freeipa/ipa-4-10 — Russian @ Fedora Weblate: Set a user's password If someone other than a user …

	English	Russian	Actions
	must be at least 0	должно быть не меньше 0
	invalid valid hex	некорректное шестнадцатеричное значение
	invalid serial number 0	некорректный серийный номер 0
	Groups of users Manage groups of users, groups, or services. By default, new groups are POSIX groups. You can add the --nonposix option to the group-add command to mark a new group as non-POSIX. You can use the --posix argument with the group-mod command to convert a non-POSIX group into a POSIX group. POSIX groups cannot be converted to non-POSIX groups. Every group must have a description. POSIX groups must have a Group ID (GID) number. Changing a GID is supported but can have an impact on your file permissions. It is not necessary to supply a GID when creating a group. IPA will generate one automatically if it is not provided. Groups members can be users, other groups, and Kerberos services. In POSIX environments only users will be visible as group members, but nested groups and groups of services can be used for IPA management purposes. EXAMPLES: Add a new group: ipa group-add --desc='local administrators' localadmins Add a new non-POSIX group: ipa group-add --nonposix --desc='remote administrators' remoteadmins Convert a non-POSIX group to posix: ipa group-mod --posix remoteadmins Add a new POSIX group with a specific Group ID number: ipa group-add --gid=500 --desc='unix admins' unixadmins Add a new POSIX group and let IPA assign a Group ID number: ipa group-add --desc='printer admins' printeradmins Remove a group: ipa group-del unixadmins To add the "remoteadmins" group to the "localadmins" group: ipa group-add-member --groups=remoteadmins localadmins Add multiple users to the "localadmins" group: ipa group-add-member --users=test1 --users=test2 localadmins To add Kerberos services to the "printer admins" group: ipa group-add-member --services=CUPS/some.host printeradmins Remove a user from the "localadmins" group: ipa group-remove-member --users=test2 localadmins Display information about a named group. ipa group-show localadmins Group membership managers are users or groups that can add members to a group or remove members from a group. Allow user "test2" to add or remove members from group "localadmins": ipa group-add-member-manager --users=test2 localadmins Revoke membership management rights for user "test2" from "localadmins": ipa group-remove-member-manager --users=test2 localadmins External group membership is designed to allow users from trusted domains to be mapped to local POSIX groups in order to actually use IPA resources. External members should be added to groups that specifically created as external and non-POSIX. Such group later should be included into one of POSIX groups. An external group member is currently a Security Identifier (SID) as defined by the trusted domain. When adding external group members, it is possible to specify them in either SID, or DOM\name, or name@domain format. IPA will attempt to resolve passed name to SID with the use of Global Catalog of the trusted domain. Example: 1. Create group for the trusted domain admins' mapping and their local POSIX group: ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external ipa group-add --desc='<ad.domain> admins' ad_admins 2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external group: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group: ipa group-add-member ad_admins --groups ad_admins_external 4. List members of external members of ad_admins_external group to see their SIDs: ipa group-show ad_admins_external	Группы пользователей Управление группами пользователей, групп или служб. По умолчанию все новые группы являются POSIX-группами. Можно добавить параметр --nonposix в команду group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы. У каждой группы должно быть описание. У POSIX-групп должен быть идентификатор группы (GID). Изменение GID поддерживается, но может повлиять на разрешения для файлов. При создании группы необязательно предоставлять GID. Если он не будет предоставлен, IPA создаст его автоматически. Участниками групп могут быть пользователи, другие группы и службы Kerberos. В средах POSIX в качестве участников группы будут показаны только пользователи, но для задач управления в рамках IPA можно использовать вложенные группы и группы служб. ПРИМЕРЫ: Добавить новую группу: ipa group-add --desc='local administrators' localadmins Добавить новую не-POSIX-группу: ipa group-add --nonposix --desc='remote administrators' remoteadmins Преобразовать не-POSIX-группу в POSIX-группу: ipa group-mod --posix remoteadmins Добавить новую POSIX-группу с определённым ID группы: ipa group-add --gid=500 --desc='unix admins' unixadmins Добавить новую POSIX-группу и позволить IPA назначить ID группы: ipa group-add --desc='printer admins' printeradmins Удалить группу: ipa group-del unixadmins Добавить группу "remoteadmins" в группу "localadmins": ipa group-add-member --groups=remoteadmins localadmins Добавить нескольких пользователей в группу "localadmins": ipa group-add-member --users=test1 --users=test2 localadmins Добавить службы Kerberos в группу "printer admins": ipa group-add-member --services=CUPS/some.host printeradmins Удалить пользователя из группы "localadmins": ipa group-remove-member --users=test2 localadmins Показать сведения об именованной группе: ipa group-show localadmins Управляющие участием в группах — это пользователи или группы, которые могут добавлять участников в группу или удалять участников из группы group. Разрешить пользователю "test2" добавлять участников в группу "localadmins" и удалять их из неё: ipa group-add-member-manager --users=test2 localadmins Отозвать права управления участием у пользователя "test2" из "localadmins": ipa group-remove-member-manager --users=test2 localadmins Участие внешних групп создано для того, чтобы сделать возможной привязку пользователей из доверенных доменов к локальным POSIX-группам с целью использования ресурсов IPA. Внешние участники должны быть добавлены в группы, которые специально созданы, как внешние и не-POSIX. Такая группа затем должна быть включена в одну из POSIX-групп. В текущей версии участник внешней группы является идентификатором безопасности (Security Identifier или SID), определённым доверенным доменом. Добавление участников внешней группы можно выполнить в формате SID, DOM\имя или имя@домен. IPA попытается определить SID по переданному имени путём использования общего каталога доверенного домена. Пример: 1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу: ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external ipa group-add --desc='<ad.domain> admins' ad_admins 2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external: ipa group-add-member ad_admins_external --external 'AD\Domain Admins' 3. Разрешить привязку участников группы ad_admins_external к POSIX-группе ad_admins: ipa group-add-member ad_admins --groups ad_admins_external 4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID: ipa group-show ad_admins_external
	attribute "gidNumber" not allowed with --nonposix	атрибут "gidNumber" нельзя использовать с --nonposix
	Add users that can manage members of this group.	Добавить пользователей, которые могут управлять участниками этой группы.
	Remove users that can manage members of this group.	Удалить пользователей, которые могут управлять участниками этой группы.
	Groups of hosts. Manage groups of hosts. This is useful for applying access control to a number of hosts by using Host-based Access Control. EXAMPLES: Add a new host group: ipa hostgroup-add --desc="Baltimore hosts" baltimore Add another new host group: ipa hostgroup-add --desc="Maryland hosts" maryland Add members to the hostgroup (using Bash brace expansion): ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore Add a hostgroup as a member of another hostgroup: ipa hostgroup-add-member --hostgroups=baltimore maryland Remove a host from the hostgroup: ipa hostgroup-remove-member --hosts=box2 baltimore Display a host group: ipa hostgroup-show baltimore Add a member manager: ipa hostgroup-add-member-manager --users=user1 baltimore Remove a member manager ipa hostgroup-remove-member-manager --users=user1 baltimore Delete a hostgroup: ipa hostgroup-del baltimore	Группы узлов. Управление группами узлов. Позволяет применять управление доступом к ряду узлов с помощью управления доступом на основе узла (HBAC). ПРИМЕРЫ: Добавить новую группу узлов: ipa hostgroup-add --desc="Baltimore hosts" baltimore Добавить другую новую группу узлов: ipa hostgroup-add --desc="Maryland hosts" maryland Добавить участников в группу узлов (с использованием выражения Bash в фигурных скобках): ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore Добавить группу узлов как участника другой группы узлов: ipa hostgroup-add-member --hostgroups=baltimore maryland Удалить узел из группы узлов: ipa hostgroup-remove-member --hosts=box2 baltimore Показать группу узлов: ipa hostgroup-show baltimore Добавить управляющего участниками: ipa hostgroup-add-member-manager --users=user1 baltimore Удалить управляющего участниками: ipa hostgroup-remove-member-manager --users=user1 baltimore Удалить группу узлов: ipa hostgroup-del baltimore
	Add users that can manage members of this hostgroup.	Добавить пользователей, которые могут управлять участниками этой группы узлов.
	Remove users that can manage members of this hostgroup.	Удалить пользователей, которые могут управлять участниками этой группы узлов.
	ID ranges Manage ID ranges used to map Posix IDs to SIDs and back. There are two type of ID ranges which are both handled by this utility: - the ID ranges of the local domain - the ID ranges of trusted remote domains Both types have the following attributes in common: - base-id: the first ID of the Posix ID range - range-size: the size of the range With those two attributes a range object can reserve the Posix IDs starting with base-id up to but not including base-id+range-size exclusively. Additionally an ID range of the local domain may set - rid-base: the first RID() of the corresponding RID range - secondary-rid-base: first RID of the secondary RID range and an ID range of a trusted domain must set - rid-base: the first RID of the corresponding RID range - sid: domain SID of the trusted domain and an ID range of a trusted domain may set - auto-private-groups: [true\|false\|hybrid] automatic creation of private groups EXAMPLE: Add a new ID range for a trusted domain Since there might be more than one trusted domain the domain SID must be given while creating the ID range. ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 \ --dom-sid=S-1-5-21-123-456-789 trusted_dom_range This ID range is then used by the IPA server and the SSSD IPA provider to assign Posix UIDs to users from the trusted domain. If e.g. a range for a trusted domain is configured with the following values: base-id = 1200000 range-size = 200000 rid-base = 0 the RIDs 0 to 199999 are mapped to the Posix ID from 1200000 to 13999999. So RID 1000 <-> Posix ID 1201000 EXAMPLE: Add a new ID range for the local domain To create an ID range for the local domain it is not necessary to specify a domain SID. But since it is possible that a user and a group can have the same value as Posix ID a second RID interval is needed to handle conflicts. ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=1000 \ --secondary-rid-base=1000000 local_range The data from the ID ranges of the local domain are used by the IPA server internally to assign SIDs to IPA users and groups. The SID will then be stored in the user or group objects. If e.g. the ID range for the local domain is configured with the values from the example above then a new user with the UID 1200007 will get the RID 1007. If this RID is already used by a group the RID will be 1000007. This can only happen if a user or a group object was created with a fixed ID because the automatic assignment will not assign the same ID twice. Since there are only users and groups sharing the same ID namespace it is sufficient to have only one fallback range to handle conflicts. To find the Posix ID for a given RID from the local domain it has to be checked first if the RID falls in the primary or secondary RID range and the rid-base or the secondary-rid-base has to be subtracted, respectively, and the base-id has to be added to get the Posix ID. Typically the creation of ID ranges happens behind the scenes and this CLI must not be used at all. The ID range for the local domain will be created during installation or upgrade from an older version. The ID range for a trusted domain will be created together with the trust by 'ipa trust-add ...'. USE CASES: Add an ID range from a transitively trusted domain If the trusted domain (A) trusts another domain (B) as well and this trust is transitive 'ipa trust-add domain-A' will only create a range for domain A. The ID range for domain B must be added manually. Add an additional ID range for the local domain If the ID range of the local domain is exhausted, i.e. no new IDs can be assigned to Posix users or groups by the DNA plugin, a new range has to be created to allow new users and groups to be added. (Currently there is no connection between this range CLI and the DNA plugin, but a future version might be able to modify the configuration of the DNS plugin as well) In general it is not necessary to modify or delete ID ranges. If there is no other way to achieve a certain configuration than to modify or delete an ID range it should be done with great care. Because UIDs are stored in the file system and are used for access control it might be possible that users are allowed to access files of other users if an ID range got deleted and reused for a different domain. () The RID is typically the last integer of a user or group SID which follows the domain SID. E.g. if the domain SID is S-1-5-21-123-456-789 and a user from this domain has the SID S-1-5-21-123-456-789-1010 then 1010 is the RID of the user. RIDs are unique in a domain, 32bit values and are used for users and groups.	Диапазоны идентификаторов Управление диапазонами идентификаторов, которые используются для сопоставления POSIX-идентификаторов с идентификаторами безопасности (SID) и наоборот. С помощью этой программы можно управлять обоими типами диапазонов идентификаторов: - диапазоны идентификаторов локального домена - диапазоны идентификаторов доверенных удалённых доменов Следующие атрибуты являются общими для обоих типов: - base-id: первый идентификатор из диапазона POSIX-идентификаторов - range-size: размер диапазона С этими двумя атрибутами объект диапазона может зарезервировать POSIX-идентификаторы, начиная с base-id и до (но не включительно) base-id+range-size. Кроме того, можно установить диапазон идентификаторов локального домена - rid-base: первый RID() соответствующего диапазона RID - secondary-rid-base: первый RID вторичного диапазона RID а диапазон идентификаторов доверенного домена следует задавать с помощью - rid-base: первый RID соответствующего диапазона RID - sid: SID доверенного домена также можно установить для диапазона идентификаторов доверенного домена - auto-private-groups: [true\|false\|hybrid] автоматическое создание закрытых групп ПРИМЕР: добавление нового диапазона идентификаторов для доверенного домена Так как доверенных доменов может быть несколько, необходимо указать SID домена при создании диапазона идентификаторов. ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 \ --dom-sid=S-1-5-21-123-456-789 trusted_dom_range Этот диапазон идентификаторов затем будет использоваться IPA-сервером и поставщиком данных IPA SSSD для назначения UID POSIX пользователям из доверенного домена. Если, например, для доверенного домена настроен диапазон со следующими значениями: base-id = 1200000 range-size = 200000 rid-base = 0 RID от 0 до 199999 привязываются к POSIX-идентификаторам от 1200000 до 13999999. Следовательно, RID 1000 <-> Posix ID 1201000 ПРИМЕР: добавление нового диапазона идентификаторов для локального домена При создании диапазона идентификаторов для локального домена нет необходимости указывать SID домена. Но, так как существует вероятность того, что в качестве POSIX-идентификатора для пользователя и группы используется одно и то же значение, для обработки конфликтов необходим вторичный интервал RID. ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=1000 \ --secondary-rid-base=1000000 local_range Данные из диапазонов идентификаторов локального домена используются IPA-сервером на внутреннем уровне для назначения SID пользователям и группам IPA. Затем SID сохраняется в объектах пользователя или группы. Если, например, диапазон идентификаторов для локального домена настроен со значениями из примера выше, то новый пользователь с UID 1200007 получит RID 1007. Если этот RID уже используется группой, он будет заменён на 1000007. Это может произойти только в том случае, если объект пользователя или группы был создан с фиксированным идентификатором, потому что при автоматическом назначении один и тот же идентификатор не назначается дважды. Так как одно и то же пространство имён идентификаторов делят только пользователи и группы, для обработки конфликтов достаточно одного резервного диапазона. Для определения POSIX-идентификатора по указанному RID из локального домена следует сначала проверить, попадает ли RID в основной или вторичный диапазон RID, а потом вычесть, соответственно, rid-base или secondary-rid-base, затем добавить base-id. Обычно создание диапазонов идентификаторов является внешне незаметным и не требует использования интерфейса командной строки. Диапазон идентификаторов для локального домена будет создан во время установки или обновления предыдущей версии. Диапазон идентификаторов для доверенного домена будет создан при создании отношения доверия с помощью команды "ipa trust-add ...". СЛУЧАИ ИСПОЛЬЗОВАНИЯ: Добавление диапазона идентификаторов из домена, с которым установлено транзитивное отношение доверия Если у доверенного домена (A) также установлено отношение доверия с другим доменом (B) и оно является транзитивным, то команда "ipa trust-add domain-A" создаст диапазон только для домена A. Диапазон идентификаторов для домена B следует добавить вручную. Добавление дополнительного диапазона идентификаторов для локального домена Если диапазон идентификаторов локального домена исчерпан, то есть с помощью подключаемого модуля DNA невозможно назначить новые идентификаторы POSIX-пользователям или POSIX-группам, необходимо новый диапазон для добавления новых пользователей и групп. (В текущей версии данный интерфейс командной строки и подключаемый модуль DNA не связаны непосредственно, но в будущей версии может появиться возможность внесения изменений также и в конфигурацию подключаемого модуля DNA.) В целом, в изменении или удалении диапазонов идентификаторов нет необходимости. Если для выполнения определённой настройки приходится изменить или удалить диапазон идентификаторов, это следует делать крайне осторожно. Поскольку UID хранятся в файловой системе и используются для управления доступом, возможна ситуация, когда одни пользователи получат доступ к файлам других пользователей вследствие удаления диапазона идентификаторов и повторного его использования в другом домене. () RID обычно является последним целым числом SID пользователя или группы, который указывается после SID домена. Например, если SID домена S-1-5-21-123-456-789, а пользователь из этого домена имеет SID S-1-5-21-123-456-789-1010, RID пользователя будет 1010. RID являются уникальными в пределах домена, имеют 32-битные значения и используются для пользователей и групп.
	Auto private groups	Автоматические личные группы
	Auto creation of private groups, one of allowed values	Автоматическое создание личных групп, одно из разрешённых значений
	Add new ID range. To add a new ID range you always have to specify --base-id --range-size Additionally --rid-base --secondary-rid-base may be given for a new ID range for the local domain while --auto-private-groups may be given for a new ID range for a trusted AD domain and --rid-base --dom-sid must be given to add a new range for a trusted AD domain.	Добавление нового диапазона идентификаторов. Для добавления нового диапазона идентификаторов всегда необходимо указывать --base-id --range-size Кроме того, --rid-base --secondary-rid-base могут указываться для нового диапазона идентификаторов для локального домена, в то время как --auto-private-groups может указываться для нового диапазона идентификаторов для доверенного домена AD, а --rid-base --dom-sid должны быть указаны для добавления нового диапазона для доверенного домена AD.
	IPA Range type must be one of ipa-ad-trust or ipa-ad-trust-posix when auto-private-groups is specified	Если указан параметр auto-private-groups, тип диапазона IPA должен иметь значение ipa-ad-trust или ipa-ad-trust-posix
	Set a user's password If someone other than a user changes that user's password (e.g., Helpdesk resets it) then the password will need to be changed the first time it is used. This is so the end-user is the only one who knows the password. The IPA password policy controls how often a password may be changed, what strength requirements exist, and the length of the password history. If the user authentication method is set to password+OTP, the user should pass the --otp option when resetting the password. EXAMPLES: To reset your own password: ipa passwd To reset your own password when password+OTP is set as authentication method: ipa passwd --otp To change another user's password: ipa passwd tuser1	Установка пароля пользователя Если пароль пользователя изменяет кто-то кроме самого пользователя (например, его сбрасывает служба технической поддержки), пароль потребуется изменить при первом использовании. Это делается для того, чтобы пароль знал только конечный пользователь. Политика паролей IPA управляет частотой смены пароля, требованиями к надёжности пароля и размером журнала паролей. Если в качестве метода аутентификации пользователя задано использование пароля+OTP, пользователь должен передать параметр --otp при сбросе пароля. ПРИМЕРЫ: Чтобы сбросить свой собственный пароль: ipa passwd Чтобы сбросить свой собственный пароль, когда в качестве метода аутентификации задано использование пароля+OTP: ipa passwd --otp Чтобы изменить пароль другого пользователя: ipa passwd tuser1
	The OTP if the user has a token configured	OTP, если у пользователя есть настроенный токен
	Service Constrained Delegation Manage rules to allow constrained delegation of credentials so that a service can impersonate a user when communicating with another service without requiring the user to actually forward their TGT. This makes for a much better method of delegating credentials as it prevents exposure of the short term secret of the user. The naming convention is to append the word "target" or "targets" to a matching rule name. This is not mandatory but helps conceptually to associate rules and targets. A rule consists of two things: - A list of targets the rule applies to - A list of memberPrincipals that are allowed to delegate for those targets A target consists of a list of principals that can be delegated. In English, a rule says that this principal can delegate as this list of principals, as defined by these targets. In both a rule and a target Kerberos principals may be specified by their name or an alias and the realm can be omitted. Additionally, hosts can be specified by their names. If Kerberos principal specified has a single component and does not end with '$' sign, it will be treated as a host name. Kerberos principal names ending with '$' are typically used as aliases for Active Directory-related services. EXAMPLES: Add a new constrained delegation rule: ipa servicedelegationrule-add ftp-delegation Add a new constrained delegation target: ipa servicedelegationtarget-add ftp-delegation-target Add a principal to the rule: ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com ftp-delegation Add a host principal of the host 'ipa.example.com' to the rule: ipa servicedelegationrule-add-member --principals=ipa.example.com ftp-delegation Add our target to the rule: ipa servicedelegationrule-add-target --servicedelegationtargets=ftp-delegation-target ftp-delegation Add a principal to the target: ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com ftp-delegation-target Display information about a named delegation rule and target: ipa servicedelegationrule_show ftp-delegation ipa servicedelegationtarget_show ftp-delegation-target Remove a constrained delegation: ipa servicedelegationrule-del ftp-delegation-target ipa servicedelegationtarget-del ftp-delegation In this example the ftp service can get a TGT for the ldap service on the bound user's behalf. It is strongly discouraged to modify the delegations that ship with IPA, ipa-http-delegation and its targets ipa-cifs-delegation-targets and ipa-ldap-delegation-targets. Incorrect changes can remove the ability to delegate, causing the framework to stop functioning.	Ограниченное делегирование служб Управление правилами, с помощью которых можно ограничить делегирование учётных данных таким образом, что служба сможет выполнять олицетворение пользователя при обмене данными с другой службой без необходимости для пользователя самом деле перенаправлять билет для получения билета (TGT). Такой метод делегирования учётных данных значительно лучше, так как предотвращает раскрытие краткосрочного секрета пользователя. В соответствии с соглашением об именовании к имени соответствующего правила добавляется слово "target" или "targets". Такая схема имён не является обязательной, но она помогает концептуально связать правила и их назначения. Правило состоит из двух компонентов: - Список целей (назначений), к которым применяется правило - Список memberPrincipals, которым разрешено делегирование для этих целей Цель состоит из списка учётных записей, которые можно делегировать. Если проще, правило утверждает, что определённую учётную запись можно делегировать как указанный список учётных записей, согласно заданному списку целей. Как в правиле, так и в цели учётные записи Kerberos можно указать по их имени или псевдониму, опустив область (realm). Кроме того, по именам можно указывать узлы. Если указанная учётная запись Kerberos состоит из одного компонента и не заканчивается знаком "$", она будет считаться именем узла. Имена учётных записей Kerberos, которые заканчиваются на "$", обычно используются в качестве псевдонимов служб, связанных с Active Directory. ПРИМЕРЫ: Добавить новое правило ограниченного делегирования: ipa servicedelegationrule-add ftp-delegation Добавить новую цель ограниченного делегирования: ipa servicedelegationtarget-add ftp-delegation-target Добавить учётную запись в правило: ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com ftp-delegation Добавить учётную запись узла "ipa.example.com" в правило: ipa servicedelegationrule-add-member --principals=ipa.example.com ftp-delegation Добавить цель в правило: ipa servicedelegationrule-add-target --servicedelegationtargets=ftp-delegation-target ftp-delegation Добавить учётную запись в цель: ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com ftp-delegation-target Показать сведения об именованном правиле делегирования и цели: ipa servicedelegationrule_show ftp-delegation ipa servicedelegationtarget_show ftp-delegation-target Удалить ограниченное делегирование: ipa servicedelegationrule-del ftp-delegation-target ipa servicedelegationtarget-del ftp-delegation В этом примере служба ftp может получать билет для получения билета для службы ldap от имени связанного пользователя. Настоятельно не рекомендуется изменять делегирования, которые поставляются с IPA, ipa-http-delegation и его цели ipa-cifs-delegation-targets и Ipa-ldap-delegation-targets. Неправильная настройка может привести к потере возможности делегирования, что повлечет неработоспособность всей системы.
	Malformed principal: %(error)s	Недопустимая учётная запись: %(error)s
	Subordinate ids Manage subordinate user and group ids for users EXAMPLES: Auto-assign a subordinate id range to current user ipa subid-generate Auto-assign a subordinate id range to user alice: ipa subid-generate --owner=alice Find subordinate ids for user alice: ipa subid-find --owner=alice Match entry by any subordinate uid in range: ipa subid-match --subuid=2147483649	Подчинённые идентификаторы Управление подчинёнными идентификаторами пользователя и группы для пользователей ПРИМЕРЫ: Автоматически назначить диапазон подчинённых идентификаторов для текущего пользователя ipa subid-generate Автоматически назначить диапазон подчинённых идентификаторов для пользователя alice: ipa subid-generate --owner=alice Найти подчинённые идентификаторы для пользователя alice: ipa subid-find --owner=alice Установить соответствие записи по любому подчинённому uid в диапазоне: ipa subid-match --subuid=2147483649
	Subordinate id	Подчинённый идентификатор
	Subordinate ids	Подчинённые идентификаторы
	Subordinate id description	Описание подчинённого идентификатора
	Owning user of subordinate id entry	Пользователь-владелец записи подчинённого идентификатора
	SubUID range start	Начало диапазона SubUID
	Start value for subordinate user ID (subuid) range	Начальное значение диапазона подчинённых идентификаторов пользователя (subuid)
	SubUID range size	Размер диапазона SubUID
	Subordinate user ID count	Количество подчинённых идентификаторов пользователя
	SubGID range start	Начало диапазона SubGID
	Start value for subordinate group ID (subgid) range	Начальное значение диапазона подчинённых идентификаторов группы (subgid)
	SubGID range size	Размер диапазона SubGID

English

Russian

Actions

Groups of users

Manage groups of users, groups, or services. By default, new groups are POSIX
groups. You can add the --nonposix option to the group-add command to mark a
new group as non-POSIX. You can use the --posix argument with the group-mod
command to convert a non-POSIX group into a POSIX group. POSIX groups cannot be
converted to non-POSIX groups.

Every group must have a description.

POSIX groups must have a Group ID (GID) number. Changing a GID is
supported but can have an impact on your file permissions. It is not necessary
to supply a GID when creating a group. IPA will generate one automatically
if it is not provided.

Groups members can be users, other groups, and Kerberos services. In POSIX
environments only users will be visible as group members, but nested groups and
groups of services can be used for IPA management purposes.

EXAMPLES:

Add a new group:
ipa group-add --desc='local administrators' localadmins

Add a new non-POSIX group:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Convert a non-POSIX group to posix:
ipa group-mod --posix remoteadmins

Add a new POSIX group with a specific Group ID number:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Add a new POSIX group and let IPA assign a Group ID number:
ipa group-add --desc='printer admins' printeradmins

Remove a group:
ipa group-del unixadmins

To add the "remoteadmins" group to the "localadmins" group:
ipa group-add-member --groups=remoteadmins localadmins

Add multiple users to the "localadmins" group:
ipa group-add-member --users=test1 --users=test2 localadmins

To add Kerberos services to the "printer admins" group:
ipa group-add-member --services=CUPS/some.host printeradmins

Remove a user from the "localadmins" group:
ipa group-remove-member --users=test2 localadmins

Display information about a named group.
ipa group-show localadmins

Group membership managers are users or groups that can add members to a
group or remove members from a group.

Allow user "test2" to add or remove members from group "localadmins":
ipa group-add-member-manager --users=test2 localadmins

Revoke membership management rights for user "test2" from "localadmins":
ipa group-remove-member-manager --users=test2 localadmins

External group membership is designed to allow users from trusted domains
to be mapped to local POSIX groups in order to actually use IPA resources.
External members should be added to groups that specifically created as
external and non-POSIX. Such group later should be included into one of POSIX
groups.

An external group member is currently a Security Identifier (SID) as defined by
the trusted domain. When adding external group members, it is possible to
specify them in either SID, or DOM\name, or name@domain format. IPA will attempt
to resolve passed name to SID with the use of Global Catalog of the trusted domain.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX group:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the ad_admins_external
group:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with ad_admins POSIX group:

ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see their SIDs:

ipa group-show ad_admins_external

Группы пользователей

Управление группами пользователей, групп или служб. По умолчанию все новые
группы являются POSIX-группами. Можно добавить параметр --nonposix в команду
group-add, чтобы отметить новую группу в качестве не-POSIX-группы. В команде
group-mod можно использовать аргумент --posix, чтобы преобразовать не-POSIX-группу
в POSIX-группу. POSIX-группы нельзя преобразовать в не-POSIX-группы.

У каждой группы должно быть описание.

У POSIX-групп должен быть идентификатор группы (GID). Изменение GID
поддерживается, но может повлиять на разрешения для файлов. При создании
группы необязательно предоставлять GID. Если он не будет предоставлен, IPA
создаст его автоматически.

Участниками групп могут быть пользователи, другие группы и службы Kerberos.
В средах POSIX в качестве участников группы будут показаны только пользователи,
но для задач управления в рамках IPA можно использовать вложенные группы и группы служб.

ПРИМЕРЫ:

Добавить новую группу:
ipa group-add --desc='local administrators' localadmins

Добавить новую не-POSIX-группу:
ipa group-add --nonposix --desc='remote administrators' remoteadmins

Преобразовать не-POSIX-группу в POSIX-группу:
ipa group-mod --posix remoteadmins

Добавить новую POSIX-группу с определённым ID группы:
ipa group-add --gid=500 --desc='unix admins' unixadmins

Добавить новую POSIX-группу и позволить IPA назначить ID группы:
ipa group-add --desc='printer admins' printeradmins

Удалить группу:
ipa group-del unixadmins

Добавить группу "remoteadmins" в группу "localadmins":
ipa group-add-member --groups=remoteadmins localadmins

Добавить нескольких пользователей в группу "localadmins":
ipa group-add-member --users=test1 --users=test2 localadmins

Добавить службы Kerberos в группу "printer admins":
ipa group-add-member --services=CUPS/some.host printeradmins

Удалить пользователя из группы "localadmins":
ipa group-remove-member --users=test2 localadmins

Показать сведения об именованной группе:
ipa group-show localadmins

Управляющие участием в группах — это пользователи или группы, которые могут
добавлять участников в группу или удалять участников из группы group.

Разрешить пользователю "test2" добавлять участников в группу "localadmins" и
удалять их из неё:
ipa group-add-member-manager --users=test2 localadmins

Отозвать права управления участием у пользователя "test2" из "localadmins":
ipa group-remove-member-manager --users=test2 localadmins

Участие внешних групп создано для того, чтобы сделать возможной привязку
пользователей из доверенных доменов к локальным POSIX-группам с целью
использования ресурсов IPA. Внешние участники должны быть добавлены в
группы, которые специально созданы, как внешние и не-POSIX. Такая группа
затем должна быть включена в одну из POSIX-групп.

В текущей версии участник внешней группы является идентификатором
безопасности (Security Identifier или SID), определённым доверенным доменом.
Добавление участников внешней группы можно выполнить в формате SID, DOM\имя
или имя@домен. IPA попытается определить SID по переданному имени путём
использования общего каталога доверенного домена.

Пример:

1. Создать группу для привязки администраторов (admins) доверенного домена и их локальную POSIX-группу:

ipa group-add --desc='<ad.domain> admins external map' ad_admins_external --external
ipa group-add --desc='<ad.domain> admins' ad_admins

2. Добавить идентификатор безопасности Domain Admins домена <ad.domain> группе ad_admins_external:

ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Разрешить привязку участников группы ad_admins_external к POSIX-группе ad_admins:

ipa group-add-member ad_admins --groups ad_admins_external

4. Вывести список внешних участников группы ad_admins_external, чтобы определить их SID:

ipa group-show ad_admins_external

Groups of hosts.

Manage groups of hosts. This is useful for applying access control to a
number of hosts by using Host-based Access Control.

EXAMPLES:

Add a new host group:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Add another new host group:
ipa hostgroup-add --desc="Maryland hosts" maryland

Add members to the hostgroup (using Bash brace expansion):
ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

Add a hostgroup as a member of another hostgroup:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Remove a host from the hostgroup:
ipa hostgroup-remove-member --hosts=box2 baltimore

Display a host group:
ipa hostgroup-show baltimore

Add a member manager:
ipa hostgroup-add-member-manager --users=user1 baltimore

Remove a member manager
ipa hostgroup-remove-member-manager --users=user1 baltimore

Delete a hostgroup:
ipa hostgroup-del baltimore

Группы узлов.

Управление группами узлов. Позволяет применять управление
доступом к ряду узлов с помощью управления доступом на
основе узла (HBAC).

ПРИМЕРЫ:

Добавить новую группу узлов:
ipa hostgroup-add --desc="Baltimore hosts" baltimore

Добавить другую новую группу узлов:
ipa hostgroup-add --desc="Maryland hosts" maryland

Добавить участников в группу узлов (с использованием выражения Bash в фигурных скобках):
ipa hostgroup-add-member --hosts={box1,box2,box3} baltimore

Добавить группу узлов как участника другой группы узлов:
ipa hostgroup-add-member --hostgroups=baltimore maryland

Удалить узел из группы узлов:
ipa hostgroup-remove-member --hosts=box2 baltimore

Показать группу узлов:
ipa hostgroup-show baltimore

Добавить управляющего участниками:
ipa hostgroup-add-member-manager --users=user1 baltimore

Удалить управляющего участниками:
ipa hostgroup-remove-member-manager --users=user1 baltimore

Удалить группу узлов:
ipa hostgroup-del baltimore

ID ranges

Manage ID ranges used to map Posix IDs to SIDs and back.

There are two type of ID ranges which are both handled by this utility:

- the ID ranges of the local domain
- the ID ranges of trusted remote domains

Both types have the following attributes in common:

- base-id: the first ID of the Posix ID range
- range-size: the size of the range

With those two attributes a range object can reserve the Posix IDs starting
with base-id up to but not including base-id+range-size exclusively.

Additionally an ID range of the local domain may set
- rid-base: the first RID(*) of the corresponding RID range
- secondary-rid-base: first RID of the secondary RID range

and an ID range of a trusted domain must set
- rid-base: the first RID of the corresponding RID range
- sid: domain SID of the trusted domain

and an ID range of a trusted domain may set
- auto-private-groups: [true|false|hybrid] automatic creation of private groups

EXAMPLE: Add a new ID range for a trusted domain

Since there might be more than one trusted domain the domain SID must be given
while creating the ID range.

ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 \
--dom-sid=S-1-5-21-123-456-789 trusted_dom_range

This ID range is then used by the IPA server and the SSSD IPA provider to
assign Posix UIDs to users from the trusted domain.

If e.g. a range for a trusted domain is configured with the following values:
base-id = 1200000
range-size = 200000
rid-base = 0
the RIDs 0 to 199999 are mapped to the Posix ID from 1200000 to 13999999. So
RID 1000 <-> Posix ID 1201000

EXAMPLE: Add a new ID range for the local domain

To create an ID range for the local domain it is not necessary to specify a
domain SID. But since it is possible that a user and a group can have the same
value as Posix ID a second RID interval is needed to handle conflicts.

ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=1000 \
--secondary-rid-base=1000000 local_range

The data from the ID ranges of the local domain are used by the IPA server
internally to assign SIDs to IPA users and groups. The SID will then be stored
in the user or group objects.

If e.g. the ID range for the local domain is configured with the values from
the example above then a new user with the UID 1200007 will get the RID 1007.
If this RID is already used by a group the RID will be 1000007. This can only
happen if a user or a group object was created with a fixed ID because the
automatic assignment will not assign the same ID twice. Since there are only
users and groups sharing the same ID namespace it is sufficient to have only
one fallback range to handle conflicts.

To find the Posix ID for a given RID from the local domain it has to be
checked first if the RID falls in the primary or secondary RID range and
the rid-base or the secondary-rid-base has to be subtracted, respectively,
and the base-id has to be added to get the Posix ID.

Typically the creation of ID ranges happens behind the scenes and this CLI
must not be used at all. The ID range for the local domain will be created
during installation or upgrade from an older version. The ID range for a
trusted domain will be created together with the trust by 'ipa trust-add ...'.

USE CASES:

Add an ID range from a transitively trusted domain

If the trusted domain (A) trusts another domain (B) as well and this trust
is transitive 'ipa trust-add domain-A' will only create a range for
domain A. The ID range for domain B must be added manually.

Add an additional ID range for the local domain

If the ID range of the local domain is exhausted, i.e. no new IDs can be
assigned to Posix users or groups by the DNA plugin, a new range has to be
created to allow new users and groups to be added. (Currently there is no
connection between this range CLI and the DNA plugin, but a future version
might be able to modify the configuration of the DNS plugin as well)

In general it is not necessary to modify or delete ID ranges. If there is no
other way to achieve a certain configuration than to modify or delete an ID
range it should be done with great care. Because UIDs are stored in the file
system and are used for access control it might be possible that users are
allowed to access files of other users if an ID range got deleted and reused
for a different domain.

(*) The RID is typically the last integer of a user or group SID which follows
the domain SID. E.g. if the domain SID is S-1-5-21-123-456-789 and a user from
this domain has the SID S-1-5-21-123-456-789-1010 then 1010 is the RID of the
user. RIDs are unique in a domain, 32bit values and are used for users and
groups.

Add new ID range.

To add a new ID range you always have to specify

--base-id
--range-size

Additionally

--rid-base
--secondary-rid-base

may be given for a new ID range for the local domain while

--auto-private-groups

may be given for a new ID range for a trusted AD domain and

--rid-base
--dom-sid

must be given to add a new range for a trusted AD domain.

Добавление нового диапазона идентификаторов.

Для добавления нового диапазона идентификаторов всегда необходимо
указывать

--base-id
--range-size

Кроме того,

--rid-base
--secondary-rid-base

могут указываться для нового диапазона идентификаторов для локального
домена, в то время как

--auto-private-groups

может указываться для нового диапазона идентификаторов для доверенного
домена AD, а

--rid-base
--dom-sid

должны быть указаны для добавления нового диапазона для доверенного
домена AD.

Set a user's password

If someone other than a user changes that user's password (e.g., Helpdesk
resets it) then the password will need to be changed the first time it
is used. This is so the end-user is the only one who knows the password.

The IPA password policy controls how often a password may be changed,
what strength requirements exist, and the length of the password history.

If the user authentication method is set to password+OTP, the user should
pass the --otp option when resetting the password.

EXAMPLES:

To reset your own password:
ipa passwd

To reset your own password when password+OTP is set as authentication method:
ipa passwd --otp

To change another user's password:
ipa passwd tuser1

Установка пароля пользователя

Если пароль пользователя изменяет кто-то кроме самого пользователя
(например, его сбрасывает служба технической поддержки), пароль потребуется
изменить при первом использовании. Это делается для того, чтобы пароль знал
только конечный пользователь.

Политика паролей IPA управляет частотой смены пароля, требованиями к
надёжности пароля и размером журнала паролей.

Если в качестве метода аутентификации пользователя задано использование
пароля+OTP, пользователь должен передать параметр --otp при сбросе пароля.

ПРИМЕРЫ:

Чтобы сбросить свой собственный пароль:
ipa passwd

Чтобы сбросить свой собственный пароль, когда в качестве метода аутентификации
задано использование пароля+OTP:
ipa passwd --otp

Чтобы изменить пароль другого пользователя:
ipa passwd tuser1

Service Constrained Delegation

Manage rules to allow constrained delegation of credentials so
that a service can impersonate a user when communicating with another
service without requiring the user to actually forward their TGT.
This makes for a much better method of delegating credentials as it
prevents exposure of the short term secret of the user.

The naming convention is to append the word "target" or "targets" to
a matching rule name. This is not mandatory but helps conceptually
to associate rules and targets.

A rule consists of two things:
- A list of targets the rule applies to
- A list of memberPrincipals that are allowed to delegate for
those targets

A target consists of a list of principals that can be delegated.

In English, a rule says that this principal can delegate as this
list of principals, as defined by these targets.

In both a rule and a target Kerberos principals may be specified
by their name or an alias and the realm can be omitted. Additionally,
hosts can be specified by their names. If Kerberos principal specified
has a single component and does not end with '$' sign, it will be treated
as a host name. Kerberos principal names ending with '$' are typically
used as aliases for Active Directory-related services.

EXAMPLES:

Add a new constrained delegation rule:
ipa servicedelegationrule-add ftp-delegation

Add a new constrained delegation target:
ipa servicedelegationtarget-add ftp-delegation-target

Add a principal to the rule:
ipa servicedelegationrule-add-member --principals=ftp/ipa.example.com ftp-delegation

Add a host principal of the host 'ipa.example.com' to the rule:
ipa servicedelegationrule-add-member --principals=ipa.example.com ftp-delegation

Add our target to the rule:
ipa servicedelegationrule-add-target --servicedelegationtargets=ftp-delegation-target ftp-delegation

Add a principal to the target:
ipa servicedelegationtarget-add-member --principals=ldap/ipa.example.com ftp-delegation-target

Display information about a named delegation rule and target:
ipa servicedelegationrule_show ftp-delegation
ipa servicedelegationtarget_show ftp-delegation-target

Remove a constrained delegation:
ipa servicedelegationrule-del ftp-delegation-target
ipa servicedelegationtarget-del ftp-delegation

In this example the ftp service can get a TGT for the ldap service on
the bound user's behalf.

It is strongly discouraged to modify the delegations that ship with
IPA, ipa-http-delegation and its targets ipa-cifs-delegation-targets and
ipa-ldap-delegation-targets. Incorrect changes can remove the ability
to delegate, causing the framework to stop functioning.

Подчинённые идентификаторы

Управление подчинёнными идентификаторами пользователя и группы для пользователей

ПРИМЕРЫ:

Автоматически назначить диапазон подчинённых идентификаторов для текущего пользователя
ipa subid-generate

Автоматически назначить диапазон подчинённых идентификаторов для пользователя alice:
ipa subid-generate --owner=alice

Найти подчинённые идентификаторы для пользователя alice:
ipa subid-find --owner=alice

Установить соответствие записи по любому подчинённому uid в диапазоне:
ipa subid-match --subuid=2147483649

English	Russian
No related strings found in the glossary.

English

Russian

No related strings found in the glossary.

Shortcut	Action
`?`	Open available keyboard shortcuts.
`Alt` + `Home`	Navigate to the first translation in the current search.
`Alt` + `End`	Navigate to the last translation in the current search.
`Alt` + `PageUp` or `Ctrl` + `↑` or `Alt` + `↑` or `Cmd` + `↑` or	Navigate to the last translation in the current search.
`Alt` + `PageDown` or `Ctrl` + `↓` or `Alt` + `↓` or `Cmd` + `↓` or	Navigate to the next translation in the current search.
`Ctrl` + `Enter` or `Cmd` + `Enter`	Submit current form; this works the same as pressing Save and continue while editing translation.
`Ctrl` + `Shift` + `Enter` or `Cmd` + `Shift` +`Enter`	Unmark translation as Needing edit and submit it.
`Alt` + `Enter` or `Option` + `Enter`	Submit the string as a suggestion; this works the same as pressing Suggest while editing translation.
`Ctrl` + `E` or `Cmd` + `E`	Focus on translation editor.
`Ctrl` + `U` or `Cmd` + `U`	Focus on comment editor.
`Ctrl` + `M` or `Cmd` + `M`	Shows Automatic suggestions tab.
`Ctrl` + `1` to `Ctrl` + `9` or `Cmd` + `1` to `Cmd` + `9`	Copies placeable of a given number from source string.
`Ctrl` + `M` followed by `1` to `9` or `Cmd` + `M` followed by `1` to `9`	Copy the machine translation of a given number to current translation.
`Ctrl` + `I` followed by `1` to `9` or `Cmd` + `I` followed by `1` to `9`	Ignore one item in the list of failing checks.
`Ctrl` + `J` or `Cmd` + `J`	Shows the Nearby strings tab.
`Ctrl` + `S` or `Cmd` + `S`	Focus on search field.
`Ctrl` + `O` or `Cmd` + `O`	Copy the source string.
`Ctrl` + `Y` or `Cmd` + `Y`	Toggle the Needs editing checkbox.
`→`	Browse the next translation string.
`←`	Browse the previous translation string.

freeipa

ipa-4-10

Russian

Translate

Translation

Things to check

Inconsistent

Mismatching line breaks

Glossary

11868129 String information

String age

Last updated

Source string age

Translation file