinit. ПРИКЛАДИ: Вмикання анонімного pkinit: ipa pkinit-anonymous enable Вимикання анонімного pkinit: ipa pkinit-anonymous disable Щоб дізнатися більше про анонімний pkinit відвідайте цю сторінку: http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit Правила квитків Kerberos Передбачено єдині правила квитків Kerberos. Ці правила визначають максимальний строк дії квитка та максимальний вік оновлення, період, протягом якого квиток можна поновити. Крім того, ви можете створити правила для окремих користувачів шляхом визначення імені користувача. Щоб зміни у загальних правилах набули чинності, слід перезапустити службу KDC. Це можна зробити за допомогою такої команди: service krb5kdc restart Зміни у окремих правилах для користувачів набудуть чинності негайно для квитків нових запитів (наприклад, у відповідь на наступний запуск користувачем kinit). ПРИКЛАДИ: Показ поточних правил квитків Kerberos: ipa krbtpolicy-show Відновити типові правила: ipa krbtpolicy-reset Зміна правил на 8-годинний строк дії, 1-денний строк поновлення: ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400 Показ поточних правил квитків Kerberos для користувача «admin»: ipa krbtpolicy-show admin Відновити окремі правила для користувача «admin»: ipa krbtpolicy-reset admin Зміна окремих правил для користувача «admin»: ipa krbtpolicy-mod admin --maxlife=3600 Перехід на IPA Перенесення користувачів і груп з сервера LDAP на IPA. Надсилає запит LDAP до віддаленого сервера з метою пошуку користувачів і груп у контейнері. З метою перенесення паролів вам слід прив’язатися до сервера від імені користувача, який може читати атрибут userPassword на сервері. Перелік таких користувачів зазвичай обмежено адміністраторами вищого рівня, зокрема cn=Directory Manager на 389-ds (типовий користувач bind). Типовим контейнером користувачів є ou=People. Типовим контейнером груп є ou=Groups. Записи користувачів і груп, які вже створено на сервері IPA буде пропущено. Дві схеми LDAP визначають спосіб зберігання записів учасників групи: RFC2307 і RFC2307bis. RFC2307bis використовує атрибути member і uniquemember для визначення учасників групи, RFC2307 використовує memberUid. Типовою є схема RFC2307bis. За допомогою додатка compat IPA може повторно форматувати дані для систем, де не передбачено підтримки RFC2307bis. Рекомендується вимикати цей додаток під час перенесення, щоб зменшити навантаження на систему. Ви зможете увімкнути його після перенесення. Щоб перенести дані з увімкненим додатком скористайтеся параметром «--with-compat». Перенесені користувачі не матимуть реєстраційних записів Kerberos, перенесено буде лише пароль LDAP. Щоб завершити процес перенесення, користувачам слід відкрити сторінку http://ipa.example.com/ipa/migration і пройти розпізнавання за допомогою пароля LDAP з метою створення запису реєстраційних даних Kerberos. Типово перенесення вимкнено. Для його вмикання скористайтеся командою ipa config-mod: ipa config-mod --enable-migration=TRUE Якщо основний DN не буде надано за допомогою --basedn, IPA використовуватиме значення defaultNamingContext, якщо його встановлено, або перше значення у наборі namingContexts у кореневій теці віддаленого сервера LDAP. ПРИКЛАДИ: Найпростіше перенесення з типовими параметрами: ipa migrate-ds ldap://ds.example.com:389 Визначення контейнерів користувача і групи. Можна скористатися для перенесення даних користувача і групи з сервера IPA версії 1: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Оскільки на сервері IPA версії 2 вже передбачено попередньо визначені групи, які можуть збігатися з групами, які переносяться з сервера (IPA версії 1), наприклад admins, ipausers, користувачів з таких груп може бути перенесено до невідомої (unknown) групи на новому сервері IPA версії 2. Скористайтеся параметром --group-overwrite-gid для перезапису ідентифікатора групи вже створених груп для запобігання цій незручності: ipa migrate-ds --group-overwrite-gid \ --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ ldap://ds.example.com:389 Перенесені дані користувачів та груп можуть містити класи об’єктів та супутні атрибути, невідомі серверу IPA версії 2. Ці класти об’єктів та атрибутів може бути виключено з процедури перенесення даних: ipa migrate-ds --user-container='cn=users,cn=accounts' \ --group-container='cn=groups,cn=accounts' \ --user-ignore-objectclass=radiusprofile \ --user-ignore-attribute=radiusgroupname \ ldap://ds.example.com:389 Інші додатки Мережеві групи Мережева група — група для перевірки прав доступу. Може містити значення користувачів та вузлів. ПРИКЛАДИ: Додавання нової мережевої групи: ipa netgroup-add --desc="NFS admins" admins Додавання учасників до мережевої групи: ipa netgroup-add-member --users=tuser1,tuser2 admins Вилучення користувача з мережевої групи: ipa netgroup-remove-member --users=tuser2 admins Показ даних щодо мережевої групи: ipa netgroup-show admins Вилучення мережевої групи: ipa netgroup-del admins Правила паролів Правила паролів встановлюють обмеження щодо використання паролів IPA, зокрема максимальний строк дії, мінімальний строк дії, кількість паролів, які зберігатимуться у журналі, потрібна кількість класів символів (для складних паролів) та мінімальну довжину пароля. Типово, визначено одні загальні правила для всіх користувачів. Ви можете створити правило паролів, яке стосуватиметься однієї групи. Для одного користувача може бути використано лише один набір правил паролів: груповий або загальний. Групові правила паролів є незалежними, вони не є загальними правилами з додаванням нетипових параметрів. Для кожного набору групових правил паролів має бути встановлено окреме значення пріоритету. Якщо користувач є учасником декількох груп, для яких встановлено правила паролів, пріоритет визначає, які з правил має бути застосовано. Менші значення відповідають вищому пріоритету правил. Групові правила паролів автоматично вилучаються під час вилучення відповідних груп. ПРИКЛАДИ: Внесення змін до загальних правил: ipa pwpolicy-mod --minlength=10 Додавання нових групових правил паролів: ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins Показ загальних правил паролів: ipa pwpolicy-show Показ групових правил паролів: ipa pwpolicy-show localadmins Показ правил, які має бути застосовано до певного користувача: ipa pwpolicy-show --user=tuser1 Внесення змін до групових правил паролів: ipa pwpolicy-mod --minclasses=2 localadmins Права доступу Права доступу надають змогу точно налаштувати уповноваження. Права доступу визначаються звичайним текстом у форматі правила керування доступом 389-ds або інструкції (ACI). Права доступу надають можливість виконувати певне завдання, зокрема додавання запису користувача, внесення змін до запису групи. Права доступу можуть містити інші права доступу. * Право доступу надає доступ до читання, запису, додавання або вилучення. * Уповноваження поєднують у собі подібні права доступу (наприклад всі права доступу, потрібні для додавання запису користувача). * Роль надає користувачам, групам, вузлам або групам вузлів певний набір уповноважень. Право доступу складається з декількох різних частин: 1. Назви права доступу. 2. Призначення права доступу. 3. Прав, які надаються. Права визначають набір дозволених дій і можуть складатися з одного або декількох таких записів: 1. write — запис одного або декількох атрибутів 2. read — читання одного або декількох атрибутів 3. add — додавання нового запису до ієрархії 4. delete — вилучення вже створеного запису 5. all — надання всіх прав доступу Типово, право доступу до читання надається для більшості атрибутів, отже право доступу «read» не використовуватиметься часто. Зауваження щодо відмінностей між атрибутами та записами. Права доступу є незалежними, отже можливість додавання запису користувача не означає можливості вносити зміни до доданого запису. Передбачено декілька можливих цілей: 1. type: тип об’єкта (user, group тощо). 2. memberof: учасник групи користувачів або вузлів 3. filter: фільтр LDAP 4. subtree: фільтр LDAP, що визначає частину DIT LDAP DIT. Надмножина цілі «type». 5. targetgroup: надати доступ до внесення змін до запису певної групи (зокрема до керування участю у групі) ПРИКЛАДИ: Додавання права доступу до створення записів користувачів: ipa permission-add --type=user --permissions=add "Add Users" Додавання права доступу до можливості керування участю у групі: ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members" Перевірка віддаленого сервера IPA з метою переконатися, що він є працездатним. Програма ping надсилає луна-запит до сервера IPA. Сервер повертає дані щодо його версії. Ці дані використовуються клієнтом IPA для підтвердження, що сервер є доступним і що він приймає запити. Сервер з xmlrpc_uri у /etc/ipa/default.conf перевіряється першим. Якщо він не відповідає, клієнт намагається встановити зв’язок з будь-яким сервером, визначеним записами SRV ldap у DNS. ПРИКЛАДИ: Перевірити луна-імпульсом сервер IPA: ipa ping ------------------------------------------ Сервер IPA версії 2.1.9. Версія API 2.20 ------------------------------------------ Перевірити луна-імпульсом сервер IPA і отримати докладні дані: ipa -v ping ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml' ----------------------------------------------------- Сервер IPA версії 2.1.9. Версія API 2.20 ----------------------------------------------------- Уповноваження Уповноваження поєднує права доступу у одне логічне завдання. Право доступу надає можливість виконувати лише одне завдання. У IPA є декілька дій, виконання яких потребує одразу декількох прав доступу. В уповноваженні такі права доступу поєднуються з метою виконання певної дії. Наприклад, додавання запису користувача потребує таких прав доступу: * право створення запису користувача; * право скидання пароля користувача; * право додавання користувача до типової групи користувачів IPA. Поєднання цих трьох низькорівневих завдань у високорівневе завдання у форматі уповноваження з назвою «Add User» полегшує керування ролями. Уповноваження не може містити інших уповноважень. Щоб дізнатися більше, ознайомтеся з довідною щодо ролей та прав доступу. Ролі Роль використовується для уточнення налаштування прав доступу. Право доступу надає можливість виконувати деякі низькорівневі завдання (додавання запису користувача, внесення змін до групи тощо). Уповноваження поєднують одне або декілька прав доступу у високорівневу абстракцію, наприклад «адміністратор користувачів» (useradmin). Такий useradmin зможе додавати, вилучати і вносити зміни до записів користувачів. Уповноваження пов’язуються з ролями. Учасниками ролі можуть бути користувачі, групи, вузли та групи вузлів. Ролі можуть містити інші ролі. ПРИКЛАДИ: Додавання нової ролі: ipa role-add --desc="Junior-level admin" junioradmin Додавання уповноважень до цієї ролі: ipa role-add-privilege --privileges=addusers junioradmin ipa role-add-privilege --privileges=change_password junioradmin ipa role-add-privilege --privileges=add_user_to_default_group junioradmin Додавання користувачів до цієї ролі: ipa group-add --desc="User admins" useradmins ipa role-add-member --groups=useradmins junioradmin Показ даних щодо ролі: ipa role-show junioradmin Результатом виконання команд буде те, що всі користувачі групи «useradmins» зможуть додавати записи користувачів, скидати паролі або додавати користувача до типової групи користувачів IPA. Встановлення відповідності користувачів SELinux Встановити відповідність користувачів IPA користувачам SELinux за вузлами. Вузли, групи вузлів, користувачі і групи можна визначати або в межах правила, або може вказувати на вже створене правило HBAC. У разі використання параметра --hbacrule команди selinuxusermap-find буде встановлено точну відповідність за назвою правила HBAC, отже буде повернуто один або жодного запису. ПРИКЛАДИ: Створення правила, «test1», яке встановлює всіх користувачів у xguest_u:s0 на вузлі «server»: ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1 ipa selinuxusermap-add-host --hosts=serverexample.com test1 Створення правила, "test2", яке встановлює всіх користувачів у guest_u:s0 і використовує вже створене правило HBAC для користувачів і вузлів: ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2 Показ властивостей правил: ipa selinuxusermap-show test2 Створення правила для певного користувача. Встановлює контекст SELinux для користувача john у unconfined_u:s0-s0:c0.c1023 на всіх комп’ютерах: ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined ipa selinuxusermap-add-user --users=john john_unconfined Вимикання правила: ipa selinuxusermap-disable test1 Увімкнення правила: ipa selinuxusermap-enable test1 Пошук правила, що посилається на певне правило HBAC: ipa selinuxusermap-find --hbacrule=allow_some Вилучення правила: ipa selinuxusermap-del john_unconfined ТАКОЖ ОЗНАЙОМТЕСЯ: Застосовується список, який визначає порядок, у якому встановлюється відповідність користувачів. Типового користувача можна за допомогою програми config-show. Права доступу самообслуговування Права доступу надають змогу точно налаштувати уповноваження. За допомогою правил керування доступом та інструкцій (ACI) надаються права доступу до виконання вказаних завдань, зокрема додавання записів користувачів, внесення змін до записів груп тощо. Права доступу самообслуговування визначають права об’єкта на внесення змін до власного запису. ПРИКЛАДИ: Додавання правила самообслуговування для уможливлення керування користувачами власною адресою: ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address" Якщо ви керуєте списком атрибутів, вам слід включити до списку всі атрибути, зокрема вже створені. Додавання telephoneNumber до списку: ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address" Показ нашого оновленого правила: ipa selfservice-show "Users manage their own address" Вилучення правила: ipa selfservice-del "Users manage their own address" Налаштування сервера Керування типовими значеннями, які використовує IPA, та деякими з придатних до зміни параметрів. ЗАУВАЖЕННЯ: Тут зберігається значення параметра сповіщення щодо паролів (--pwdexpnotify), отже його не буде скопійовано. Це значення поки що не використовується для сповіщення користувачів щодо завершення строку дії пароля. Деякі з атрибутів придатні лише для читання, їх буде показано лише з метою інформування. Серед цих атрибутів: Основа призначення сертифіката: змінна основа призначення сертифіката, наприклад O=EXAMPLE.COM. Цей атрибут можна налаштувати лише під час встановлення. Параметри додатка роботи з паролями: у поточній версії визначають додаткові хеші, які створюються на основі пароля (можуть бути і інші умови). Під час встановлення списку пріоритетності для користувачів SELinux може виникнути потреба у додаванні лапок до значення, щоб оболонка не обробляла параметр. ПРИКЛАДИ: Показати основні налаштування сервера: ipa config-show Показати всі параметри налаштування: ipa config-show --all Змінити максимальну довжину імені користувача на 99 символів: ipa config-mod --maxusername=99 Збільшити типовий час і максимальне обмеження на розмір пошуку сервера IPA: ipa config-mod --searchtimelimit=10 --searchrecordslimit=2000 Встановити типовий домен електронної пошти користувачів: ipa config-mod --emaildomain=example.com Увімкнути режим перенесення, щоб зробити команду "ipa migrate-ds" працездатною: ipa config-mod --enable-migration=TRUE Визначити пріоритетність користувачів у карті SELinux: ipa config-mod --ipaselinuxusermaporder='guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023' Встановлення пароля користувача Якщо якась стороння особа змінює пароль користувача (наприклад його відновлює допоміжний персонал), новий пароль має бути змінено під час його першого використання. Метою такого способу дій є забезпечення ситуації, коли пароль буде відомий лише тому, хто ним користується. Правила щодо паролів IPA керують частотою зміни пароля, вимогами щодо складності пароля та об’ємом журналу зміни паролів. ПРИКЛАДИ: Щоб скинути ваш власний пароль, виконайте команду: ipa passwd Щоб змінити пароль іншого користувача, виконайте команду: ipa passwd tuser1 Імітація використання керування доступом на основі вузлів (HBAC) Правила HBAC керують тим, хто може отримувати доступ до певних служб на певних вузлах та звідки він може це робити. Ви можете скористатися HBAC для керування тим, які користувачі або групи на початковому вузлі можуть отримувати доступ до служби або групи служб на вузлі призначення. Оскільки застосування правил HBAC передбачає використання робочого середовища, це додаток призначено для імітації обробки правил HBAC без доступу до реального середовища. Перевірити відповідність користувача з початкового вузла до служби на іменованому вузлі правилам уможливлення доступу. ipa hbactest --user= --host= --service= [--rules=rules-list] [--nodetail] [--enabled] [--disabled] [--srchost= ] [--sizelimit= ] --user, --host і --service є обов’язковими, інші можна не вказувати. Якщо вказано --rules, імітувати вмикання вказаних правил і перевірити можливість входу користувача у разі використання лише цих правил. Якщо вказано --enabled, додати всі увімкнені правила HBAC до імітації Якщо вказано --disabled, додати всі вимкнені правила HBAC до імітації Якщо вказано --nodetail, не повертати даних щодо відповідних і невідповідних правил. Якщо вказано одночасно --rules і --enabled, виконати імітацію --rules _і_ всіх увімкнених правил IPA. Якщо не вказано --rules, буде виконано імітацію всіх увімкнених правил IPA. Якщо вказано --srchost, параметр буде проігноровано. Цей параметр передбачено лише з метою сумісності з попередніми версіями. ПРИКЛАДИ: 1. Використання всіх увімкнених правил HBAC у базі даних IPA: $ ipa hbactest --user=a1a --srchost=foo --host=bar --service=sshd -------------------- Надано доступ: Так -------------------- невідповідне: my-second-rule невідповідне: my-third-rule невідповідне: myrule відповідне: allow_all 2. Вимикання докладного резюме застосування правил: $ ipa hbactest --user=a1a --host=bar --service=sshd --nodetail -------------------- Надано доступ: Так -------------------- 3. Перевірити явно вказані правила HBAC: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --------------------- Надано доступ: Ні --------------------- невідповідне: my-second-rule невідповідне: myrule 4. Використання всіх увімкнених правил HBAC у базі даних IPA + явно вказаних правил: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --enabled -------------------- Доступ надано: Так -------------------- невідповідне: my-second-rule невідповідне: my-third-rule невідповідне: myrule відповідне: allow_all 5. Перевірка всіх вимкнених правил HBAC у базі даних IPA: $ ipa hbactest --user=a1a --host=bar --service=sshd --disabled --------------------- Надано доступ: Ні --------------------- невідповідне: new-rule 6. Перевірка всіх вимкнених правил HBAC у базі даних IPA + явно вказані правила: $ ipa hbactest --user=a1a --host=bar --service=sshd --rules=my-second-rule,myrule --disabled --------------------- Надано доступ: Ні --------------------- невідповідне: my-second-rule невідповідне: my-third-rule невідповідне: myrule 7. Перевірка всіх (увімкнених і вимкнених) правил HBAC у базі даних IPA: $ ipa hbactest --user=a1a --host=bar --service=sshd --enabled --disabled -------------------- Надано доступ: Так -------------------- невідповідне: my-second-rule невідповідне: my-third-rule невідповідне: myrule невідповідне: new-rule відповідне: allow_all Команди sudo Команди, використані як будівельні блоки для sudo ПРИКЛАДИ: Створення запису команди ipa sudocmd-add --desc='Читання файлів журналу' /usr/bin/less Вилучення команди ipa sudocmd-del /usr/bin/less Було вимкнено ${count} записівБуло увімкнено ${count} записівПараметри ${primary_key} ${entity}Оновлено ${primary_key} ${entity}${entity} успішно додано${primary_key} міститься у:${primary_key} керується:Учасники ${primary_key}:%(attr)s не містить «%(value)s»%(attr)s: некоректний синтаксис.%(attr)s: можна використовувати лише одне значення.Пошуком LDAP у %(container)s не повернуто жодного результату (основа пошуку: %(search_base)s, клас об’єктів: %(objectclass)s)Пропущено %(count)d %(type)s запис. Одночасно можна змінювати лише одне значення на тип запису DNS.Пропущено %(count)d %(type)s записи. Одночасно можна змінювати лише одне значення на тип запису DNS.Пропущено %(count)d %(type)s записів. Одночасно можна змінювати лише одне значення на тип запису DNS.встановлено відповідність %(count)d ACIвстановлено відповідність %(count)d ACIвстановлено відповідність %(count)d ACIвстановлено відповідність %(count)d правила HBACвстановлено відповідність %(count)d правил HBACвстановлено відповідність %(count)d правил HBACвстановлено відповідність %(count)d групи служб HBACвстановлено відповідність %(count)d груп служб HBACвстановлено відповідність %(count)d груп служб HBACвстановлено відповідність %(count)d служби HBACвстановлено відповідність %(count)d служб HBACвстановлено відповідність %(count)d служб HBACвстановлено відповідність %(count)d карти користувачів SELinuxвстановлено відповідність %(count)d карт користувачів SELinuxвстановлено відповідність %(count)d карт користувачів SELinuxвстановлено відповідність %(count)d групи команд sudoвстановлено відповідність %(count)d груп команд sudoвстановлено відповідність %(count)d груп команд sudoвстановлено відповідність %(count)d команд sudoвстановлено відповідність %(count)d команд sudoвстановлено відповідність %(count)d команд sudoвстановлено відповідність %(count)d правила sudoвстановлено відповідність %(count)d правил sudoвстановлено відповідність %(count)d правил sudoвстановлено відповідність %(count)d ключа автоматичного монтуваннявстановлено відповідність %(count)d ключі автоматичного монтуваннявстановлено відповідність %(count)d ключів автоматичного монтуваннявстановлено відповідність %(count)d місця автоматичного монтуваннявстановлено відповідність %(count)d місця автоматичного монтуваннявстановлено відповідність %(count)d місць автоматичного монтуваннявстановлено відповідність %(count)d карти автоматичного монтуваннявстановлено відповідність %(count)d карти автоматичного монтуваннявстановлено відповідність %(count)d карт автоматичного монтуваннявстановлено відповідність %(count)d уповноваженнявстановлено відповідність %(count)d уповноваженнявстановлено відповідність %(count)d уповноваженьвстановлено відповідність %(count)d групивстановлено відповідність %(count)d групвстановлено відповідність %(count)d групвстановлено відповідність %(count)d вузлавстановлено відповідність %(count)d вузліввстановлено відповідність %(count)d вузліввстановлено відповідність %(count)d групи вузліввстановлено відповідність %(count)d груп вузліввстановлено відповідність %(count)d груп вузліввстановлено відповідність %(count)d групивстановлено відповідність %(count)d групвстановлено відповідність %(count)d групвстановлено відповідність %(count)d записувстановлено відповідність %(count)d записіввстановлено відповідність %(count)d записівзавантажено %(count)d додатокзавантажено %(count)d додаткизавантажено %(count)d додатківвстановлено відповідність %(count)d уповноваженнявстановлено відповідність %(count)d уповноваженнявстановлено відповідність %(count)d уповноваженьвстановлено відповідність %(count)d діапазонувстановлено відповідність %(count)d діапазоніввстановлено відповідність %(count)d діапазоніввстановлено відповідність %(count)d ролівстановлено відповідність %(count)d ролейвстановлено відповідність %(count)d ролейвстановлено відповідність %(count)d правилавстановлено відповідність %(count)d правилвстановлено відповідність %(count)d правилвстановлено відповідність %(count)d самообслуговуваннявстановлено відповідність %(count)d самообслуговуваннявстановлено відповідність %(count)d самообслуговуваньвстановлено відповідність %(count)d службивстановлено відповідність %(count)d службвстановлено відповідність %(count)d службвстановлено відповідність %(count)d запису довіривстановлено відповідність %(count)d записів довіривстановлено відповідність %(count)d записів довіривстановлено відповідність %(count)d користувачавстановлено відповідність %(count)d користувачіввстановлено відповідність %(count)d користувачів%(count)d зміннихКлієнт %(cver)s є несумісним з сервером %(sver)s на %(server)r%(desc)s: %(info)sПомилка %(host)sПомилка %(host)s: %(error)s%(info)s%(key)s неможливо вилучити, оскільки він потрібен для %(dependent)s %(label)s%(key)s не може бути вилучено або вимкнено, оскільки він є останнім у %(container)s %(label)sСлід вказати %(name)rТиповий атрибут %(obj)s, %(attr)s, не буде дозволено!%(oname)s з назвою «%(pkey)s» вже існує%(parent)s: не знайдено %(oname)s%(pkey)s: не знайдено %(oname)s%(port)s не є чинним портом%(reason)s%(user)s не є користувачем з групи POSIXЗапис %s%s не є коректним атрибутом.Запис %s«${port}» не є коректним визначенням порту«%(entry)s» не містить сертифіката.«%(required)s» має бути порожнім, якщо вказано «%(name)s»«%s» є обов’язковою частиною запису DNS(докладніше про це у RFC %s). Перевірте ідентифікатор вже створеної групи. Скористайтеся параметром --group-overwrite-gid для перезапису ідентифікатора групи7 не є коректною причиною відкликання
  1. У прикладах використано базу даних NSS, розташовану у поточному каталозі. Замініть «-d .» у прикладає на «-d /шлях/до/бази/даних», якщо база даних NSS зберігається у іншому місці. Якщо у вас немає бази даних NSS, ви можете створити її у поточному каталозі за допомогою команди «certutil -N -d .»
  2. Створіть CSR з «CN=${hostname},O=${realm}», приклад:
    # certutil -R -d . -a -g 2048 -s 'CN=${hostname},O=${realm}'
  3. Скопіюйте і вставте CSR (текстовий блок, що починається з «-----BEGIN NEW CERTIFICATE REQUEST-----» і завершується «-----END NEW CERTIFICATE REQUEST-----») нижче:
Права доступу SYSTEM не можна змінюватиПрава доступу SYSTEM не можна вилучатиВідокремлений комами список полів, за якими виконуватиметься пошук групВідокремлений комами список полів, за якими виконуватиметься пошук користувачівОпис цього правила автоматичної участіОпис цієї командиОпис цього вузлаОпис цієї групи вузлівОпис цієї групи ролейСловник, що відповідає запису LDAPГрупа не може бути елементом самої себеГрупу не може бути додано як елемент самої себеВузол, який може працювати як обмінник ключівВузол, який може працювати як обмінник поштовими данимиНазва вузла на яку вказує цей псевдонім вузлаСписок значень ACIСписок записів LDAPСписок переспрямовувачів загального рівня. Для кожного переспрямовувача можна вказати нетиповий порт за допомогою стандартного формату: «IP_АДРЕСА port ПОРТ»Список переспрямовування для окремих зон. Для кожного переспрямовувача можна вказати нетиповий порт за допомогою стандартного формату: «IP_АДРЕСА port ПОРТ»У керованої групи не може бути власних правил для паролів.Під час перевірки виявлено проблему, всі записи учасників %(verb)s: %(exc)sРядок, пошук якого відбуватиметься у всіх відповідних атрибутах об’єктівКомпрометація AAACIНазва ACIпрефікс ACIСлід вказати префікс ACIНе знайдено ACI з назвою «%s»ACIНалаштування довіри ADКонтролер домену ADДоступ забороненоНадано доступНадано доступ: %sДоступ до цього вузлаЧас доступуДоступОбліковий записПараметри облікового записуСтан облікового записуОбліковий запис вимкненоОбліковий запис вимкнено: %(disabled)sДіїДомен Active DirectoryАдміністратор домену Active DirectoryДіапазон доменів Active DirectoryАктивна зонаДодатиДодати ${entity}Додати ${entity} ${primary_key} до ${other_entity}Додати ${other_entity}, керування ${entity} ${primary_key}Додати ${other_entity} до ${entity} ${primary_key}Додано дозвіл ${other_entity} до ${entity} ${primary_key}Додати умову до ${pkey}Додано заборону ${other_entity} до ${entity} ${primary_key}Додати багатоДодати права доступуДодати правилоДодати ${other_entity} запуск від імені до ${entity} ${primary_key}Додати групи запуску від імені до ${entity} ${primary_key}Додати ${other_entity} джерела до ${entity} ${primary_key}Додати нову групу служб HBAC.Додати нову службу HBAC.Додати нову службу IPA.Додати нове уповноваження.Додати нову групу правил для паролів.Додати новий запис вузла.Додати нову групу вузлів.Додати нову мережеву групу.Додати нові права доступу.Додати нове уповноваження.Додати нову роль.Додати нові права доступу автослужби.Додати нового користувача.Додати права доступу до надання доступу до окремих зон.Додати системні права доступу без ACIДодати пару атрибут/значення. Формат: атрибут=значення. Атрибут має бути частиною схеми.Додати пункт до правила sudo.Додати і додати щеДодати і закритиДодати і змінитиДодати команди і групи команд sudo, яких стосується правило sudo.Додати групу виконання до запису sudo.Додати вузли та групи вузлів, яких стосується правило sudo.Додати записи вузлів, які можуть керувати цим вузлом.Додати вузли, які можуть керувати цією службою.Додати учасників до групи команд sudo.Додати учасників до групи.Додати записи до групи вузлів.Додати учасників до мережевої групи.Додати учасників до запису уповноваження.Додати учасників до запису ролі.Додати учасників до групи служб HBAC.Додати новий запис ресурсу DNS.Додати новий запис довіри для використанняДодати права доступу до уповноваження.Додати уповноваження до запису ролі.Додати служби до правила HBAC.Додати початкові вузли та групи вузлів з правила HBAC.Додати вузли призначення та групи вузлів до правила HBAC.Додати вузли призначення та групи вузлів до правила карти користувачів SELinux.Додати запис вузла до DNS з цією IP-адресоюДодати запис сервера назв до DNS з цією IP-адресоюДодати записи користувачів та груп, яких стосується правило sudo.Додати користувачів та групи для виконання команд sudo від їхнього імені.Додати користувачів та групи до правила HBAC.Додати користувачів і групи до правила карти користувачів SELinux.Додано запис довіри Active Directory для області «%(value)s»Додано правило HBAC «%(value)s»Додано службу HBAC «%(value)s»Додано групу служб HBAC «%(value)s»Додано діапазон ідентифікаторів «%(value)s»Додано карту користувачів SELinux «%(value)s»Додано команду sudo «%(value)s»Додано групу команд sudo «%(value)s»Додано правило sudo «%(value)s»Додано правило автоматичної участі «%(value)s»Додано опосередковану карту автоматичного монтування «%(value)s»Додано ключ автоматичного монтування «%(value)s»Додано місце автоматичного монтування «%(value)s»Додано карту автоматичного монтування «%(value)s»Додано умови до «%(value)s»Додано уповноваження «%(value)s»Додано групу «%(value)s»Додано вузол «%(value)s»Додано групу вузлів «%(value)s»Додано групу мережеву групу «%(value)s»До правила sudo «%(rule)s» додано параметр «%(option)s»Додано права доступу «%(value)s»Додано уповноваження «%(value)s»Додано роль «%(value)s»Додано самообслуговування «%(value)s»Додано службу «%(value)s»Додано системні права доступу «%(value)s»Додано користувача «%(value)s»Адреса є некоректною. Переспрямування неможливе.Адміністративний обліковий записАдреса електронної пошти адміністратораЗмінено місце роботиАлгоритмВиконання всіх команд має призводити до якогось результатуДозволитиДозволити PTR-синхронізаціюДозволити додавання зовнішніх учасників поза IPA з довірених доменівДозволити динамічні оновлення.Дозволити запитДозволити синхронізацію прямих (A, AAAA) і зворотних (PTR) записівДозволити у зоні синхронізацію прямих (A, AAAA) і зворотних (PTR) записівДозволити перенесенняУможливлює перенесення, незважаючи на використання додатка compatВже зареєстрованоВисотаОсновний вузол IPA не можна вилучати або вимикатиПід час спроби отримання даних щодо зон DNS сталася помилка.Інтервал між двома регулярними сеансами отримання даних з сервера назв для нових зон DNSБудь-яка командаБудь-яка групаБудь-який вузолБудь-яка службаБудь-хтоЗастосуватиЗастосувати ACI до вашого власного запису (self)Ви справді бажаєте виконати щодо користувача дію «${action}»?
Зміни буде внесено негайно.Ви справді хочете вилучити ${object}Ви справді бажаєте вилучити позначені записи?Ви справді хочете вимкнути ${object}Ви справді хочете вимкнути позначені записи?Ви справді хочете увімкнути ${object}Ви справді бажаєте увімкнути позначені записи?Ви справді хочете виконати цю дію?Ви справді бажаєте скасувати передбачення цього вузла?Ви справді бажаєте скасувати передбачення цієї служби?Від іменіЗапитати невипадковий пароль, який слід використати для реєстраційного записуСлід вказати принаймні домен або IP-адресуАтрибутКлюч атрибутаАтрибут для фільтрування за формальним виразом. Приклад: fqdn для вузла або manager для користувачаАтрибутиАудитОсновний сервер назвНазва домену основного сервера назвПравило автоматичної участіАвтоматичну участь не налаштованоПравило автоматичної участі: %s не знайдено!Автоматична участьПравило автоматичної участіАвтоматичне монтуванняКлюч автомонтуванняКлючі автомонтуванняЗапис автомонтуванняПараметри запису автомонтуванняЗаписи автомонтуванняКарта автомонтуванняКарти автоматичного монтуванняНазва ключа автоматичного монтування.Об’єкт ключа автоматичного монтування.Адреса автомонтування.Назва карти автоматичного монтування.Основний файл automount.ДоступнийПравила оновлення BINDНазадПовернутися до початкуПомилковий формат кешу реєстраційних данихПомилковий або непідтримуваний тип солі (salt). Помилковий фільтр пошуку %(info)sКореневий DNОсновний DN на віддаленому сервері LDAPОснова IDОснова для створення записів об’єктів сертифікації (OU=Test,O=Example)Сертифікат сервера у кодуванні Base-64Помилка декодування Base64: %(reason)sDN для прив'язкиНевдала спроба прив’язки: %s У разі використання прив’язки DN слід вказати пароль прив’язки. Вбудовані команди:Компрометація CAОб’єкт реєстраційних даних CIFSВаші реєстраційні дані відхилено сервером CIFS %(host)sПомилка обміну даними з сервером CIFS: код «%(num)s», повідомлення «%(message)s» (обидва значення можуть бути «None»)Ваші реєстраційні дані відхилено сервером CIFSЗаписом CNAME не можна користуватися разом з будь-якими іншими записами, окрім PTRCSRСкасуватиНе вдалося створити зворотний запис для «%(value)s»: %(exc)sНе вдалося встановити LSA-з’єднання з %(host)s. Чи запущено сервер CIFS?Не вдалося знайти домену або сервера з вказаною назвоюВиконати дію з приєднання без встановленої підтримки Samba 4 неможливо. Переконайтеся, що вами встановлено підпакунок IPA server-trust-ad.Без налаштовування власного домену не можна виконувати дію з приєднання. Спочатку запустіть ipa-adtrust-install на сервері IPA.Не вдалося визначити KDC для бажаної області (realm)Водійська ліцензіяСертифікатВласник сертифікатаСертифікат відкликаноБазовий об’єкт сертифікаціїТип сертифікатаСертифікат для ${primary_key} ${entity}Помилка форматування сертифіката: %(error)sНе вдалося завершити дію з сертифікатом: %(error)sНадіслано запит щодо сертифікаціїСертифікат відновленоСертифікат збережено у файлі «%(file)s»Базовий об’єкт сертифікації: %s Сертифікат/CRLСертифікатиСкасування діїЗмінити на групу POSIXЗмінити на зовнішню групуЗмінити пароль «%(value)s»Класи символівПеревірити стан запиту щодо підписування сертифіката.Перевірка, чи існує запис.МістоКласНатисніть, щоб ${action}Клієнтську частину не налаштовано. Віддайте команду ipa-client-install.Версія клієнта. Використовується для визначення, якщо сервер приймає запит.ЗакритиСпроба закриття таблиці ключів зазнала невдачі Згорнути всіСписок типів шифрування, відокремлених комамиСписок атрибутів, відокремлених комамиВідокремлений комами список атрибути, які буде проігноровано для записів груп у DSВідокремлений комами список атрибути, які буде проігноровано для записів користувачів у DSВідокремлений комами список класів об’єктів, які буде проігноровано для записів груп у DSВідокремлений комами список класів об’єктів, які буде проігноровано для записів користувачів у DSВідокремлений комами список класів об’єктів, використаних для пошуку записів груп у DSВідокремлений комами список класів об’єктів, використаних для пошуку записів користувачів у DSВідокремлений комами список прав доступу, які слід надати (read, write). Типовим є write.Відокремлений комами список прав доступу, які слід надати (read, write, add, delete, all)Список необроблених записів %s, відокремлених комамиКатегорія командКатегорія команд, до якої застосовується правилоНазва командиКоманду не реалізованоКомандиКоманди керування налаштуванням sudoЗвичайне ім'яУмови, які не вдалося додатиУмови, які не вдалося вилучитиНалаштуванняПідтвердженняКількість помилок для блокуванняВикористанняІменування використанняВикористати іменування.ВикористаноВикористано %(value)s іменувань.Параметри контактуВстановити зв’язок з вказаним сервером KDCПродовжитиРежим неперервної роботи: не зупинятися у разі помилок.Режим неперервної обробки. Програма повідомляє про помилки, але продовжує обробку.Режим неперервної обробки. Програма повідомляє про помилки, але продовжує обробку.Не вдалося отримати %(name)s у інтерактивному режиміСтворити правило HBAC.Створити карту користувачів SELinux.Створити ключ автоматичного монтування.Створити новий запис автоматичного монтування.Створити карту автомонтування.Створити нову групу.Створити опосередковану точку монтування.Створити як групу, що не відповідає POSIXСтворити запис DNSСтворити зону DNS (запис SOA).Створити групу команд sudo.Створити запис команди sudo.Створити правило sudo.Створити зворотний записСтворити зворотний запис для цієї IP-адресиСтворено ACI «%(value)s»Створення запису.Помилкові права доступу до кешу реєстраційних данихПоточний вміст запису DNS: Поточний парольСлід вказати поточний парольDN контейнера груп у DS відносно до основного DNDN контейнера користувачів у DS відносно до основного DNDN, до якого слід виконати прив’язку, якщо не використовується kerberosDNSЗагальні налаштування DNSТип RR DNS «%s» не підтримується додатком bind-dyndb-ldapЗапис ресурсу DNSЗаписи ресурсів DNSЗона DNSПараметри зони DNSЗони DNSКлас DNSПараметри налаштування DNSDNS не налаштованоДовжина мітки DNS не повинна перевищувати 63 символиЗапис DNS було вилучено, оскільки у ньому не містилося жодних даних.Записи DNS можна оновлювати лише поодинціЗапис ресурсу DNSТип запису ресурсу DNSЗаписи ресурсів DNSЗворотної зони DNS для IP-адреси %(addr)s не знайденозона DNSЗони DNS %(zone)s не знайденоКореневий запис зони DNS не можна перейменовуватизони DNSДаніДіагностична інформаціяТипова (резервна) групаТипова (резервна) група для додавання записівТиповий користувач SELinuxТиповий користувач SELinux, якщо не буде знайдено відповідного у правилі карти SELinuxТиповий домен ел. поштиТипова група для додавання записівТипова група для нових користувачівТиповою групою для нових користувачів не є група POSIXТипової групи для нових користувачів не знайденоТипові класи об’єктів групиТипові класи об’єктів груп (список класів, відокремлених комами)Типова група вузлівТипова адреса домашніх каталогівТипова оболонкаТипова оболонка для нових користувачівТипова група користувачівТипові класи об’єктів користувачівТипові класи об’єктів користувачів (список класів, відокремлених комами)Типова група користувачівГрадуси широтиГрадуси довготиУповноваженняНазва уповноваженняУповноваженняВилучитиВилучити значення «%(value)s» %(name)s?Вилучити запис ресурсу DNS.Вилучити зону DNS (запис SOA).Вилучити ключ, скасування передбаченняВилучити групу команд sudo.Вилучити запис команди sudo.Вилучити правило sudo.Вилучити карту користувачів SELinux.Вилучити уповноваження.Вилучити групу правил для паролів.Вилучити вузол.Вилучити групу вузлів.Вилучити мережеву групу.Вилучити права доступу.Вилучити уповноваження.Вилучити роль.Вилучити права доступу автослужби.Вилучити запис довіри.Вилучити користувача.Вилучити всі пов’язані записиВилучити все?Вилучити правило HBAC.Вилучити групу служб HBAC.Вилучити діапазон ідентифікаторів.Вилучити службу IPA.Вилучити парну атрибут-значення. Цей параметр буде використано останнім, після всіх встановлень і додавань.Вилучити ключ автоматичного монтування.Вилучити запис автоматичного монтування.Вилучити карту автоматичного монтування.Вилучити вже створену службу HBAC.Вилучити групу.Вилучено ACI «%(value)s»Вилучено правило HBAC «%(value)s»Вилучено службу HBAC «%(value)s»Вилучено групу служб HBAC «%(value)s»Вилучено діапазон ідентифікаторів «%(value)s»Вилучено карту користувачів SELinux «%(value)s»Вилучено команду sudo «%(value)s»Вилучено групу команд sudo «%(value)s»Вилучено правило sudo «%(value)s»Вилучено правило автоматичної участі «%(value)s»Вилучено ключ автоматичного монтування «%(value)s»Вилучено місце автоматичного монтування «%(value)s»Вилучено карту автоматичного монтування «%(value)s»Вилучено уповноваження «%(value)s»Вилучено групу «%(value)s»Вилучено вузол «%(value)s»Вилучено групу вузлів «%(value)s»Вилучено мережеву групу «%(value)s»Вилучено права доступу «%(value)s»Вилучено уповноваження «%(value)s»Вилучено запис «%(value)s»Вилучено роль «%(value)s»Вилучено самообслуговування «%(value)s»Вилучено службу «%(value)s»Вилучено запис довіри «%(value)s»Вилучено користувача «%(value)s»Вилучення керованих груп заборонено. Спочатку групу слід від’єднати.ВідмовитиОписВід’єднати керовану групу від користувача.Від’єднати групу «%(value)s» від користувача «%(value)s»Словник перекладених повідомленьСловник закодованих JSON команд IPAСловник JSON-закодованих методів IPAСловник закодованих JSON об’єктів IPAВідображення назви змінної на значення за словникомКонтрольна сумаТип контрольної сумиБезпосереднійБезпосередня участьПівкуля широтиНапрямок довготиВимкнутиВимкнути зону DNS.Вимкнути правило sudo.Вимкнути обліковий запис користувача.Вимкнути правило HBAC.Вимкнути правило карти користувачів SELinux.Вимкнути ключ Kerberos і сертифікат SSL служби.Вимкнути ключ Kerberos, сертифікат SSL і всі служби на вузлі.ВимкненоВимкнено зону DNS «%(value)s»Вимкнено правило HBAC «%(value)s»Вимкнено карту користувачів SELinux «%(value)s»Вимкнено правило «%s»Вимкнено вузол «%(value)s»Вимкнено службу «%(value)s»Вимкнено обліковий запис користувача «%(value)s»Показати ресурс DNS.Показати групу команд sudo.Показати команду sudo.Показати правило sudo.Показати ключ автоматичного монтування.Показати запис автоматичного монтування.Показати карту автоматичного монтування.Показати поточні іменування.Показати поточні правила для певного користувачаПоказати дані щодо зони DNS (запису SOA).Показати дані щодо уповноваження.Показати дані щодо вузла.Показати дані щодо групи вузлів.Показати дані щодо іменованої групи.Показати дані щодо мережевої групи.Показати дані щодо прав доступу.Показати дані щодо уповноваження.Показати дані щодо діапазону.Показати дані щодо ролі.Показати дані щодо прав доступу автослужби.Показати дані щодо довіри.Показати дані щодо користувача.Показати дані щодо групи служб HBAC.Показати дані щодо служби HBAC.Показати дані щодо служби IPA.Показати дані щодо групи правил для паролів.Екранне ім'яПоказати права доступу цього запису (потребує --all). Докладніше про це можна дізнатися зі сторінки довідника (man) ipa.Показати поточні правила квитків Kerberos.Показати властивості правила карти користувачів SELinux.Показати властивості правила HBAC.Показати запис користувача для поточного реєстраційного запису KerberosДоменНазва домену у NetBIOSДомен SIDSID довіреного доменуІдентифікатор безпеки доменуКонтролер домену Active Directory (необов’язковий)Не створювати закриту групу користувачаЗвантажитиЗвантажити сертифікатДинамічне оновленняЗмінитиЗмінити ${entity}Адреса ел. поштиВідомості щодо працівникаУвімкнутиУвімкнути зону DNS.Увімкнути правило sudo.Увімкнути обліковий запис користувача.Увімкнути правило HBAC.Увімкнути правило карти користувачів SELinux.Увімкнути режим міграціїУвімкнути або вимкнути анонімний PKINIT.УвімкненоУвімкнено зону DNS «%(value)s»Увімкнено правило HBAC «%(value)s»Увімкнено карту користувачів SELinux «%(value)s»Увімкнено правило sudo «%s»Увімкнено обліковий запис користувача «%(value)s»Типи шифрування, запит щодо яких слід надсилатиСпроба порівняння значень типу шифрування зазнала невдачі! КінецьЗареєстрованоРеєстраціяUUID реєстраціїUUID реєстрації (не реалізовано)Помилка реєстрування. %s Введіть %(label)s ще раз для перевірки: Нижче вкажіть закодований у Base64 сертифікат іменування:ІменуванняІменування синхронізовано.ІменуванняЗаписПомилкаПомилка під час спроби зміни стану облікового записуПомилка під час отримання типової області дії Kerberos: %s. Помилка під час отримання початкових реєстраційних даних: %s. Помилка під час обробки «%1$s»: %2$s. Помилка при визначенні адрес таблиці ключів: %s. Помилка під час спроби збереження реєстраційних даних у кеші: %s. Встановити за допомогоюВстановлено і перевіреноОбмінникВиключнаФормальний вираз виключенняРозгорнути всіСтрок діїВиразЗовнішнійЗовнішня група, від імені якої можна віддавати команди (лише sudorule-find)Зовнішній користувачЗовнішній користувач, від імені якого можна віддавати команди (лише sudorule-find)Зовнішній користувач, до якого застосовуватиметься правило (лише sudorule-find)Зовнішній вузолЗовнішній учасникДодаткові хеші для створення у додатку паролів.Помилка запуску від іменіПомилка запуску від імені групиПомилка hosts/hostgroupsКількість невдалих спроб увійтиПомилка managedbyПомилка membersПомилки служб/груп службПомилка hosts/hostgroups джерелаНе вдалося додатиНе вдалося додати ключ до таблиці ключів Не вдалося додати користувача до типової групи. Додати користувача вручну можна за допомогою команди «ipa group-add-member».Не вдалося закрити таблицю ключів Не вдалося створити керування! Не вдалося створити вихідні дані для ключа Не вдалося створити ключ! Не вдалося створити випадковий ключ! Не вдалося відкрити таблицю ключів Не вдалося відкрити таблицю ключів Не вдалося відкрити таблицю ключів «%1$s»: %2$s Спроба вилучення зазнала невдачіНе вдалося отримати жодного ключаНе вдалося отримати дані щодо типу шифрування %1$s (№%2$d) Не вдалося отримати дані щодо типу шифрування №%d Помилка users/groupsПомилка під час декодування запиту на підписування сертифіката (CSR)Помилка під час декодування запиту на підписування сертифіката (CSR):Помилка під час декодування запиту на підписування сертифіката (CSR): %sПроміжок скидання помилокНіFalse, якщо перенесення зазнає невдачі через увімкнення додатка сумісності.False, якщо режим міграції було вимкнено.Номер факсуОтримання даних щодо зон DNS.Файла %(file)s не знайденоФайл, у якому зберігатимуться дані сертифіката.Файл, у якому зберігатимуться дані таблиці ключівПорожня назва файлаФільтрЗнайтиВідбитокВідбиток (MD5)Відбиток (SHA1)Тип відбиткаВідбиткиПерший ідентифікатор POSIX діапазонуПерший ідентифікатор POSIX діапазону, зарезервованого для довіреного доменуПерший RID відповідного діапазону RIDПерший RID вторинного діапазону RIDІм'яПрапорціПримусовоПримусово створити зону DNS, навіть якщо сервера назв немає у DNS.Спочатку переспрямуватиЛише переспрямовуватиПравила переспрямовуванняПереспрямувати на сервер замість локального виконанняЛише прямі зониЗнайдено «%(value)s»ВідПовне ім’яПовна назва вузлаПоле GECOSGIDGID (за допомогою цього параметра можна встановити значення вручну)ЗагальнеСтворити випадковий пароль, який буде використано для загальної реєстраціїСтворити випадковий пароль для користувачаСтворити файли automount для певної адреси.ОтриматиЗагальні налаштування DNS є порожнімиЗагальні переспрямовувачіНадання уповноважень ролямГрупаГрупи з назвою «%s» не існуєІд. номер групиПараметри групиПараметри групиТип групиКонтейнер групОпис групиНазва групиКлас об’єктів групиГрупа, до якої слід застосувати ACIГрупа: %s не знайдено!Тип групуванняГрупування, якого стосується правилоГрупиГрупи користувачів запуску від іменіПравило HBACПравило HBAC, яке визначає користувачів, групи і групи вузлівПравила HBACСлужба HBACГрупа служб HBACГрупа служб HBACСлужби HBACТест HBACПравило HBACНе знайдено правила HBAC %(rule)sНе можна одночасно вказувати правило HBAC і локальних учасниківправила HBACСлужба HBACОпис служби HBACгрупа служб HBACОпис групи служб HBACГрупа служб HBACСлужби HBACПомилка HTTPАпаратні MAC-адреси цього вузлаАпаратна платформа вузла (наприклад, «Lenovo T61»)Підтеми довідки:Теми довідки:Сховати подробиціПриховати дані щодо того, які правила є відповідними, які не є відповідними і які є некоректнимиРозмір журналуДомашній каталогАдреса домашніх каталогівТочність за горизонталлюВузолВузла «%(host)s» не знайденоКерування доступом на основі вузлівСертифікат вузлаГрупа вузлівПараметри групи вузлівГрупи вузлівНазва вузлаПараметри вузлаКоманди керування доступом на основі вузлівКатегорія вузлівКатегорія вузлів, до якої застосовується правилоВузол не має відповідного запису DNS AПравило групи вузлівПравила груп вузлівАпаратна платформа вузла (наприклад, «Lenovo T61»)Вузол вже приєднано. Адреса розташування вузла (наприклад, «Київ, Україна»)Розташування вузла (наприклад, «Lab 2»)Назва вузлаОпераційна система вузла і її версія (наприклад, «Fedora 9")Вузол не передбаченоКоманди керування доступом на основі вузлівГрупа вузлівНазва вузлаНазва вузла цього сервераВузлиТривалість кешування відмовДіапазон ідентифікаторівДіапазони ідентифікаторівдіапазон ідентифікаторів вже існує, слід додати вручнудіапазон ідентифікаторів вже існуєВже існує діапазон ідентифікаторів з тією самою назвою але іншим доменом SID. Діапазон ідентифікаторів для нового довіреного домену має бути створено вручну.IP-адресаIP-адресу %(ip)s вже призначено у домені %(domain)s.Мережа IP для створення зворотних назв зониПомилка IPAСервер IPAСервер IPA, який слід використовуватиnamingContext IPA не знайдено Унікальний ід. IPAПрофільПараметри профілюЯкщо проблему не вдасться усунути, зверніться до адміністратора системи.Ігнорувати додаток compatІгнорувати атрибут групиІгнорувати клас об’єктів групиІгнорувати атрибут користувачаІгнорувати клас об’єктів користувачаІмпортуватиІмпортувати сертифікатІмпортувати сертифікат іменування.Імпортувати файли automount для певної адреси.Включення вимкненоВключення увімкненоПеревірити всі вимкнені правила IPAПеревірити всі увімкнені правила IPA [типова поведінка]ВключнаФормальний вираз включенняНекоректний пароль. ОпосередкованийОпосередкована служба HBAC учасникаОпосередкована група служб HBAC учасникаОпосередковані групи учасникаГрупи вузлів з опосередкованою участюВузли з опосередкованою участюОпосередковані мережеві групи учасникаОпосередкований учасник rolesОпосередковані права доступу учасникаОпосередковані користувачі учасникаОпосередкована участьІніціалиУ форму введення даних не введено деякі з даних або у формі містяться некоректні записи.Недостатні права доступу «write» до атрибута «krbLastPwdChange» запису «%s».Недостатні права доступу «write» до атрибута «userCertificate» запису «%s».Недостатні права для доступу: %(info)sНедостатні права доступу для створення сертифіката з альтернативною назвою призначення «%s».Внутрішня помилканекоректний запит JSON-RPC: %(error)sНекоректна адреса LDAP.Некоректне значення MCS. Значення має відповідати шаблону c[0-1023].c[0-1023] і/або шаблону c[0-1023]-c[0-c0123]Некоректне значення MLS. Значення має відповідати шаблону s[0-15](-s[0-15])Некоректне ім’я користувача SELinux, у імені можна використовувати лише символи a-Z і _Некоректна назва реєстраційного запису служби Реєстраційні дані вказано з помилкамиНекоректний формат. Правильний формат: назва=значенняНекоректна кількість частин!Некоректний або непідтримуваний тип. Дозволені значення: %sЧи є зона активною?СтворитиСтворити сертифікат для ${primary_key} ${entity}ВидавецьВиданоВидано дляВидавецьЗапис видавця «%(issuer)s» не відповідає очікуваному значенню видавцяЗаписи доданоЗаписи вилученоПосадаНе знайдено кешу реєстраційних даних Kerberos. Чи є у вас квиток Kerberos? Ключ KerberosКлюча Kerberos немаєМаємо ключ Kerberos, вузол передбаченоМаємо ключ Kerberos, службу передбаченоНазва реєстраційного запису служби KerberosПравила квитків KerberosНе знайдено реєстраційного запису користувача Kerberos. Ви маєте ви коректний кеш реєстраційних даних? Невдала спроба ініціалізації контексту Kerberos Невдала спроба ініціалізації контексту Kerberos: %1$s (%2$d) Помилка Kerberos: %(major)s/%(minor)sДоступні ключі KerberosРеєстраційний запис KerberosРеєстраційний запис Kerberos %s вже існує. Скористайтеся командою «ipa user-mod», щоб встановити його параметри вручну.Назва реєстраційного запису Kerberos для цього вузлаКлючКомпрометація ключаМітка ключаТаблиця ключівНазва файла таблиці ключівТаблицю ключів успішно отримати і збережено до: %s DN LDAPURI LDAPURI LDAP сервера DS, з якого здійснюватиметься міграціяБазовий DN LDAPПароль LDAPПароль LDAP (якщо не використовується Kerberos)Схема LDAPМіткиОстаннє невдале розпізнаванняПрізвищеОстаннє успішне розпізнаванняВикористання пробілів на початку і у кінці забороненоПрипустимий фільтр LDAP (наприклад, ou=Engineering)Список вилучень, які не вдалося виконатиСписки об’єктів, міграцію яких виконано; впорядкований за типами.Списки об’єктів, міграцію яких не вдалося виконати; впорядкований за типами.Завантаження…Локальний доменАдресаЗаписТривалість блокуванняВхід до системи від іменіУвійтиОболонка входуВийтиПомилка під час виходуMAC-адресаВідбиток MD5Адреса ел. поштиПомилкове форматування DNКерування правилами обробки паролів для певної групиКерування правилами обробки квитків певного користувачаПрава доступу managedbyКерівникКартаТип картиОсновний файлВстановлено відповідністьВідповідні правилаМакс. к-ть помилокМакс. строк діїМакс. строк дії (у днях)Макс. вік поновленняМаксимальний проміжок часу (у секундах) для виконання однієї дії з пошуку (>0, -1 — без обмежень)Максимальна кількість повернутих записівМаксимальна кількість записів результатів пошуку (-1 — без обмежень)Максимальна кількість правил, які слід обробити, якщо не вказано параметра --rulesМаксимальний строк дії пароля має перевищувати мінімальний строк його дії.Максимальний строк дії пароля (у днях)Максимальний вік, протягом якого можливе поновлення (у секундах)Максимальний строк дії квитка (у секундах)Максимальна довжина імені користувачаМаксимальним є значення ${value}Не може бути порожнімСлужба HBAC учасникаГрупи служб HBAC учасникаВузол-учасникУчасник groupsУчасник host-groupsУчасник hostsМережеві групи учасникаУчасникУчасник групиУчасник групиУчасник групУчасник host-groupsУчасник мережевих групГрупи служб учасникаСлужби учасникаУчасник групи користувачівУчасник usersУчасники, записи яких не вдалося додатиУчасники, записи яких не вдалося вилучитиПеренести дані користувачів і груп з DS до IPA.Режим міграції вимкнено. Скористайтеся командою «ipa config-mod», щоб увімкнути його.Підтримки перенесення посилання пошуку LDAP не передбачено.Мін. довжинаМін. строк дії (у годинах)Мінімальна довжина пароляМінімальна кількість класів символівМінімальний строк дії пароля (у годинах)Мінімальним є значення ${value}Мінути широтиМінути довготиІнша інформаціяНе вказано HTTP Referer або вказано помилкове значення, %(referer)sНемає керування відповіддю! Пропущені значення: Номер мобільного телефонуЗміненоЗмінено ACI «%(value)s»Змінено правило HBAC «%(value)s»Змінено службу HBAC «%(value)s»Змінено групу служб HBAC «%(value)s»Змінено діапазон ідентифікаторів «%(value)s»Змінено карту користувачів SELinux «%(value)s»Змінено команду sudo «%(value)s»Змінено групу команд sudo «%(value)s»Змінено правило sudo «%(value)s»Змінено правило автоматичної участі «%(value)s»Змінено ключ автоматичного монтування «%(value)s»Змінено карту автоматичного монтування «%(value)s»Змінено уповноваження «%(value)s»Змінено групу «%(value)s»Змінено вузол «%(value)s»Змінено групу вузлів «%(value)s»Змінено мережеву групу «%(value)s»Змінено права доступу «%(value)s»Змінено уповноваження «%(value)s»Змінено роль «%(value)s»Змінено самообслуговування «%(value)s»Змінено службу «%(value)s»Змінено запис довіри «%(value)s»Змінено користувача «%(value)s»Змінено: ключ не встановленоЗмінити значення «%(value)s» %(name)s?Змінити зону DNS (запис SOA).Змінити діапазон ідентифікаторів.Змінити правила квитків Kerberos.Змінити групу команд sudo.Змінити команду sudo.Змінити правило sudo.Змінити запис ресурсу DNS.Змінити карту користувачів SELinux.Змінити уповноваження.Змінити групу правил для паролів.Змінити групу.Змінити групу вузлів.Змінити мережеву групу.Змінити права доступу.Змінити уповноваження.Змінити роль.Змінити права доступу автослужби.Змінити параметри користувача.Змінити правило HBAC.Змінити групу служб HBAC.Змінити службу HBAC.Змінити ключ автоматичного монтування.Змінити карту автоматичного монтування.Змінити вже створену службу IPA.Змінити параметри налаштування.Змінити загальні налаштування DNS.Змінити дані щодо вузла.Знайдено декілька записів ключів %(key)s, скористайтеся --info для вибору певного запису.Інформація щодо монтуванняТочка монтуванняМає бути десятковим числомМає бути цілим числомНазва домену NISНазва команди для експортуванняНазва групи вузлівНазва методу, який буде експортованоНазва об’єкта, який слід експортуватиНазва батьківської карти автомонтування (типове значення: auto.master).Сервер назв «%(host)s» не має відповідного запису A/AAAAАдреса сервера назв не є повною назвою доменуНе надано ні --del-all, ні параметрів вилучення певного запису. Всі підтримувані типи записів можна знайти у виводі команди help.Вкладені методи, які слід виконатиМережева групаПараметри мережевої групиОпис мережевої групиНазва мережевої групиМережеві групиНова назва ACIНовий сертифікатНовий парольНовий пароль реєстраційного записуНовий текстІнформація нового монтуванняНова назва має бути непорожньоюСлід вказати новий парольНовий: ключ не встановленоНовий: ключ встановленоДаліНаступна назва доменуБез сертифіката.Немає чинних сертифікатівНе знайдено кешу реєстраційних данихНе встановлено типової (резервної) групиНемає записів.Немає файла для читанняЖоден з ключів не прийнято KDC Відповідних записів не знайденоВилучення певних ресурсів не передбачено.Можливості внесення змін у певний запис не передбачено.Немає дозволу на долучення цього вузла до домену IPA. Немає доступу до реєстраціїНемає відповідіУ цього запису немає такого атрибутаТакої віртуальної команди не передбаченоНемає основних системних типів шифрування?! Немає значень %sНемає дозволу на запис до файла таблиці ключів «%s» Домен не-Active DirectoryНекоректні правила або правила, яких не існуєЗвичайнийНе пізнішеНе ранішеНе є керованою групоюНекоректна IP-адресаНекоректна адреса IPv4Некоректна адреса IPv6Некоректна адреса у мережіНе є сертифікатом іменуванняВказано недостатньо аргументів для виконання налаштовування довіриНевідповідні правилаЩе не зареєстрованоНотаткаКількість ідентифікаторів у діапазоніКількість доданих умовКількість вилучених умовСповіщення про кількість днів, які залишилися до завершення дії пароля.Кількість повернутих записівКількість доданих учасниківКількість вилучених учасниківКількість доданих прав доступуКількість вилучених записів прав доступуКількість завантажених додатківКількість доданих уповноваженьКількість вилучених уповноваженьКількість повернутих змінних (<= загальної)ГараздВстановлено одноразовий парольСлід вказати одне зі значень, group, permission або selfОдноразовий парольОдноразового пароля немаєЄ одноразовий парольМожна використовувати лише одне значенняОпераційна система вузла і її версія (наприклад, «Fedora 9»)Операційна системаНевдала спроба виконання дії! %s Помилка під час обробкиДодано параметрВилучено параметрПараметриПараметри dom_sid і rid_base слід використовувати разомНе можна одночасно використовувати параметри dom_sid і secondary_rid_baseПараметри secondary_rid_base і rid_base слід використовувати разомПорядокПорядок у збільшенні пріоритетності користувачів SELinux, відокремлений $ПідрозділУстановаПідрозділ установиПочатковий TTLІнші типи записівНе вистачає пам'яті! Не вистачає пам'яті Не вистачає пам'яті Не вистачає пам'яті!Не вистачає пам'яті! Не вистачає пам'яті!? Назва файла виводуВиводити лише повідомлення про помилкиПерезаписати ідентифікатор групиТип PACPKINITPOSIXСторінкаНомер пейджераБатьківська картаОбробити всі записи DNS і повернути дані у структурованій форміПарольСповіщення про вичерпання строку дії пароля (у днях)Правила щодо паролівПравила для паролівНе можна визначати пароль для вузла з визначеною роллю.Зміну пароля завершеноОбмеження терміну дії пароляРозмір журналу паролівМожливості додатка паролівНе вдалося скинути пароль.Пароль для загального керування реєстраційними записамиПаролі не збігаютьсяПаролі не збігаються!Міграцію записів паролів здійснено у форматі до хешування. IPA не вдасться створити ключі Kerberos, якщо не буде надано текстових паролів. Всім користувачам з перенесеними записами, доведеться пройти розпізнавання на https://your.domain/ipa/migration/ до того, як вони зможуть скористатися обліковими записами Kerberos.Паролі мають збігатисяПроміжок часу, по завершенню якого кількість помилок буде скинуто (у секундах)Проміжок часу, протягом якого діятиме блокування (у секундах)Права доступуACI прав доступу надає доступ доТип прав доступуДоступ заборонено: %(file)sНазва прав доступуТип прав доступуПрава доступу з некоректним визначенням призначенняПрава доступуДозволені типи шифруванняПеревірити луна-імпульсом (пінгом) віддалений сервер.ПлатформаБудь ласка, виберіть тип запису ресурсу DNS, який слід додатиБудь ласка, спробуйте такі параметри:ПравилаПортОбов’язкові аргументиПопередньо оприлюднений парольПріоритетПріоритет цього обмінника. Записи з меншим значенням мають вищий пріоритет.Префікс, за яким визначається тип ACI (permission, delegation, selfservice, none)НазадГоловна основа RIDЛише первинний ключРеєстраційний записНе вдалося виконати розпізнавання для реєстраційного запису %(principal)s: %(message)sРеєстраційний запис вказано у формі, відмінній від користувач@ОБЛАСТЬ: %(principal)rНазва реєстраційного записуВиводити мінімум данихВивести діагностичні даніВивести записи у формі, у якій вони зберігаються на сервері. Стосується лише формату виведення даних.Вивести дані XML-RPC без обробки у режимі GSSAPIПріоритетПріоритет правил (більше число — нижчий пріоритет)УповноваженняПараметри уповноваженняУповноваження відкликаноОпис уповноваженняНазва уповноваженняУповноваженняПродуктНадіслати запит щодо встановлення пароля користувачаОчікуванийПротоколПередбаченняВідкритий ключПризначення: %sКількістьЗа запитом повернуто більше за налаштоване максимальне значення результатів. Показано лише перші ${counter} результатів.Швидкі посилання«Мовчазний» режим. Буде показано лише повідомлення про помилки.Область Kerberos, сумісна з RFC4120Випадковий парольПараметри діапазонуНазва діапазонуРозмір діапазонуТип діапазонуНеоброблене значення для запису DNS вже було встановлено за допомогою параметра «%(name)s»Виконати повторну синхронізацію локального кешу іменування з сервером іменування.Має бути вказано пароль адміністратора областіНазва областіПідставаПричина відкликанняПричина відкликання сертифіката (0-10)Тип записуСпроба створення запису зазнала невдачі.Дані записуНазва записуЗапис не знайдено.Тип записуЗаписиЗаписи зони DNSПереспрямуванняПереспрямовування на запис PTRОновитиОновити сторінку.ЗареєструватисяЗареєструвати систему іменування.Зареєстровано сервер іменування.Реєстрації окремих UUID ще не передбачено.РеєстраціяПароль реєстраціїФормальний виразПерезавантажити переглядач.Вилучити ${entity}Вилучити ${entity} ${primary_key} з ${other_entity}Вилучити ${other_entity}, керування ${entity} ${primary_key}Вилучити ${other_entity} з ${entity} ${primary_key}Вилучити дозвіл ${other_entity} з ${entity} ${primary_key}Вилучити заборону ${other_entity} з ${entity} ${primary_key}Вилучити права доступуВилучити ${other_entity} запуску від імені з ${entity} ${primary_key}Вилучити групи запуску від імені з ${entity} ${primary_key}Вилучити ${other_entity} джерела з ${entity} ${primary_key}Вилучити права доступу до надання доступу до окремих зон.Вилучити всі реєстраційні записи у цій областіВилучити пункт з правила sudo.Вилучити команди і групи команд sudo, яких стосується правило sudo.Вилучити записи з DNSВилучити з CRLВилучити групу виконання з запису sudo.Вилучити вузли та групи вузлів, яких стосується правило sudo.Вилучити записи вузлів, які можуть керувати цим вузлом.Вилучити вузли, які можуть керувати цією службою.Вилучити учасників з групи команд sudo.Вилучити учасників з групи.Вилучити записи з групи вузлів.Вилучити учасників з мережевої групи.Вилучити учасників з запису ролі.Вилучити учасників з групи служб HBAC.Вилучити права доступу з уповноваження.Вилучити уповноваження з запису ролі.Вилучити служби та групи служб з правила HBAC.Вилучити вузли походження та групи вузлів з правила HBAC.Вилучити вузли призначення та групи вузлів з правила HBAC.Вилучити вузли призначення та групи вузлів з правила карти користувачів SELinux.Вилучити записи користувачів та груп, яких стосується правило sudo.Вилучити користувачів та групи для виконання команд sudo від їхнього імені.Вилучити користувачів і групи з правила HBAC.Вилучити користувачів і групи з правила карти користувачів SELinux.Вилучено умови з «%(value)s»Вилучити типову (резервну) групу для автоматичної участі «%(value)s»З правила sudo «%(rule)s» вилучено параметр «%(option)s»Вилучено системні права доступу «%(value)s»Вилучення реєстраційного запису %s ПерейменуватиПерейменувати об’єкт %(ldap_obj_name)sACI перейменовано на «%(value)s»ЗамінаІд. запитуУ запиті не вказано метод ("method")У запиті не вказано параметри ("params")Запит має належати до типу словника (dict)Стан запитуОб’єкт запиту «%(request_subject)s» вказано у формі, відмінній від «%(subject_base)s»Обов’язкове полеСкинутиВідновити типові правила квитків Kerberos.Скинути ОПСкинути одноразовий парольСкинути парольСкинути пароль і увійтиСкинути ваш пароль.Визначити назву вузла у DNS.ВідновитиВідновити сертифікат для ${primary_key} ${entity}Результат імітаціїСписок результатів обрізано. Спробуйте точніше визначити критерії пошуку.Результати мають містити лише атрибут основного ключа («%s»)Отримати вже створений сертифікат.Отримати і вивести всі атрибути з сервера. Стосується лише виводу команд.Отримати сертифікати іменування.Спроба отримання ланцюжка сертифікації CA зазнала невдачі: %sПовторитиПовернутися до головної сторінки і повторити спробуЗворотний запис для IP-адреси %(ip)s вже існує у зворотній зоні %(zone)s.Зворотна зона %(name)s потребує точно %(count)d компонентів IP-адрес, надано %(user_count)dМережа IP зворотної зониЗворотна зона для запису PTR має бути підзоною одного з таких повноформатних доменів: %sПричина відкликанняВідкликатиВідкликати сертифікат для ${primary_key} ${entity}Відкликати сертифікат.АнульованийПраваРольКерування доступом на основі ролейПараметри ролейНазва роліРоліНазва правилаСтан правилаТип правилаТип правила (allow)ПравилаПравила для перевірки. Якщо не вказано, вважається, що використано --enabled.Виконання командЗапустити тест…Запуск від користувачаЗапускати від імені будь-якого користувача вказаної групиЗапускати з ідентифікатором вказаної групи POSIXЗовнішня група для RunAsЗовнішній користувач для RunAsКатегорія запуску від імені групиКатегорія запуску від імені групи, до якої застосовується правилоГрупи запуску від іменіКатегорія запуску від імені користувачівКатегорія запуску від імені користувачів, до якої застосовується правилоКористувачі запуску від іменіНазва групи «%(name)s» є неприйнятною для RunAsGroupНазва групи «%(name)s» є неприйнятною для RunAsUserНе можна вказувати «%(name)s» як ім’я користувача у записі RunAsUserПараметри SELinuxКористувач SELinuxКарта користувачів SELinuxПравило карти користувачів SELinuxПравила карти користувачів SELinuxКарти користувачів SELinuxЗапису користувача SELinux %(user)s не виявлено у порядковому списку (у налаштуваннях)Типового користувача типової карти користувачів SELinux немає у порядковому спискуСписку карт користувачів SELinux у налаштуваннях не виявленоПорядок карт користувачів SELinuxВідбиток SHA1Клас SOAЗастарівання SOAМінімальний SOAКлас записів SOAЧас завершення строку дії запису SOAЧас оновлення запису SOAПроміжок між повторними спробами для запису SOAСерійний номер запису SOAЧас життя запису SOAОсвіження SOAПовторення спроби SOAСерійний номер SOAСтрок дії SOAВідкритий ключ SSHВідбиток відкритого ключа SSHВідкритий ключ SSH:Відкриті ключі SSHПошукПараметри пошукуШукати %(searched_object)s у цих %(relationship)s %(ldap_object)s.Шукати %(searched_object)s не у цих %(relationship)s %(ldap_object)s.Спроба пошуку %1$s у rootdse завершилася невдало з повідомленням про помилку %2$d Шукати ресурси DNS.Пошук зон DNS (записів SOA).Шукати правила HBAC.Шукати служби HBAC.Спроба пошуку namingContext IPA завершилася помилкою %d Знайти служби IPA.Шукати карти користувачів SELinux.Шукати групи команд sudo.Знайти команди sudo.Знайти правило sudo.Шукати мережеву групу.Шукати права доступу автослужби.Шукати групу служб HBAC.Виконати пошук ключа автоматичного монтування.Шукати запис автоматичного монтування.Виконати пошук карти автоматичного монтування.Пошук уповноважень.Шукати облікові записи іменування.Шукати лише прямі зониЗнайти групу правил для паролів.Шукати групи.Шукати групи вузлів.Шукати вузли.Спроба пошуку ipaCertificateSubjectBase завершилася невдало з повідомлення про помилку %dЗнайти права доступу.Знайти уповноваження.Шукати діапазони.Знайти ролі.Шукати записи довіри.Шукати користувачів.Обмеження розміру пошукуОбмеження часу пошукуВторинна основа RIDСекунди широтиСекунди довготиВибрати всеВиберіть записи, які слід вилучити.Позначені записи було вилучено.SelfПрава доступу автослужбиПрава доступу до самообслуговуванняНазва самообслуговуванняСписок відокремлених крапкою з комою записів IP-адрес або мереж, яким надано доступ до надсилання запитівСписок відокремлених крапкою з комою записів IP-адрес або мереж, яким надано доступ до перенесення зониСерійний номерСерійний номер (шістнадцятковий)Серійний номерСерійний номер (шістнадцятковий)Серійний десятковий номер або шістнадцятковий номер з префіксом 0xСерверНазва сервераСлужбаУ базі даних Kerberos не виявлено служби %(service)rСертифікат службиГрупи службПараметри службиПараметри службиКатегорія службКатегорія служб, до якої застосовується правилоНазва групи службНазва службиРеєстраційний запис службиРеєстраційний запис служби для цього сертифіката (наприклад HTTP/test.example.com)Реєстраційний запис служби вказано у формі, відмінній від: служба/повна назва вузла: %(reason)sСлужбу не передбаченоСлужбиПомилка сеансуВстановитиОдноразовий парольВстановити одноразовий парольВстановити ключ SSHВстановити пароль користувача.Встановити атрибут для пари назва/значення. Формат: атрибут=значення. Для атрибутів з багатьма значенням команда замінює вже вказані значення.Встановити типову (резервну) групу для автоматичної участі «%(value)s»ПараметриОприлюднений ключ для довіриПоказати результатиПоказати список завантажених додатків.Показати подробиціПоказати змінні середовища.Показати поточні налаштування.Показати поточні загальні налаштування DNS.Показати список дозволених типів шифрування і завершити роботуПоказати або встановити ключПоказано записи від ${start} до ${end} з ${total} записів.ПідписСтрок завершення дії підписуПочаток дії підписуІм’я підписувачаНевдала спроба простого прив’язування Імітувати використання керування доступом на основі вузлівРозмірОбмеження розміруРозмір діапазону ідентифікаторів, зарезервованого для довіреного доменуДеякі з записів не вилученоДеякі з дій не вдалося виконати.Групи вихідних вузлівВузли вихідних данихВузол джерелаКатегорія вузлів вихідних данихКатегорія вузлів вихідних даних, до якої застосовується правилоЗапис вузла походження для правила «%s» проігнорованоВказані команди і групиВказані групиВказані вузли і групиВказані служби і групиВказані користувачі і групиВизначає, де слід зберігати дані таблиці ключів.Вкажіть зовнішній ${entity}Стандартні типи записівПочатокОбласть/провінціяСтанВулиця і будинокСтруктурованаОб’єктНадіслати запит щодо підписування сертифіката.ПіддеревоПіддерево, до якого слід застосувати ACIПіддерево, до якого буде застосовано права доступуПідтипSudoГрупи дозволених команд sudoДозволені команди sudoКоманда sudoГрупа команд sudoГрупи команд sudoКоманди sudoГрупи заборонених команд sudoЗаборонені команди sudoПункт sudoПравило sudoПравила SudoПорядок sudoЗаміненоПідтримувані типи шифрування: Синтаксична помилка: %(error)sЗабрати відкликаний сертифікат.ЦільЦільова групаВузол призначенняЦільові учасники групиНе знайдено зворотної зони призначення.Виконати над власним записом (self)Номер телефонуПеревірити синтаксис ACI, але не виконувати записуТекстові даніТекст не відповідає шаблону поляОбласть IPAКлюча автоматичного монтування %(key)s з інформацією %(info)s не існуєНе можна використовувати символ «%(char)r».Не можна вилучати типову групу користувачівТип «deny» вважається застарілим.Доменна назва вузла призначення або '.', якщо служба є явно недоступною на цьому доменіТакої групи не існуєНе існує вузла «%s», до якого слід було додати службу.Запис вузла було додано, але спроба оновлення DNS зазнала невдачі: %(exc)sНазву вузла слід вказувати повністю: %s Назва вузла не повинна бути такою: %s Назва вузла, на яку вказує цей зворотний записНазва вузла для реєстраціїПара ключ,інформація має бути унікальною. Ключ з назвою %(key)s та інформацією %(info)s вже існує.Найпоширенішими типами для цього типу зон є: %s Вами введено помилкове ім’я користувача або пароль.Значення primary_key (основного ключа) запису, наприклад, «iivanenko» для користувачаРеєстраційний запис, для якого слід отримати таблицю ключів (приклад: ftp/ftp.example.com@EXAMPLE.COM)Область дії реєстраційного запису не збігається з областю цього сервера IPAСхема, використана на сервері LDAP. Підтримувані значення: RFC2307 і RFC2307bis. Типове значення: RFC2307bisКритерій пошуку не був достатньо точним. Мало бути вказано один критерій, виявлено — %(found)d.Реєстраційного запису служби для цього запиту не існує.Залишилося лише %d іменуваньДля виконання цієї команди потрібні права доступу користувача rootЦей запис вже існуєЦей запис не можна вмикати або вимикатиЦей запис вже є серед учасниківЦей запис вже вимкненоЦей запис вже увімкненоЦього запису немає серед учасниківУ цій групі вже дозволено зовнішніх учасниківЦя група не може належати до груп POSIX, оскільки є зовнішньоюВже є posix-групоюЦя група вже належить до груп POSIX, отже її не можна перетворити на зовнішнюНа цій сторінці виявлено незбережені зміни. Будь ласка, збережіть зміни або скасуйте їх.Цей реєстраційний запис потрібен основному серверу IPAСплив строк дії квиткаОбмеження часуОбмеження часу пошуку у секундахПоточний часСтрок діїЩоб підтвердити ваш намір відновити цей сертифікат, натисніть кнопку «Відновити».Щоб підтвердити ваш намір відкликати цей сертифікат, виберіть причину зі спадного списку і натисніть кнопку «Відкликати».Щоб увійти з використанням певного імені користувача і пароля, вкажіть їх у наведених нижче полях, а потім натисніть кнопку «Увійти».Команди теми:Кількість змінних env (>= count)ТакTrue, якщо повернуто було всі результатиTrue означає, що дію було виконано успішноДовіраПараметри довіриНапрямок довіриСтан довіриТип довіриТип довіри (типовим для Active Directory є ad)Довіреним доменом і обліковим записом адміністратора використовуються різні областіДовірений «ліс»«Ліс» довіриЗаписи довіриЩоб ознайомитися зі списком загальних параметрів, віддайте команду «ipa --help».Двобічна довіраТипТип покриттяКарта типівТип об’єкта IPA (user (користувач), group (група), host (вузол), hostgroup (група вузлів), service (служба), netgroup (мережева група), dns)UIDАдресаUUIDНе вдалося обмінятися даними з CMS (%s)Не вдалося створити закриту групу. Група «%(group)s» вже існує.Не вдалося розкодувати сертифікат у запису: %sНе вдалося визначити сервер IPA з %s Не вдалося визначити призначення сертифіката %s Не вдалося визначити кореневий DN %s Не вдалося увімкнути SSL у LDAP Не вдалося створити кеш реєстраційних даних Kerberos Не вдалося ініціалізувати з’єднання з сервером LDAP: %sНе вдалося ініціалізувати бібліотеку ldap! Не вдалося долучити вузол: не знайдено кешу реєстраційних даних Kerberos Не вдалося долучити вузол: не знайдено реєстраційного запису користувача Kerberos і не вказано пароля вузла. Не вдалося долучити вузол: невдала спроба ініціалізації контексту Kerberos Не вдалося обробити реєстраційний запис Не вдалося обробити назву реєстраційного запису Не вдалося обробити реєстраційний запис: %1$s (%2$d) Не вдалося вилучити запис Не вдалося встановити версію LDAP Не вдалося встановити LDAP_OPT_X_SASL_NOCANON Не вдалося встановити значення параметрів ldap! Не вдалося перевірити права доступу на запис до ADСкасувати реєстрацію цього вузла на сервері IPAСпроба скасування реєстрації зазнала невдачі. Успішне скасування реєстрації. НевідомоНевідома помилкаНевідома команда, «%s»Невідомий параметр: %(option)sРозблоковано обліковий запис «%(value)s»НевідповіднийСкасування передбаченняСкасування передбачення ${entity}Непридатні до обробки правила у --rulesВідкликання скасованоНезбережені зміниСкасувати вибір всьогоНе вказаноНепідтримуване значенняОновитиОновити записи DNSВикористання: ipa [загальні параметри] КОМАНДА ...КористувачГрупа користувачівГрупи користувачівІдентифікаційний номер користувача (система призначить його, якщо не буде вказано)Параметри користувачаКатегорія користувачівКатегорія користувачів, до якої застосовується правилоКонтейнер користувачівГрупа користувачівГрупа користувачів, до якої надає доступ ACIПравило групи користувачівПравила груп користувачівГрупа користувачів, до якої слід застосувати уповноваженняГрупа користувачів, до якої буде застосовано права доступуКористувачІм'я користувачаКлас об’єктів користувачаПароль користувачаПоля пошуку користувачівЗручний для користувача опис дії, що виконуєтьсяКористувачКористувачіЄ чинний сертифікатПомилка під час перевіркиКоректністьПовторіть парольПеревірка пароля реєстраційного записуТочність за вертикаллюПроміжна службаПереглядОчікуємо на підтвердження з віддаленого бокуПопередженняПопередження: невідомий тип шифрування. Попередження: невідомий тип солі (salt). Попередження: не вдалося виконати перетворення типу (№%d) Попередження: для випадкових паролів типи солі (salt) не мають значення (див. параметр -P) ВагаПід час перенесення групи, яку вже створено у домені IPA буде перезаписано ідентифікатор групи і повідомлено про успіхХтоЩоб створити службу вузла, вам слід зареєструвати вузолДля додавання служб вам слід мати роль адміністратора служб (serviceadmin)Вас буде переспрямовано до зони DNS.Строк дії вашого пароля буде вичерпано за ${days} днів.Строк роботи у вашому сеансі вичерпано. Будь ласка, увійдіть до системи ще раз.ІндексПереспрямовувачі зонВиявлено зону: ${zone}Назва зониНазва зони (FQDN)Запис зони «%s» не можна вилучатиІнтервал між оновленнями даних зониНевдала спроба виконання access() для %1$s: номер помилки = %2$d доданосталася внутрішня помилкана сервері %(server)r сталася внутрішня помилкабудь-який з налаштованих серверівapi не надає такого простору назв: %(name)rслід вказати хоча б одне з: type, filter, subtree, targetgroup, attrs або memberofне можна використовувати атрибут «%(attribute)s»не можна використовувати атрибут «%s»атрибут не можна налаштовуватиавтоматично додати реєстраційний запис, якщо його не існуєключ автомонтуванняключі автомонтуваннязапис автомонтуваннязаписи автомонтуваннякарта автомонтуваннякарти автоматичного монтуванняБазовий DNСпроба виконання ber_init() зазнала невдачі. Некоректне керування?! помилка ber_scanf(), не вдалося знайти kvno?! пароль прив’язкипорожній запис службине повинне перевищувати %(len)d символів у довжинуне повинне перевищувати за розміром %(maxlength)d байтівне повинне перевищувати %(maxlength)d символів у довжинуне може перевищувати %(maxvalue)dне може перевищувати %(maxvalue)sне може бути довшим за 255 символівне вдалося встановити з’єднання з %(uri)r: %(error)sнеможливо вилучити загальні правила паролівне вдалося отримати наступний серійний номерне вдалося відкрити файл налаштувань %s не вдалося обробити функцією stat() файл налаштування %s помилка certutilзміна конфліктує з іншою внесеною зміноюзмінити на групу POSIXзмінити для підтримки зовнішніх учасників поза IPA з довірених доменівдочірній процес завершив роботу з повідомленням %d cn є незміннимсписок SID учасників довіреного домену, відокремлених комамисписок значень %s, відокремлених комамивідокремлений комами список значень %s, які слід додатиСписок %s, відокремлених комами, які слід виключити з процесу міграціїсписок записів %s, відокремлених комами, які слід вилучитивідокремлений комами список прав доступу, які слід надати (read, write, add, delete, all)команда %(name)r приймає не більше %(count)d аргументукоманда %(name)r приймає не більше %(count)d аргументівкоманда %(name)r приймає не більше %(count)d аргументівкоманда %(name)r не приймає ніяких аргументівне можна встановлювати для категорії команд значення «all», доки є записи дозволу або заборони командне можна додавати команди, якщо категорія команд=«all»команди керування налаштуванням sudoспроба обмінятися даними з сервером CIFS зазнала невдачіпараметри налаштуванняне знайдено запис контейнера (%(container)s)не вдалося встановити унікальне нове значення ідентифікатора сеансу (session_id)уповноваженняуповноваженняописне отримано реєстраційних даних Kerberosкожен з елементів ACL має бути відокремлено від інших крапкою з комоюпорожня мітка DNSпорожній фільтріменуванняіменуваннязаписизаписпомилка під час розміщення даних для каналу передавання XML-RPC: %(error)sпомилка на сервері %(server)r: %(error)sспроба виконання ipa-getkeytab зазнала невдачі, номер помилки %d зовнішній учасникдія над файламифайл, у якому зберігатимуться дані сертифікатаназва файлаfilter і memberof не можна використовувати разомзначенням прапорців (flags) має бути одна з літер, "S", "A", "U" або "P"примусово створити запис сервера назв, навіть якщо відповідної назви вузла немає у DNSпримусове вилучення прав доступу SYSTEMпримусове значення назви вузла, навіть якщо назви немає у DNSпримусове значення назви реєстраційного запису, навіть якщо назви немає у DNSневдала спроба виконання fork() формат має бути таким: "d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]" where: d1: [0 .. 90] (широта у градусах) d2: [0 .. 180] (довгота у градусах) m1, m2: [0 .. 59] (мінути широти і довготи) s1, s2: [0 .. 59.999] (секунди широти і довготи) alt: [-100000.00 .. 42849672.95] крок — .01 (висота у метрах) siz, hp, vp: [0 .. 90000000.00] (розміри, точність у метрах) Див. RFC 1876.формат має бути встановлено так: "%(format)s", відповідно до %(rfcs)sформат має бути таким: «НАСТУПНИЙ ТИП1 [ТИП2 [ТИП3 [...]]]» (докладніше про це у RFC 4034)групане можна встановлювати для категорії запуску від імені груп значення «all», доки є записи для окремих групgroup, permission і self не можна використовувати разомгрупивузолне можна встановлювати для категорії вузлів значення «all», доки є записи дозволених вузлівгрупа вузлівгрупи вузлівГрупа вузлів з назвою «%s» вже створено. Групи вузлів і мережеві групи мають спільний простір назв.назва вузланазва вузла у призначенні запиту, «%(subject_host)s», не збігається з назвою вузла реєстраційного запису, «%(hostname)s»вузлине можна додавати записи вузлів, якщо категорія вузлів=«all»неналежне форматування сертифіката у кодуванні DERнеповне часове значенняпомилковий типціле число для впорядковування правил sudoнекоректне %(name)r: %(error)sнекоректний формат запису IP-адресинекоректна версія IP-адреси (маємо: %(value)d, має бути: %(required_value)d)!некоректний формат запису мережі IPнекоректний відкритий ключ SSHнекоректний формат адресинекоректна назва домену: %sнекоректний формат адреси електронної пошти: %(email)sПомилкові права доступу до ipa-getkeytab? Не знайдено ipa-getkeytab параметри правил квитків kerberosзапис ключа %(key)s вже існуєключ з назвою %(key)s вже існуєkrb5_kt_close %1$d: %2$s krb5_kt_get_entry %1$d: %2$s krb5_kt_remove_entry %1$d: %2$s krb5_parse_name %1$d: %2$s krb5_unparse_name %1$d: %2$s kvno %d цим запитом перевищено обмеженнялокальний діапазон доменівназва облікового запису електронної пошти може складатися лише з літер, цифр, символів «-», «_» і крапок. Не можна використовувати у назві послідовності з символів «-», «_» та «.». Його частини не повинні починатися або закінчуватися на «-» або «_».керування %(manager)s не знайденозапис карти %(map)s вже існуєкарти, не з’єднані з /etc/auto.master:%s учасникане вказано домену адресине вистачає base_idне вказано поштового облікового записуне вистачає запису службизміну основного ключа забороненоточка монтування вказується відносно батьківської картки, її запис не може починатися з «/»має дорівнювати TRUE або FALSEмає дорівнювати True або Falseмає бути текстом у Unicodeмає бути десятковим числоммає бути цілим числоммає бути розміром, не менше за %(minlength)d байтівмає бути не меншим за %(minlength)d символів довжиноюмає бути числом, не меншим за %(minvalue)dмає бути принаймні %(minvalue)sмає бути бінарними данимимає бути розміром точно у %(length)d байтівмає бути точно %(length)d символів у довжинумає відповідати шаблону «%(pattern)s»мережева групаМережеву групу з назвою «%s» вже створено. Групи вузлів і мережеві групи мають спільний простір назв.мережеві групине виявлено ні команди, ні запису довідки %(topic)rнемає запису вузла для альтернативної назви призначення, %s, у запиті щодо сертифікаціїзмін не внесенозаборонено змінювати записи групзаборонено змінювати записи користувачіввиконувати цю команду забороненовказано не повністючисловий клас «%(cls)s» не включено до списку дозволених числових класів: %(allowed)sкількість паролівклас об’єктів %s не знайденопередбачено підтримку лише «ad»можна використовувати лише літери, цифри, %(underscore)s і символ «-». Символ «-» не повинен бути першим або останнім символом мітки DNS.дію не визначеноне можна використовувати параметрипорядковий номер повинен мати унікальне значення (%(order)d вже використано для %(rule)s)не вистачає пам'яті перекриття аргументів і параметрів: %(names)rparams має бути списком (list)params має містити записи [аргументи, параметри]params[0] (або аргументи) має бути списком (list)params[1] (або параметри) має належати до типу словника (dict)парольправила щодо паролівправила для паролівпароль, який слід використати, якщо не використовується kerberosправа доступуправа доступуpkinitреєстраційного запису не знайдено реєстраційного запису не знайдено у XML-RPC відповіді для загальних правил не може встановлювати пріоритетипріоритет повинен мати унікальне значення (%(prio)d вже використано для %(gname)s)уповноваженняпривілейована групауповноваженняpysss_murmur на сервері не доступний, отже base-id не надано.діапазон вже існуєне можна виконувати зміни діапазону, у результаті яких виникають об’єкти з ідентифікаторами поза визначеним діапазономпомилка читання область не знайдено вилученопомилка запиту зі станом HTTP %dу відповіді XML-RPC не знайдено результату отримати і вивести всі атрибути з сервера. Стосується лише виводу команд.рольролішукати керовані групишукати закриті груписписок результатів пошуку об’єктів міграції було обрізано сервером; ймовірно, процес міграції не завершено searchtimelimit повинен мати значення -1 або > 1.секундправа доступу автослужбиправа доступу до автослужбислужбане можна встановлювати для категорії служб значення «all», доки є дозволені службислужбине можна додавати записи служб, якщо категорія служб=«all»пропустити зворотне визначення DNSне можна додавати записи вузлів-джерел, якщо категорія вузлів-джерел (sourcehost) =«all»не можна встановлювати для категорії вузлів походження значення «all», доки є записи дозволених вузлів походженнякоманда sudoгрупа команд sudoгрупи команд sudoкоманди sudoправило sudoправила sudoзапис було вилучено під час внесення змінзначення не відповідає формату «РРРРММДДГГХХСС»цей параметр вважається застарілим.занадто багато символів «@»мітка домену верхнього рівня має складатися лише з літер латинкидовіратип довіризаписи довіритип об’єкта IPA (user (користувач), group (група), host (вузол), hostgroup (група вузлів), service (служба), netgroup (мережева група))type, filter, subtree і targetgroup є взаємовиключнимине вдалося декодувати csr: %sне вдалося визначити областьскасуватискасувати всі діїневідома команда %(name)r%(server)s повідомляє про невідому помилку %(code)d: %(error)sнепідтримуваний функціональний рівенькористувачне можна встановлювати для категорії користувачів значення «all», доки є записи дозволених користувачівне можна встановлювати для категорії запуску від імені користувачів значення «all», доки є записи для окремих користувачівкористувачіне можна додавати записи користувачів, якщо категорія запуску від імені користувачів або запуску від імені груп=«all»не можна додавати записи користувачів, якщо категорія користувачів=«all»значення не було розпізнано як коректні SID з довіреного домену