���X�L�������X��C�!W�/y�$��7�������$��[��4�&F��m�
l��~�KY�2��-�)�G0�Lx�:�=�g>�]����H��s�nJ�\��r�m��`��UX�W��P��W�v���s
�
�

�
q
�
z
g0
O�
m�
vV
{�
VI
h�
�
		
w�

>o
a�
?
�P
��
K�

:�

2
K>
[�
|�
Tc
P�
e	
oo
_�
[?
N�
>�
O)
ny
v�
g_
q�
K9
P
�
��
�d
5@
Uv
k�
~8
v�
U.
��

��
Q
{h
��
:�
h�
X$
�
}
/
r
Z� 
7� 
Z5!
9�!
n�!
�9%

"&
f*'
X�'
��'
��(

�)
��*
1@+
}r+
`�+
�Q/
�
2
��3
�=4
�4
6
5
n=B
x�B
�%C
��C
x�D
�D
^E
wE
t�E
�lQ
\R
BwR
\�R
�S
�e
�
�e
�g
H�g
.l
E3l
�yl
Op
�
er

=t
[u
xu
�u

�u
u�u
�v
7
�v
Dx
$Xx
�
}x
mz
�
�z
�
I|
�}
 ށ
>��
p>�
'��
׈
�
�
$�
5�
K�
%f�
���
{�
�
��
�r�
�
[!�
�}�

�
�%�
���
���
�B�
K�
�=�
��
'
�
�6�
\+�
H��
�ѻ
k
�
/�
�<�
�9�
T��
�F�
��
���
K�
�
a�
�V�
g��
�S�
�%�
���
 d�
x��
@��
�?�
q
�
t��
#�
�)�
��
�
�
�.�
��
��
R��
#.�
R�
m�
��
!��
 ��
��
��
�
:�
R�
%r�
��
!��
p�
�E�
,�
*9�
hd�
8�
J�
>Q�
>��
:�
8
�
LC�
F��
J�
>"�
8a�
@��
J�
@&�
:g�
0��
.�
8�
6;�
:r�
0��
8�
4�
0L�
.}�
/��
<�
4�
0N�
.�
��
2�
<��
.2�
Aa�
��

��
�
�
�
E^[8��!�-
@L
�
�
�

�
.�
2"Ur	u	�	���!��.0L'}�6�7�%+Q^Xw"���	���
%�
�2�	G�	F.
)u
&�
�
�
 �
  'A%i.�(�)�.@U.lP�3�
 
.
2
;
"G

j
u
�
�
�
x�
6
<JYl}	��������%�0"S2q���#��9Wo�����! 7Xh}���"��80N&9�\�=]
q�;��
�!/%$U'z"����1M%dE��!�$%4)Z7�.��%0C<t(��+�,%H1n%�
��2�3 Tp$����%
"0S$r�!�(��$C&c3�&�!�$<So%�6�%�1
?\x���#�8Uk	�.�*�J�@A��$�:��6 8E 0~ 2� � 2� 2!D>!P�!�!5�!6"8P"0�"2�"J�"M8#L�#O�##$<$3W$�$�$ �$��$FW%�%	�%�%�%�%�%"�%�%Y&*n&1�&+�&*�&1"'/T'2�'�'�'7�'(-&(*T(	(
�(Q�(
�(0�(/%)*U)*�)5�)+�)
**"*<*U*#o*/�*�*$�*
++!#+E+~e+�+,�+	!,
+,9,H,[,w,
�,�,�,�,�,�,�,	- -3-8-D-d-�-�-�-�-1�-. %."F.#i. �."�.�.�.�.!�.!/
$/2/A/VV/�/�/5�/*�/_0y0�0)�0��0�p12��2�3'�3(�3&�3�4?�43�4!5)85b5n5z5�5�5�51�5!6-*6&X6"62�6�6�6�67+7<7N7(`7#�74�7&�7(	828B8O8f8 v8$�8�8&�82�8(99C9}9�9=�9�9�9�92�910:@b:�:�:�:�:�:%�:";L2;&;�;$�;�;�;
<
<"<$9<
^</l<�<�<�<#�<=#= 4=U=^=&t=H�=I�=$.>S>'[>�>/�>�>�>�> ?4?P?"d?�?�?�?�?�?!�?@7@P@f@)u@�@�@�@'�@iAqA�A�A�A
�A4�A3
B#ABeBiBzB�B;�B�B�B
CC	%C7/C	gCqC�C�C
�C��CID-_D-�D4�DA�D-2E`EtE�ER�E
�E~F�F!G*G6G?GV[G&�G	�G3�G}H9�H\�H,I1IBIUIkI(�I%�I�I2�I$%J
JJXJ'tJ�J�J1�J�JK#K
5K@KPK\KcK�K�K�K�K�K�KL)LAL\LqL+�L�L�L�LMM;MJM^MqM�M�M!�M�M�M
�M9�M8NGNeNqN�N�N�N�N�N[�NXOqO�O �O
�O
�O�O�O5P$JPoP�P �P&�P�P Q0QOQ'mQ$�Q �Q&�QR# R!DR&fR!�R�R�R�R
SS<S[SyS�S�S�S�ST$T>TCWTU�TV�T@HU�U�U�U*�U�U$�U#V04VdeVA�VCWPW!fW �W �W)�W�W�WXXX'X:XNXVXpX
�X,�X�X�X�X!Y"Y:<YEwY7�Y�Y�Y6Z%MZsZ�Z%�Z�Z�Z[!%[!G[9i[;�[3�[5\9I\;�\3�\5�\M)]Pw]O�]R^k^�^�^�^�^'�^
_'_F_`_,~_>�_-�_2`0K`'|`!�`&�`(�`%a'<a&da"�a!�a4�a"b!(b0Jb*{b*�b)�b'�b*#cNcW[c+�c"�cd0"d2Sd'�d2�d�d2�d.+eZene@ue�e�e �e�e<fOf^f,jf�f�f+�f�f�fg$g3g8gGg
\gjgg�g�g�g+�g�g�gh )hJh#`h�h�h5�h$�h�hi$9i^iui �i �i�i�i
jj!jAj!Xjzj�j�j�j�j*�j)�j$kAk-^kI�kf�k.=l	llvl�l
�l2�l
�l&�l

mm;m
Zm:hm6�m
�m�m�m,n4n
HnSn`nrn!�n�n
�n�n�n
�noo6oUo
do roT�o%�opR)p8|p?�p3�p1)qFwq�q�q�qr -rBNr�r�r�r�r�rs#%sIs$is�s�s<�s%�st0:t,kt�t�t0�t�tu(uF.u%uu
�uI�u�uv%(v&Nv(uv&�v)�v"�v$w!7w"Yw!|w�w;�w�w �wx!x;xGxZxox�x
�x�x;�x(�x$y%>y
dyoy$uy�yF�y=�yJ%z&pz5�z�z.�z3{E{he{�{X�{,6|c|�v|\}	n}x}�}�}(�}�}�}8�}1(~Z~!^~�~�~s�~T!v�����
��
���
0�;�N�
d�"r�����!��ހ	�7��
6�A�N�a�
u�	��	����.��
�����'�F�
Z�h�������
ނ%�/�?�K�P�=]�������˃��A��A�
R�]�q�$}�&��	Ʉ
ӄ
�O�!?�*a���$��ʅ	�3�"%�
H�S�\�l����� ��,ʆ��	��
�$���҇
Y�;d�+��̈����,�?�O�_�o�	������
��lÉu0�
������Ҋ�U�F�X��m�R�
o�*}�#��#̌��)�.C�
r�����@��0܍
�"�9�3S�������͎
�3��&*�Q�"o�/��я�����(9�1b�#����̐*ܐ��"-�P�g�������̑���#�"6�Y�
b�m�.|�,��Qؒ*�&H�&o�7��Γݓ#���1�N�n���3��+ϔ���	�	�	%�/�	6�@�4Z���	����D•��&-�)T�)~���ȖIߖ')�4Q�#����—L՗%"�H�L�[�c�j�0{���+���%��
�%)�O�X[���8��$���	:�D�+c�'��"��-ښ�&�2<�Xo�/țA��,:�g�o�|���
��������ڜ!���%�>�}J��ȝI�U�\�l�y� ��)��&؞
��
��0�8�<�E�NR�+��ٟ͟%ߟ�

�
�
)�7�H�U�^�	r�H|�Š(ڠ"�3&�5Z�#����ԡ�
�$�5�I�d�p�
��������	Ģ΢��
��+�A�Q�c�;p���!̣�(��V�4v���
��Ǥܤ�#�$0�U�o�������,����#�4�M�e�(k�����6Ŧ(��%�!D�'f���!��Χ�(
�%6�!\�'~���$Ũ"�"
�0�P�k�����©�
� �<�Y�Cy���ת��2�)L�v�����˫ܫ�!�0�K�`�+r�����Ь�	��>�N�b�u�����!��ϭ����6�N�g����� ��"߮ �)#�'M�u�P�����"�'�:�2J�}}�/��+�J=�������ñֱ�4�=�AX�9���ԲV�p�}�����
��	��ųҳ����,�'B�j�}�'��e��n��������˵���-�-B�3p����� ȶ�)��>$�c�	��
��������ڷ�5�G�Y�l�q�����8ĸ*��(�C�[�u�����ȹ�'�(�+�/�	A�
K�V�	p�
z���3��2˺4��33�g�z�,����ػ+�i�8����Ҽ�J��dD�b��V�c�4k�2��>Ӿ;�GN�=��Կ	ڿ����*�:�I�Y�h�x�������`���"����
�������
� �&�+�8�
H�=S���'������2��(�@�Y�m���!�� ��������'�!�6��U�u��8u�.��
�����$�5�E�U�>f���5��3���6�L�7U���!��������.���5.�
d�Co�P����8�Q�	b�<l���;��8��.�=�Y�Bu�+������:��89�	r�|�������
��
��G��(&�O�/e�;��������L�c�����5��#��R��I�dR���&����
�����"�1;�m�����
��
������>��*#�@N�
��0��
��
�������*�E�=]�������������������5&�\�#n��������3��9��(���1�L�_�Gf���"��;��3#�#W� {�"��#��>��"�:�$J�o�2{�'��*��>
�'@�h� ����!����*�</�1l�$��(��%��*�=�4\�5��A��.	�/8�*h�6��(��%��%�4?�*t�7��*��%�8(�5a�%��>������#)�M�j���~��0�<A�8~�'��1��
��8�T�k�z�����3��	�������(.�CW�#����������1��8+�:d�?��G��C'�k�!s�J��+���#,�*P�{���1��/��M�\Q��������������@�L�
Q�	_�i�u�A{�	����	����B��22�e�5k�����
��(��+���/�C�(X�����'������������3�<E�0����������s��9j�����	��
��������/�E�^�	j�
t��������:�������2(�[�.k� ��!������#�9�P�j�2�������� ���=�]�w���%��!����!	�+�H� `���#�����������.�A�0S�3������,��
��)�;�G�X�j�q���
������������	�@�W\�[���
�%�
9�G�>[���3��2����4�)@�#j���#��������(���]�4{������$���-�:�L�Cd�S�����2�A�
J�X�\�d��{�%�,�5�Q�V�g�t����� ���<�#1�U�*u�4��/��*�uD���
��4�@��@�P�`�p���������1)�,[�������
�������%�,�?�Y�
h�s�
{�%����%����
�-�5�=�B�\�p�}���
������	�
�
��

��2�L�zd����+,B'o$��	��"�8
;
H
T
6n
�
�
,�
	!
�,8�
3�A�;�;�&5)\"�8�b�GE>��1�=)T~)�*��W
Pe0���4v	+�	:�	-
G@
M�
H�
�j�LR�<��1
)I
vs
Z�
!Eg(����*!1L~E�(�5A&P
w�0���%�8HPib��&� +&L!s&���D�"(;d%i'����
�-��"=�3S*Z
��>�I�!63jn{��*�C�'c>"�u�;-Y&�#�9�W<d��'�9(V&*�,��""Adz	��
���	��"%	AK[ht��*�A�

)71iv
�!��
��!�"04
ep	|�
��-�9�K!mv| ������  " 2 L _ k p &x  � &� L� 4!;!cV!%�!0�!"1"#G"k"2�"8�"p�"#`#.�#Y�#
$$$	.$8$"I$l$&�$'�$+�$�$8%RU%�%%�%S�%H@&�&4�&=�&3'
K'Y'h'{'
�'�'�'&�'+�'
(!("6('Y(�(�(�(#�(&�($)!9)P[)Q�)"�)!!*DC*,�*H�*$�*##+G+?_+�+�+%�+(�+*,-?,$m,'�,)�,,�,2-5D-,z-/�-$�-'�-h$.%�.+�.�.)�./8/S/+n/
�/�/�/$�/(�/00@+00l04�0�0�0�0�07�0'51)]1S�1,�12%2*.2*Y2#�2;�2"�2"3,*3'W3M3�3�31�5�)6$�6771$7V7]7Bb7
�7�7Z�780 8Q8.W8�8
�8�8�8�8�899F*9q9�9�9�9�9�9�9
:(":"K:n::#�:�:�:*�:;;<; W;8x;�;�; �;
<&<D<M<l<<	�<�<�<'�<	�<�<
==(= 9=Z=n=�=�=$�=:�=>>%>6>Q>g>|>%�>�>�>�>$�>)?D?b?�?�?�?�?�? �?%@8@R@
c@q@ �@�@Y�@	A%A EA#fA"�A$�A.�A
B%BW;B�B�B%�B\�B%FCClCA�C�CD#D;DPJD,�DT�DE#3E#WE&{E�E�E�E%�E
�E%�E$F0F+7FcF(xF'�FD�F	GG
)G4GDMG�G1�G&�GHRHkH}H�H:�HF�H"I%?IJeI�I�I�I�IO�I7JQJmJs�J�JK,K3K?KLKTK\K eK9�K�K"�K�K
L
L'L'3L[LhL{L
�L	�L
�L-�L*�L6MTBM �M�M�M�M�MN
N
N*ND1N<vN�N1�NOOO OB<OO.�O�O�O�
�O�Q�Qf�QNUR(�R6�R&S;+S?gS��W*�X��X6Q['�[.
�[D
�\�$^T�^7Q_=�_7�_R�_TR`E�`H�`s6an�a�bU�bz
c|�cid~od|�dgke^�e_2fX�f��f��g�(h�h,
�jz�k�
klv.nU�n|�n�xo��of�px�p�
bq�Rs?�sctGyt��t�NuUv=Zv3�vM�vaw�|w^x`jxo�xy;yk�yd!z\�z?�zO#{ws{��{vx|y�|Xi}c
�}�&��@��Y�{D�����D�Ẑ�'��؃�g�[��{W��Ӆ;��rÆa6�I��X
�d;�>��bߋ<B���
�
.�rL�e���%�#

�,
1��^�+�� �������
���j��#�"���m�vQ��ȱ�²�T�'�r������6

�!D�Rf�k���%�$���
�������;��\��7#�@[���D
�� ��
��
8��F����o
��S�*W�����#���
��q��$�R��j�,b���$������.2�a=M�R��e�
0
�>%�,&�**N.q`.�0?
�0P,2g}6U�6';7v
c=�>��>��E�[Ff�H(JMEsQ��YUwa��cvzd��d��e��f$Ngvsg;�g�&h�
i��j(.kB
Wk��l
]rYhr�tBuSu^ju%�u�uv&v,?v$lv�v �v!�v�v w ,wMw)kwx�w�x5�x3y�RyJ�y[!zI}zO�zB{AZ{Z�{]�{WU|E�|A�|W5}g�}U�}EK~9�~;�~OGW>�=�C�<`�3��6р;�GD�B��?ρ=�M�:a�H��=�C#�g�
y�#������փG߃d'�=��ʄӄ.�B"�%e�#�� ��
Ѕ0ۅB�O�o�r�~����� ��
ֆ'��$�#>�.b� ����2ɇG��.D�
s�~�\��)��!��7��lj�
r��
=�3.�Sb�U��.�+;�!g���(��'ҏ-��*(�8S�7��;Đ9�:�S�Cn�R��>�D�T�
X�f�#r�����+��������������ԓ������!�2�"G�j�s�){�9��)ߔ7	�A�N� V�,w� ��ŕ%ԕ(��#�$C�$h�����'ɖ�$�5�3T�������ߗ���*,�#W�{�F��:ܘ)�:A�`|�$ݙ��*�(;�Cd�����(Ϛ9��*2�1]�)����$՛#���!=�_�-z�Q��&��)!�.K�5z�7��C�7,�!d���#��:ȞO�-S���3��4ԟ+	�A5�/w�����=Ԡ?�R�%r�+��,ġ&��*6�,a�%��.��#�&�2.�)a�1��(��)�8�-I�%w� ��%��&�/�;�*X�8��*��9�!�>�^�!w�(��&¦'�'�9�T�n�����	��/��<�g)�R����-
�L8�$��C��G�:6�>q�#��1Ԫ�M�Uf���>ӫF�JY�A��E�Q,�c~�U�g8���#��N�3�G�O��o�T
�V�h�x���
����'��հ[��-Q�=�3��.�; �1\�9��'Ȳ	�;��6�2H�3{�����]dz	%�4/�6d�)��(Ŵ4�)#�
M�X�e�����#��-��//�_�r�%��%���ն��9������1�)N�x�����*ĸ�/�;�X�
w�#������.��!��&)�P�"X�4{�"��)Ӻ/��--�,[�,����
һݻ!����-�<�cT�����9ż4��f4�4��,н<���:�������@���<��0�5���.�H��>�#W�+{�����$�����$�;9�*u�=��4��+�@?��������������)(�+R�<~�4��4��%�5�B�V�&j�/����.��=�#C�Gg�����7����'��$�99�Gs�Y���(�A�!H�j�,v�%��S���<�+S�� ����
��'��(���;*�'f�)����%�����'�	F� P�,q�O��T��,C�p�0y�
��;����'�%8�-^�"����*����	�(�;�L�$j�%������
��.��'�F�\�6q����&4�[�n�����0��6��'�=�A�T�h�C���������	%�I/�	y�!�������������8��8��3
�GA�<���� ���\�v������#��������k
�5y�	��6�����F��j��;�A�W�*q�)��8��7�� 7�=X�1����)��9�A�$_�?�� ������
��,�9�B�_�k�����"�����%#�I�h�}�6���� ��"�(�,@�m�}���������#��
�'�=�FO���&������!���6�T�l�l�� ��(�9�"X�{���!����>��)�<� Y�&z�0��,��%��"%�H�)f�+��$��-��"�%2�(X�4��*��!��&�'*�0R�!����!�������#7�)[�%����(��L��]?�^��:��7�=�P�0a���$��2��@��~8�G��E��"E�%h�*��)��9���%�5�>�F�Z�p�
��%������<��$�#=�a�2~�"��C��T�Bm�����D��.�$M�&r�1��!����"
�--�-[�I��M��@!�Db�K��P��CD�E��T��l#�X��p��#Z�~������-�!
�(/�X�w�8��M�4�7R�4��+��#�,�/<�+l�&��)��$�"�71�)i�&��5��,�1�+O�){�7���s�0`�#��"��3�@�*M�Dx���9�*�+:�f�Gn����'�%�A.�p���/��!�	�2�$�3�N�e�~�����!�����"94n ��/��)	

3
>
AX
+�
!�
!�
.
9X+w*��"�&.U-o����$�8�/7!g&�E�]�pT:�#
34A	v-�
��C�E7a���5�*A ]$~����		.	'J	r	�	/�	|�	$C
h
V�
9�
?3Y9�%�A�/$H m'�/�G�.
H
!e
�
0�
!�
#�
3.P$�I�1"27U6�%�'�Pc��R�3�
(P6$�'�1�47;5s8�.�4*F)q%�!�B�&!-O1V������F(c#�-���,�\"R]�30Nd#�/�9#Are�k�6X� 
���$�>5Bx�G�C�)$"Nq��^k%���#��
*8Mdu��*���"
0
I;T�
�����
�! 3" V 
b p �  � � � � !*,!+W!
�!(�!5�!
�!�!"I"\"r"�"�"�"6�"C�";#
O#!]##&�#*�#�#�#	$]$/}$7�$�$5�$,4%a%Fs%,�%�%�%&*&J&R&!p&G�&�&�&��&/�'��'
�(@�(1�(
)!&)H)!d)�)�)�)�)�)	�)�)!*&*{9*��*;+H+\+r+�+X�+�+,�-,!'-I-2[-,�-+�-�-.8&.>_.�.	�.�.L�.@!/ b/�/�/D�/00:0Z0v0/�04�0�0#
1D11v1�1�1�1�1�182C<2.�2�2�2/�2	3"
3.03_3"}3�3�3�3"�3484*N4"y4	�4�4�48�435R@5�5+�5.�5<6
I6!W6(y6�6$�6'�67#78B77{7�7�7�7�7
�7�7	�78<%8b8z8�8Q�8�8�8/92D9)w9)�9!�9X�9&F::m:'�:�:�:Y�:1Y;�;�;�;�;$�;<�;"<-*<X<;a<�<�<(�<�<h�<Y=;o=1�=�=�=>2$>(W>3�>:�>�>?6+?fb?1�?D�?2@@s@|@	�@
�@�@�@�@"�@A+ABAQA.aA�A��A�?B�B�BC
C#C%7C>]C:�C�C�C�CDDD+D`:D:�D�D	�D,�D
!E,E@EUEkE�E�E�E�ET�E%F'>F&fF6�F7�F&�F)#G*MG$xG�G�G�G#�GH)H?HRHkH{H
�H�H�H�H�H�HI.IDIbIEtI(�I)�I
J%J_:J>�J�J�J�JK"-K(PK)yK�K�K�K�K,�K3&L2ZL�L�L)�L�LM2
M"@McMA}M)�M!�M(N*4N_N(~N#�N �N,�N.O'HO0pO%�O+�O+�O-P"MP'pP(�P1�P�P!Q"5QXQ#sQ*�Q(�QJ�Q)6R `R�R�RA�R2�R"%SHS"hS�S�S(�S)�S T,TDT9ZT%�T�T#�T%�TU/8UhU|U�U�U�U�U&�UV;VQVgV$�V�V#�V �V$W%,W'RW0zW%�W/�W-
X%/XsUX�X�X+�XY1Y;HY��Y@Z^ZRrZ�Z�Z�Z[$"[G[Kd[�[M�[N\�m\]5]G]T]o]�]
�]�]�]�]�]^^:^2X^�^	�^/�^��^�c_�_*�_
*`8`W` w`'�`B�`AaAEa
�a�a&�a�a6�aC"b"fb�b�b�b�b!�b!�b"!cPDc�c�c�c�c �c!dA(d4jd�d�d�d�de!:e \e!}e*�e�e�e�e	�e
�e�e	f
'f2f8If:�f7�f9�f/g Ng)og"�g�g2�gs	hC}h�h�h�hU�hUiw�i^Mj�j;�j7�jG)k=qkN�k@�k?lEl
Ql_lsl�l�l�l�l�lmm(5m^mzmx�m�n�n!�nooo&o�*o
�o�op
p p7pJFp�p3�p�p�p?q:Eq�q�q'�q(�q)
r*7rbr�r�r4
�r �st�0t��tFzu8�u�u"v%v@vTvfvvvD�v�v;�v>wPw lw
�w?�w'�w+x	,x6x=x2Ux�x;�x�xV�x_Ay�y�y<�y�y	z@zZz<jz:�z�z�z'{V7{5�{	�{�{K�{L,|
y|�|�|(�|.�|}
*}Q8})�}�}:�}G~P~h~�~Y�~-�~&2ID,�d� �{)���/������� %�/F�v� ����Łځ��S�0m�L���A��<�K�&\�����9��݃?��9�!J�l�|�����	��DŽ
�
�9��9� O�p������5��I��,�5�&L�s���L���'��E �9f�+��$̈"�)�B>���
��'��
Љ8މ)�0A�?r�,�� ߊ$�#%�!I�k�-��C��6��!/�+Q�%}�1��Ռ7�:+�Of�2��3�+�DI�.��#��&�0�*9�8d�-��,ˏ>��47�&l�F��ڐ��
�.�K�k�	�����76�En�@��/��4%�Z�,m�,��$Ǔ���2�E;�
����!��"ɔ-�^�)y�	��	����ӕW�MA�N��PޖW/�V��
ޗ#�V
�+d�%��/��5�)�
F�?Q�8��Qʙg���������Śݚ�D�4�8�
N�
\�g�Uo�ś؛
���P�Ab���B�����?)�2i�����˝(���+4�`�o�������Ǟ�I��DI�������Ÿ�ޟEy���"Ԡ	��
�
��%0�%V�|� ����ġ	ӡݡ$��'�B/�	r�|���3���3��%)�%O�u���!��ʣޣ��5�H�_�u�%��&��ڤ���"�#:�!^� ��(��ʥ�"��!�*@�k�z�
������Ħ
צ:�: �[�t�=��ç#ا���%�9�N�V�#q���-��ըި����F.�_u�`թ6�<�M�b�s�F��Ϫ:تG�[�n���?��*��- �
N�Y�u�0��¬|ˬIH��� ��˭(�2�VC�&�����L��fJ�!��ӯ�
���'�!6��X�6��0�$?�d�l���#����ʱ.�*�GB�%�� ��,Ѳ9��18� j�5�����Y�a�@q�N��
� �1�#A�e������� յ��I�?_�����	۶���(
�6�R�Y�l�t�!������ķ	˷$շ��-�	F�P�m�����������
ظ����$�D�Z�
j�u�
��������ʹ��x���7��8�0(�(Y�������+��Bֻ
�
'�5�@S� ����(ʼ�,��/�<
�J��Y��7�C�@3�)t�:��!�>��j:�Z��>�?�-R�F��4��%��)"�5L�*��o��L�4j����5<�5r�H��+��X�Kv�N������]X�%��6���H0�,y����_5�,����0��
�!(� J�k�&��/����C��<;�Fx���5���'�8B�{���1��@��
��z6�-����+���1�.Q���+������G�� 4�*U���3��5��	�����'�<9�v����LP�����(��
��/�5�O�AT�U��
��K��F�J�V�Z�^�c�(��F��/��n �'�����"E�9h�+��$��I��f=�I��'��&�.=� l�H��-��*�//�4_�(��(��)���"&�	I�S�_�q�!��
����#�� ����3�E�U�
g�r�5��P���
�+�
>�NL�������/��	��,1�1^�,��6������,�G�^�-}�B��_��N�`� i�$��������
�����!�*�@�`�t�����1��*��1��L�k�$p�q��+�<3�	p�6z�+����5��?/��o���2�[D�����������/��%�)C�.m�9����;��a/�)��1��h��IV���8��A��36�j������������(��1&�X�%l�*��.��#��!�2�#H�*l�2��$��]��dM�1��'��O�4\�\��1��7 �X�Iq�����-��+�4;�3p�+��*��1��0-�=^�<��2��2�.?�-n�o��%�.2�a�8|�������,�1�=�J�0W�3������L��=1�:o���
������G��/%�0U�T��<���/�,A�1n�,��F�$�I9�<��>��M��M��
e�9��?�-
�;�N�1T�����S��
��|���D���8���0�I�#Y�}���#��Q�&�C�[�q� ����� �7�4C�x���(�����-�3�+H�t�&��H���� 2So�2��
��'
,
$B

g
r
�
�
�
.�
�
 %5/JEz
����+B.Z���,�0�"(Kj~!��$�(�,Idv%�)��t�
\*j*�2�4�2(E[�)�n�Tr*�j�1	GP	E�	�	!�	!
9
aF
2�
i�
E$_'�/���%AIgp6w�2�9�\6

�
�
�
�
H�
!!3C(w�\�);VPS�(�/$�T��W,�����l����
��	�)�?O(^$����(�	,
C
Q\.h:�7�V
!a��	����
 J+Bv�3�+/7ZT�C��
]p.	�
��~�v
�<	0�*S
'��
J����
�
��
����y�Q	��OA�	�
�j
��|��p
�_�V
��
s�)
���
__�	�I�Ts������
�
�
��
�
tB�

p���-
J
U��c�	��
}@


���
�h����!�R	�
Vf��
i
H
�i�5	\
�U
��#`���
i
[��	#],�
�%���
�t�M�g
&���g������"��
N�`0h�x�$�U_
>(	TXf*��,E
�	;���	�o���	�
�	1	G
�79���
��qqt	�
�	��1M	�
:���	�
�g�		8�����	l�
���
���!�����!
���9 
�k�
�	��_Xb	��	����
���T		
�B
pD2��
"��
@���(�

S	�e�
�Q
����
	CB^t����f�l���u�5�<�Jw�N	�Y
�
?x�K�;�	}
��$P
k��
�
s�F�3�#o
Wn`
e
W
H1
x&A��
_
T,4����X-^
�	�QR�O3	
�la�
�
��/
��
l��7

�	�m	���0B	O�
�
�
�W	5_��@Z�	�;(�
 
I
��N�
�
��
�
^�
/[
��|��	��	�Q�	#
G1��
kx�	�

���
a�w�>G	(�W����M
�(

�zIk	F��	�
-��	�*\	�/	�	�_	

�{��
Q
v	�
��
�U��
o��	;�U����
�
��	�
P	�Jl
5��2	���	��
��B	=
<.�
�	7���
3
_i������	[�
�0��
�h���+Q	
m�	/��M
;	�
��#
���0J
%
Z	'K�2�����
�e��@
��t
��Z6��	�
D��
�/.�

��?B���;������
�
�
���
U
l	�	'Vda�	�a���
�p
�h
+t1�i�
���q�A
�
�^�
v�b�p)��
��)Jo	�4�f
hb�
 ��
nZ
���V���	�����
�����
�
��!�����>
#
s�}�vd�$
J	�
 H;
��	�
����}
���nT
�-
�
7Y
��O	�
"4	����C
x]%

�~C���[�4����Q�:���>�~�����r
W,�
�f��	�P�	��?
�m	Y>-�v��.
���_A
�S�
��	G�y	InO
�'
Y-�u�	�
�E5���	�
d�	�$�+�
��
0
����
�h	J
����	yK
���	�
���
�
#�	X�M�+�
�"
���
�
?W
�����cj0
?mw5�x�	G��s���aK.��yY�yO�E�
��	�	Ac)
l��
��	C9$b/7	��
���

	�	*f
#�
�	p	�r���3�
��k�	3�
�(�����
X	�6��M-

��|
�zbt�	��
JN�O	|���	��	�
�
�
��m
���	�@ev�
�
Z
���	�
�P$����
�
5��
���
a	g���
�`
�
�H
�	v1 &gs9�
���
?"
�����

[	
�	��	e�	\~
6��Fj��	��m�������	h	�
m�V�a�+%�i���
���
�
�z
tbo
�v^(jC�	v
u"�=)�i�
�n
�c
d	�D�ou	�
L�

��	���;T'
I�
�>
	�E
�
�<�	�
%��		X��r�1S�	s	�
�
6�~
�M����Wg	�=	��^	=�Q
�
�	���
g���
)�O�k��4w
j$	�	�
z^
r	�<|���
��	�ui�
�\2
y�
z
I=qH	=�	��~R�'	��h�F:R]�
g��	
HG	fR
�b��	0�	�		��cZo
�

S�
��
�\�
	1�	?	;
8@H
��	<�&~�
��
��	��^�Gr
	9��	�6\8
�
$Z
z
�,
a
�


��U�>�|	��
R-
7�&	T2�
�%���]1
�
6
�	���$
�
jYK�

�
�
�
�`	#	g�
���G,��
��
�V	�-{"���
�h
�	�	*��:�%�yS�
x�%	�	C
�\
M�C�	r=�	k	�
���n	�
|F	�	�
y
�)�
?�
�M������*q���!	��
��

:���
�8.,��
L[D*�3%�
[2
[	G
`n}No�+�
6�����B	|�	
!���
���	�)	r(V
D
F�E�E
:	x�	W�J��
�
�	h�	&
�2(	
�	W�� `�
�	,��4�S���P{rU 
���e
}	�.
P���	c��
:

���+
9]
F
V
�|s��
�A��e�.L����h���
��
�
�9
C����
/IBD	�
E	�	����nx
�E!�	��	�Y"	y�3a��
Li	�}
�/�	���
���	(f	w�	�
��
u
��
�
I
	��8�����]	x	��
��z��

	�)	K�
��6
�q	W
}� 	]{
����	Y	t����B
Aj���>	��=���
�
�4
�2B��	��
�	��e
�rj	��
���
��
��P��
�:�DH��[�i�.�\	��N\�
�
q
�
�	w�V�����
R��6	>�H4�	��b�
�
�	�	�C��g
Q��	N
$S�:
��7Z��Coq
L
l	��
w	Hd��@�	�j�
I�
oP'N<f
�<w��
8M
\%�	~6�d
��@	�
���*	d
�
"�	�|
�/�
�8��nc	����]�!�
4R
��	��c&�?�
�
�AO�

�����5Frp���
72Z��_�	���	�
��EL�
�	Qd��
0�y

m(
+
���D
�P
1�H

�
���,
�
�Y.~��
5
�	�K��v�
� �*
�
��
��
�
7�
�
zN*{.�s
��
��	B�Z�A	!v��
m�E=T
K#�
���8+	� 7
`��
�d�b
��
^7W�F�&
0	��
��mI�����n
O�X�SS
�F
Yw�	�
�
�
T�[�p
�
t
0������4{	�	��Vw�s�l
U	��j
�	�9���
�

�	�jt�	A�
�	K
D{�kL��
@G>
�,?
&�=

�N
�
\�
��y^L5fcR�uE;��A
:Y�}�	k
4
"D��
���'�3�`J��
��%���	]
�
9	����
{
T�u��+�x
��zu	�
��-	����
<��
�
)d�|;u
���R��L

e�e	���	�����
����
G[
g����9
6
	~	D�	��
��
��/
L	�?>

8	UpV�
`��	8�{C	<
O
 3�p	��
����bMq&Fa
�	I	�
X
)8
�
2�K�{d��X��
���
��
�l
�	���n���

�	�}5
�
'Lkz=�az	�
��K	�
�@�"1	��	
�<
P�
w
�rX
�	9q	{uZ	e2��P����~���	�	
X��So/
���R����,	T��
��
�
}'�	3
�
���3�
���	�
�fq��	���l�	b
��^�
�
���+&�	!Q
�
�-����`	i'U!
�:��k
�N��
$��*
#�m
c
�	
���s
��c
�@
]

EXAMPLES:


GLOBAL DNS CONFIGURATION

        Override this so we can add completed and failed to the return result.
        
        Override this so we can set completed and failed.
        
    Add an automember rule.
    
    Add conditions to an automember rule.
    
    Delete an automember rule.
    
    Display information about an automember rule.
    
    Lockout status of a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.

    This connects to each IPA master and displays the lockout status on
    each one.

    To determine whether an account is locked on a given server you need
    to compare the number of failed logins and the time of the last failure.
    For an account to be locked it must exceed the maxfail failures within
    the failinterval duration as specified in the password policy associated
    with the user.

    The failed login counter is modified only when a user attempts a log in
    so it is possible that an account may appear locked but the last failed
    login attempt is older than the lockouttime of the password policy. This
    means that the user may attempt a login again. 
    Modify a trust (for future use).

    Currently only the default option to modify the LDAP attributes is
    available. More specific options will be added in coming releases.
    
    Modify an automember rule.
    
    Modify realm domains

    DNS check: When manually adding a domain to the list, a DNS check is
    performed by default. It ensures that the domain is associated with
    the IPA realm, by checking whether the domain has a _kerberos TXT record
    containing the IPA realm name. This check can be skipped by specifying
    --force option.

    Removal: when a realm domain which has a matching DNS zone managed by
    IPA is being removed, a corresponding _kerberos TXT record in the zone is
    removed automatically as well. Other records in the zone or the zone
    itself are not affected.
    
    Remove conditions from an automember rule.
    
    Search for automember rules.
    
    Search for users matching the provided certificate.

    This command relies on SSSD to retrieve the list of matching users and
    may return cached data. For more information on purging SSSD cache,
    please refer to sss_cache documentation.
    
    Unlock a user account

    An account may become locked if the password is entered incorrectly too
    many times within a specific time period as controlled by password
    policy. A locked account is a temporary condition and may be unlocked by
    an administrator.
   This is the equivalent of:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Add location:
    ipa location-add location --description 'My location'

  Delete location:
    ipa location-del location

  Find all locations:
    ipa location-find

  Find all servers:
    ipa server-find

  Show configuration of a specific DNS server:
    ipa dnsserver-show

  Show implicit IPA master role:
    ipa server-role-find --include-master

  Show specific location:
    ipa location-show location

  Show specific server:
    ipa server-show ipa.example.com

  Show status of 'DNS server' role on a server:
    ipa server-role-show ipa.example.com "DNS server"

  Show status of all configured roles on a server:
    ipa server-role-find ipa.example.com

  Show status of all roles containing 'AD' on a server:
    ipa server-role-find --server ipa.example.com --role="AD trust controller"

  Update configuration of a specific DNS server:
    ipa dnsserver-mod

 Add LOC record for example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Add a host that can manage this host's keytab and certificate:
   ipa host-add-managedby --hosts=test2 test

 Add a mail server for example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Add a new host with a one-time password:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Add a new host with a random one-time password:
   ipa host-add --os='Fedora 12' --random test.example.com

 Add a new host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Add a new server:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Add a new token:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Add a new token:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add another record using MX record specific options:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Add another record using interactive mode (started when dnsrecord-add, dnsrecord-mod,
 or dnsrecord-del are executed with no options):
  ipa dnsrecord-add example.com @
  Please choose a type of DNS resource record to be added
  The most common types for this type of zone are: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Add new A record for www.example.com. Create a reverse record in appropriate
 reverse zone as well. In this case a PTR record "2" pointing to www.example.com
 will be created in zone 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Add new PTR record for www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Add new SRV records for LDAP servers. Three quarters of the requests
 should go to fast.example.com, one quarter to slow.example.com. If neither
 is available, switch to backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Add new reverse zone specified by network IP address:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Add new zone:
   ipa dnszone-add example.com --admin-email=admin@example.com

 Add second nameserver for example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Add system permission that can be used for per-zone privilege delegation:
   ipa dnszone-add-permission example.com

 After this modification, three fifths of the requests should go to
 fast.example.com and two fifths to slow.example.com.

 Allow user to create a keytab:
   ipa host-allow-create-keytab test2 --users=tuser1

 Allow user to create a keytab:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 An example of the interactive mode for dnsrecord-del command:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Change forward-policy for external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Change the secret:
   ipa radiusproxy-mod MyRADIUS --secret

 Change the vendor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Check the status of a signing request:
   ipa cert-status 10

 Create a new Certificate Identity Mapping Rule:
   ipa certmaprule-add rule1 --desc="Link certificate with subject and issuer"

 Delegate zone sub.example to another nameserver:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Delete a Certificate Identity Mapping Rule:
   ipa certmaprule-del rule1

 Delete a configuration:
   ipa radiusproxy-del MyRADIUS

 Delete a host:
   ipa host-del test.example.com

 Delete a token:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Delete forward zone external.example.com:
   ipa dnsforwardzone-del external.example.com

 Delete previously added nameserver from example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Delete zone example.com with all resource records:
   ipa dnszone-del example.com

 Disable a Certificate Identity Mapping Rule:
   ipa certmaprule-disable rule1

 Disable global forwarding for given sub-tree:
   ipa dnszone-mod example.com --forward-policy=none

 Disable the host Kerberos key, SSL certificate and all of its services:
   ipa host-disable test.example.com

 Display information about a Certificate Identity Mapping Rule:
   ipa certmaprule-show rule1

 Display the Certificate Identity Mapping global configuration:
   ipa certmapconfig-show

 Enable a Certificate Identity Mapping Rule:
   ipa certmaprule-enable rule1

 Examine the configuration:
   ipa radiusproxy-show MyRADIUS

 Examine the token:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Find A records with value 192.0.2.2 in zone example.com
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Find all Certificate Identity Mapping Rules with the specified domain:
   ipa certmaprule-find --domain example.com

 Find all servers whose entries include the string "example.com":
   ipa radiusproxy-find example.com

 Find records for resources with "www" in their name in zone example.com:
   ipa dnsrecord-find example.com www

 Find zone with "example" in its domain name:
   ipa dnszone-find example

 Forward all requests for the zone external.example.com to another forwarder
 using a "first" policy (it will send the queries to the selected forwarder
 and if not answered it will use global root servers):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab


 If a global forwarder is configured, all queries for which this server is not
 authoritative (e.g. sub.example.com) will be routed to the global forwarder.
 Global forwarding configuration can be overridden per-zone.

 List all forward zones:
   ipa dnsforwardzone-find

 List vaults:
   ipa vault-find
       [--user <user>|--service <service>|--shared]

 Modify Certificate Identity Mapping global configuration:
   ipa certmapconfig-mod --promptusername=TRUE

 Modify a Certificate Identity Mapping Rule:
   ipa certmaprule-mod rule1 --maprule="<ALT-SEC-ID-I-S:altSecurityIdentities>"

 Modify global DNS configuration and set a list of global forwarders:
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Modify information about a host:
   ipa host-mod --os='Fedora 12' test.example.com

 Modify the zone to allow dynamic updates for hosts own records in realm EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Modify the zone to allow zone transfers for local network only:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Remove SSH public keys of a host and update DNS to reflect this change:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Remove a certificate from revocation hold status:
   ipa cert-remove-hold 1032

 Request a new certificate and add the principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Resolve a host name to see if it exists (will add default IPA domain
 if one is not included):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

 Retrieve an existing certificate:
   ipa cert-show 1032

 Revoke a certificate (see RFC 5280 for reason details):
   ipa cert-revoke --revocation-reason=6 1032

 Search for certificates by hostname:
   ipa cert-find --subject=ipaserver.example.com

 Semantics of forwarding in IPA matches BIND semantics and depends on the type
 of zone:
   * Master zone: local BIND replies authoritatively to queries for data in
   the given zone (including authoritative NXDOMAIN answers) and forwarding
   affects only queries for names below zone cuts (NS records) of locally
   served zones.

   * Forward zone: forward zone contains no authoritative data. BIND forwards
   queries, which cannot be answered from its local cache, to configured
   forwarders.

 Semantics of the --forward-policy option:
   * none - disable forwarding for the given zone.
   * first - forward all queries to configured forwarders. If they fail,
   do resolution using DNS root servers.
   * only - forward all queries to configured forwarders and if they fail,
   return failure.

 Show forward zone external.example.com:
   ipa dnsforwardzone-show external.example.com

 Show global DNS configuration:
   ipa dnsconfig-show

 Show records for resource www in zone example.com
   ipa dnsrecord-show example.com www

 Show zone example.com:
   ipa dnszone-show example.com

 The interactive mode can be used for easy modification:
  ipa dnsrecord-mod example.com _ldap._tcp
  No option to modify specific record provided.
  Current DNS record contents:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modify SRV record '0 3 389 fast.example.com'? Yes/No (default No):
  Modify SRV record '0 1 389 slow.example.com'? Yes/No (default No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 This configuration forwards all queries for names outside the example.com
 sub-tree to global forwarders. Normal recursive resolution process is used
 for names inside the example.com sub-tree (i.e. NS records are followed etc.).

* A permission grants access to read, write, add, delete, read, search,
  or compare.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

* The host must exist
* The service must exist (or you use the --add option to automatically add it)

A certificate is stored with a service principal and a service principal
needs a host.

A condition is a regular expression used by 389-ds to match a new incoming
entry with an automember rule. If it matches an inclusive rule then the
entry is added to the appropriate group or hostgroup.

A default group or hostgroup could be specified for entries that do not
match any rule. In case of user entries this group will be a fallback group
because all users are by default members of group specified in IPA config.

A permission enables fine-grained delegation of rights. A permission is
a human-readable wrapper around a 389-ds Access Control Rule,
or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

A permission may not contain other permissions.

A rule is directly associated with a group by name, so you cannot create
a rule without an accompanying group or hostgroup.

Add new ID range.

    To add a new ID range you always have to specify

        --base-id
        --range-size

    Additionally

        --rid-base
        --secondary-rid-base

    may be given for a new ID range for the local domain while

        --rid-bas
        --dom-sid

    must be given to add a new range for a trusted AD domain.

    WARNING:

    DNA plugin in 389-ds will allocate IDs based on the ranges configured for the
    local domain. Currently the DNA plugin *cannot* be reconfigured itself based
    on the local ranges set via this family of commands.

    Manual configuration change has to be done in the DNA plugin configuration for
    the new local range. Specifically, The dnaNextRange attribute of 'cn=Posix
    IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' has to be
    modified to match the new range.
    
Add new trust to use.

This command establishes trust relationship to another domain
which becomes 'trusted'. As result, users of the trusted domain
may access resources of this domain.

Only trusts to Active Directory domains are supported right now.

The command can be safely run multiple times against the same domain,
this will cause change to trust relationship credentials on both
sides.

Note that if the command was previously run with a specific range type,
or with automatic detection of the range type, and you want to configure a
different range type, you may need to delete first the ID range using
ipa idrange-del before retrying the command with the desired range type.
    
Additionally, there are the following convenience options.
Setting one of these options will set the corresponding attribute(s).
1. type: a type of object (user, group, etc); sets subtree and target filter.
2. memberof: apply to members of a group; sets target filter
3. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership); sets target.

All CAs except the 'IPA' CA can be disabled or re-enabled.  Disabling a CA
prevents it from issuing certificates but does not affect the validity of its
certificate.

Asymmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a public key before transport.
The secret can only be retrieved using the private key.

Auto Membership Rule.

Automount

Stores automount(8) configuration for autofs(8) in IPA.

The base of an automount configuration is the configuration file auto.master.
This is also the base location in IPA. Multiple auto.master configurations
can be stored in separate locations. A location is implementation-specific
with the default being a location named 'default'. For example, you can have
locations by geographic region, by floor, by type, etc.

Automount has three basic object types: locations, maps and keys.

A location defines a set of maps anchored in auto.master. This allows you
to store multiple automount configurations. A location in itself isn't
very interesting, it is just a point to start a new automount map.

A map is roughly equivalent to a discrete automount file and provides
storage for keys.

A key is a mount point associated with a map.

When a new location is created, two maps are automatically created for
it: auto.master and auto.direct. auto.master is the root map for all
automount maps for the location. auto.direct is the default map for
direct mounts and is mounted on /-.

An automount map may contain a submount key. This key defines a mount
location within the map that references another map. This can be done
either using automountmap-add-indirect --parentmap or manually
with automountkey-add and setting info to "-type=autofs :<mapname>".

EXAMPLES:

Locations:

  Create a named location, "Baltimore":
    ipa automountlocation-add baltimore

  Display the new location:
    ipa automountlocation-show baltimore

  Find available locations:
    ipa automountlocation-find

  Remove a named automount location:
    ipa automountlocation-del baltimore

  Show what the automount maps would look like if they were in the filesystem:
    ipa automountlocation-tofiles baltimore

  Import an existing configuration into a location:
    ipa automountlocation-import baltimore /etc/auto.master

    The import will fail if any duplicate entries are found. For
    continuous operation where errors are ignored, use the --continue
    option.

Maps:

  Create a new map, "auto.share":
    ipa automountmap-add baltimore auto.share

  Display the new map:
    ipa automountmap-show baltimore auto.share

  Find maps in the location baltimore:
    ipa automountmap-find baltimore

  Create an indirect map with auto.share as a submount:
    ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man

    This is equivalent to:

    ipa automountmap-add-indirect baltimore --mount=/man auto.man
    ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Remove the auto.share map:
    ipa automountmap-del baltimore auto.share

Keys:

  Create a new key for the auto.share map in location baltimore. This ties
  the map we previously created to auto.master:
    ipa automountkey-add baltimore auto.master --key=/share --info=auto.share

  Create a new key for our auto.share map, an NFS mount for man pages:
    ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Find all keys for the auto.share map:
    ipa automountkey-find baltimore auto.share

  Find all direct automount keys:
    ipa automountkey-find baltimore --key=/-

  Remove the man key from the auto.share map:
    ipa automountkey-del baltimore auto.share --key=man

Based on the ownership there are three vault categories:
* user/private vault
* service vault
* shared vault

Based on the security mechanism there are three types of
vaults:
* standard vault
* symmetric vault
* asymmetric vault

Bring clarity to the membership of hosts and users by configuring inclusive
or exclusive regex patterns, you can automatically assign a new entries into
a group or hostgroup based upon attribute information.

CAs (all except the 'IPA' CA) can be deleted.  Deleting a CA causes its signing
certificate to be revoked and its private key deleted.

CAs are enabled on creation, but their use is subject to CA ACLs unless the
operator has permission to bypass CA ACLs.

Certificate Identity Mapping

Certificate requests exist in the form of a Certificate Signing Request (CSR)
in PEM format.

Certificates may be searched on by certificate subject, serial number,
revocation reason, validity dates and the issued date.

Cross-realm trusts

Manage trust relationship between IPA and Active Directory domains.

In order to allow users from a remote domain to access resources in IPA domain,
trust relationship needs to be established. Currently IPA supports only trusts
between IPA and Active Directory domains under control of Windows Server 2008
or later, with functional level 2008 or later.

Please note that DNS on both IPA and Active Directory domain sides should be
configured properly to discover each other. Trust relationship relies on
ability to discover special resources in the other domain via DNS records.

Examples:

1. Establish cross-realm trust with Active Directory using AD administrator
   credentials:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator>            --password

2. List all existing trust relationships:

   ipa trust-find

3. Show details of the specific trust relationship:

   ipa trust-show <ad.domain>

4. Delete existing trust relationship:

   ipa trust-del <ad.domain>

Once trust relationship is established, remote users will need to be mapped
to local POSIX groups in order to actually use IPA resources. The mapping
should be done via use of external membership of non-POSIX group and then
this group should be included into one of local POSIX groups.

Example:

1. Create group for the trusted domain admins' mapping and their local POSIX
group:

   ipa group-add --desc='<ad.domain> admins external map'            ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Add security identifier of Domain Admins of the <ad.domain> to the
   ad_admins_external group:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Allow members of ad_admins_external group to be associated with
   ad_admins POSIX group:

   ipa group-add-member ad_admins --groups ad_admins_external

4. List members of external members of ad_admins_external group to see
   their SIDs:

   ipa group-show ad_admins_external


GLOBAL TRUST CONFIGURATION

When IPA AD trust subpackage is installed and ipa-adtrust-install is run, a
local domain configuration (SID, GUID, NetBIOS name) is generated. These
identifiers are then used when communicating with a trusted domain of the
particular type.

1. Show global trust configuration for Active Directory type of trusts:

   ipa trustconfig-show --type ad

2. Modify global configuration for all trusts of Active Directory type and set
   a different fallback primary group (fallback primary group GID is used as a
   primary user GID if user authenticating to IPA domain does not have any
   other primary GID already set):

   ipa trustconfig-mod --type ad --fallback-primary-group "another AD group"

3. Change primary fallback group back to default hidden group (any group with
   posixGroup object class is allowed):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

DNS configuration passed to command line install script is stored in a local
configuration file on each IPA server where DNS service is configured. These
local settings can be overridden with a common configuration stored in LDAP
server:

DNS server configuration

Dates are treated as GMT to match the dates in the certificates.

Deleting or renaming a managed permission, as well as changing its target,
is not allowed.

Directory Server Access Control Instructions (ACIs)

ACIs are used to allow or deny access to information. This module is
currently designed to allow, not deny, access.

The aci commands are designed to grant permissions that allow updating
existing entries or adding or deleting new ones. The goal of the ACIs
that ship with IPA is to provide a set of low-level permissions that
grant access to special groups called taskgroups. These low-level
permissions can be combined into roles that grant broader access. These
roles are another type of group, roles.

For example, if you have taskgroups that allow adding and modifying users you
could create a role, useradmin. You would assign users to the useradmin
role to allow them to do the operations defined by the taskgroups.

You can create ACIs that delegate permission so users in group A can write
attributes on group B.

The type option is a map that applies to all entries in the users, groups or
host location. It is primarily designed to be used when granting add
permissions (to write new entries).

An ACI consists of three parts:
1. target
2. permissions
3. bind rules

The target is a set of rules that define which LDAP objects are being
targeted. This can include a list of attributes, an area of that LDAP
tree or an LDAP filter.

The targets include:
- attrs: list of attributes affected
- type: an object type (user, group, host, service, etc)
- memberof: members of a group
- targetgroup: grant access to modify a specific group. This is primarily
  designed to enable users to add or remove members of a specific group.
- filter: A legal LDAP filter used to narrow the scope of the target.
- subtree: Used to apply a rule across an entire set of objects. For example,
  to allow adding users you need to grant "add" permission to the subtree
  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. The subtree option
  is a fail-safe for objects that may not be covered by the type option.

The permissions define what the ACI is allowed to do, and are one or
more of:
1. write - write one or more attributes
2. read - read one or more attributes
3. add - add a new entry to the tree
4. delete - delete an existing entry
5. all - all permissions are granted

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

The bind rule defines who this ACI grants permissions to. The LDAP server
allows this to be any valid LDAP entry but we encourage the use of
taskgroups so that the rights can be easily shared through roles.

For a more thorough description of access controls see
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

EXAMPLES:

NOTE: ACIs are now added via the permission plugin. These examples are to
demonstrate how the various options work but this is done via the permission
command-line now (see last example).

 Add an ACI so that the group "secretaries" can update the address on any user:
   ipa group-add --desc="Office secretaries" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Secretaries write addresses"

 Show the new ACI:
   ipa aci-show --prefix=none "Secretaries write addresses"

 Add an ACI that allows members of the "addusers" permission to add new users:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Add new users"

 Add an ACI that allows members of the editors manage members of the admins group:
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Editors manage admins"

 Add an ACI that allows members of the admins group to manage the street and zip code of those in the editors group:
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street --attrs=postalcode --prefix=none "admins edit the address of editors"

 Add an ACI that allows the admins group manage the street and zipcode of those who work for the boss:
   ipa aci-add --permissions=write --group=admins --attrs=street --attrs=postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Edit the address of those who work for the boss"

 Add an entirely new kind of record to IPA that isn't covered by any of the --type options, creating a permission:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Add Orange Entries" add_orange


The show command shows the raw 389-ds ACI.

IMPORTANT: When modifying the target attributes of an existing ACI you
must include all existing attributes as well. When doing an aci-mod the
targetattr REPLACES the current attributes, it does not add to them.

Domain Name System (DNS)

ENROLLMENT:

There are three enrollment scenarios when enrolling a new client:

1. You are enrolling as a full administrator. The host entry may exist
   or not. A full administrator is a member of the hostadmin role
   or the admins group.
2. You are enrolling as a limited administrator. The host must already
   exist. A limited administrator is a member a role with the
   Host Enrollment privilege.
3. The host has been created with a one-time password.

EXAMPLES:

Entitlements

Manage entitlements for client machines

Entitlements can be managed either by registering with an entitlement
server with a username and password or by manually importing entitlement
certificates. An entitlement certificate contains embedded information
such as the product being entitled, the quantity and the validity dates.

An entitlement server manages the number of client entitlements available.
To mark these entitlements as used by the IPA server you provide a quantity
and they are marked as consumed on the entitlement server.

 Register with an entitlement server:
   ipa entitle-register consumer

 Import an entitlement certificate:
   ipa entitle-import /home/user/ipaclient.pem

 Display current entitlements:
   ipa entitle-status

 Retrieve details on entitlement certificates:
   ipa entitle-get

 Consume some entitlements from the entitlement server:
   ipa entitle-consume 50

The registration ID is a Unique Identifier (UUID). This ID will be
IMPORTED if you have used entitle-import.

Changes to /etc/rhsm/rhsm.conf require a restart of the httpd service.

Get information about installed IPA servers.

Get status of roles (DNS server, CA, etc.) provided by IPA masters.

Group to Group Delegation

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

Group to Group Delegations grants the members of one group to update a set
of attributes of members of another group.

EXAMPLES:

 Add a delegation rule to allow managers to edit employee's addresses:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add postalCode to the list:
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Display our updated rule:
   ipa delegation-show "managers edit employees' street"

 Delete a rule:
   ipa delegation-del "managers edit employees' street"

Groups of Sudo Commands

Manage groups of Sudo Commands.

EXAMPLES:

 Add a new Sudo Command Group:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Remove a Sudo Command Group:
   ipa sudocmdgroup-del admincmds

 Manage Sudo Command Group membership, commands:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

 Manage Sudo Command Group membership, commands:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Show a Sudo Command Group:
   ipa group-show localadmins

HBAC Services

The PAM services that HBAC can control access to. The name used here
must match the service name that PAM is evaluating.

EXAMPLES:

 Add a new HBAC service:
   ipa hbacsvc-add tftp

 Modify an existing HBAC service:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Search for HBAC services. This example will return two results, the FTP
 service and the newly-added tftp service:
   ipa hbacsvc-find ftp

 Delete an HBAC service:
   ipa hbacsvc-del tftp


Hosts/Machines

A host represents a machine. It can be used in a number of contexts:
- service entries are associated with a host
- a host stores the host/ service principal
- a host can be used in Host-based Access Control (HBAC) rules
- every enrolled client generates a host entry

IPA certificate operations

IPA locations

IPA server roles

IPA servers

IPA supports the use of OTP tokens for multi-factor authentication. This
code enables the management of OTP tokens.

IPA supports the use of an external RADIUS proxy server for krb5 OTP
authentications. This permits a great deal of flexibility when
integrating with third-party authentication services.

IPA supports the use of certificates for authentication. Certificates can
either be stored in the user entry (full certificate in the usercertificate
attribute), or simply linked to the user entry through a mapping.
This code enables the management of the rules allowing to link a
certificate to a user entry.

Implements a set of commands for managing server SSL certificates.

In order to request a certificate:

It may be difficult to manipulate such DNS records without making a mistake
and entering an invalid value. DNS module provides an abstraction over these
raw records and allows to manipulate each RR type with specific options. For
each supported RR type, DNS module provides a standard option to manipulate
a raw records with format --<rrtype>-rec, e.g. --mx-rec, and special options
for every part of the RR structure with format --<rrtype>-<partname>, e.g.
--mx-preference and --mx-exchanger.

Joining an IPA domain

Kerberos PKINIT feature status reporting tools.

Report IPA masters on which Kerberos PKINIT is enabled or disabled

EXAMPLES:
 List PKINIT status on all masters:
   ipa pkinit-status

 Check PKINIT status on `ipa.example.com`:
   ipa pkinit-status --server ipa.example.com

 List all IPA masters with disabled PKINIT:
   ipa pkinit-status --status='disabled'

For more info about PKINIT support see:

https://www.freeipa.org/page/V4/Kerberos_PKINIT

Kerberos pkinit options

Enable or disable anonymous pkinit using the principal
WELLKNOWN/ANONYMOUS@REALM. The server must have been installed with
pkinit support.

EXAMPLES:

 Enable anonymous pkinit:
  ipa pkinit-anonymous enable

 Disable anonymous pkinit:
  ipa pkinit-anonymous disable

For more information on anonymous pkinit see:

http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit

Kerberos ticket policy

There is a single Kerberos ticket policy. This policy defines the
maximum ticket lifetime and the maximum renewal age, the period during
which the ticket is renewable.

You can also create a per-user ticket policy by specifying the user login.

For changes to the global policy to take effect, restarting the KDC service
is required, which can be achieved using:

service krb5kdc restart

Changes to per-user policies take effect immediately for newly requested
tickets (e.g. when the user next runs kinit).

EXAMPLES:

 Display the current Kerberos ticket policy:
  ipa krbtpolicy-show

 Reset the policy to the default:
  ipa krbtpolicy-reset

 Modify the policy to 8 hours max life, 1-day max renewal:
  ipa krbtpolicy-mod --maxlife=28800 --maxrenew=86400

 Display effective Kerberos ticket policy for user 'admin':
  ipa krbtpolicy-show admin

 Reset per-user policy for user 'admin':
  ipa krbtpolicy-reset admin

 Modify per-user policy for user 'admin':
  ipa krbtpolicy-mod admin --maxlife=3600

Manage Certificate Authorities

Manage Certificate Identity Mapping configuration and rules.

Manage Certificate Profiles

Certificate Profiles are used by Certificate Authority (CA) in the signing of
certificates to determine if a Certificate Signing Request (CSR) is acceptable,
and if so what features and extensions will be present on the certificate.

The Certificate Profile format is the property-list format understood by the
Dogtag or Red Hat Certificate System CA.

PROFILE ID SYNTAX:

A Profile ID is a string without spaces or punctuation starting with a letter
and followed by a sequence of letters, digits or underscore ("_").

EXAMPLES:

  Import a profile that will not store issued certificates:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Delete a certificate profile:
    ipa certprofile-del ShortLivedUserCert

  Show information about a profile:
    ipa certprofile-show ShortLivedUserCert

  Save profile configuration to a file:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Search for profiles that do not store certificates:
    ipa certprofile-find --store=false

PROFILE CONFIGURATION FORMAT:

The profile configuration format is the raw property-list format
used by Dogtag Certificate System.  The XML format is not supported.

The following restrictions apply to profiles managed by IPA:

- When importing a profile the "profileId" field, if present, must
  match the ID given on the command line.

- The "classId" field must be set to "caEnrollImpl"

- The "auth.instance_id" field must be set to "raCertAuth"

- The "certReqInputImpl" input class and "certOutputImpl" output
  class must be used.


Manage DNS zone and resource records.

Manage OTP tokens.

Manage RADIUS Proxy Servers.

Manage YubiKey tokens.

Manage vaults.

Managed permissions

Manipulate DNS locations

Manipulate DNS server configuration

Migration to IPA

Migrate users and groups from an LDAP server to IPA.

This performs an LDAP query against the remote server searching for
users and groups in a container. In order to migrate passwords you need
to bind as a user that can read the userPassword attribute on the remote
server. This is generally restricted to high-level admins such as
cn=Directory Manager in 389-ds (this is the default bind user).

The default user container is ou=People.

The default group container is ou=Groups.

Users and groups that already exist on the IPA server are skipped.

Two LDAP schemas define how group members are stored: RFC2307 and
RFC2307bis. RFC2307bis uses member and uniquemember to specify group
members, RFC2307 uses memberUid. The default schema is RFC2307bis.

The schema compat feature allows IPA to reformat data for systems that
do not support RFC2307bis. It is recommended that this feature is disabled
during migration to reduce system overhead. It can be re-enabled after
migration. To migrate with it enabled use the "--with-compat" option.

Migrated users do not have Kerberos credentials, they have only their
LDAP password. To complete the migration process, users need to go
to http://ipa.example.com/ipa/migration and authenticate using their
LDAP password in order to generate their Kerberos credentials.

Migration is disabled by default. Use the command ipa config-mod to
enable it:

 ipa config-mod --enable-migration=TRUE

If a base DN is not provided with --basedn then IPA will use either
the value of defaultNamingContext if it is set or the first value
in namingContexts set in the root of the remote LDAP server.

Users are added as members to the default user group. This can be a
time-intensive task so during migration this is done in a batch
mode for every 100 users. As a result there will be a window in which
users will be added to IPA but will not be members of the default
user group.

EXAMPLES:

 The simplest migration, accepting all defaults:
   ipa migrate-ds ldap://ds.example.com:389

 Specify the user and group container. This can be used to migrate user
 and group data from an IPA v1 server:
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       ldap://ds.example.com:389

 Since IPA v2 server already contain predefined groups that may collide with
 groups in migrated (IPA v1) server (for example admins, ipausers), users
 having colliding group as their primary group may happen to belong to
 an unknown group on new IPA v2 server.
 Use --group-overwrite-gid option to overwrite GID of already existing groups
 to prevent this issue:
    ipa migrate-ds --group-overwrite-gid \
        --user-container='cn=users,cn=accounts' \
        --group-container='cn=groups,cn=accounts' \
        ldap://ds.example.com:389

 Migrated users or groups may have object class and accompanied attributes
 unknown to the IPA v2 server. These object classes and attributes may be
 left out of the migration process:
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       --user-ignore-objectclass=radiusprofile \
       --user-ignore-attribute=radiusgroupname \
       ldap://ds.example.com:389

LOGGING

Migration will log warnings and errors to the Apache error log. This
file should be evaluated post-migration to correct or investigate any
issues that were discovered.

For every 100 users migrated an info-level message will be displayed to
give the current progress and duration to make it possible to track
the progress of migration.

If the log level is debug, either by setting debug = True in
/etc/ipa/default.conf or /etc/ipa/server.conf, then an entry will be printed
for each user added plus a summary when the default user group is
updated.

Misc plug-ins

Netgroups

A netgroup is a group used for permission checking. It can contain both
user and host values.

EXAMPLES:

 Add a new netgroup:
   ipa netgroup-add --desc="NFS admins" admins

 Add members to the netgroup:
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

 Remove a member from the netgroup:
   ipa netgroup-remove-member --users=tuser2 admins

 Display information about a netgroup:
   ipa netgroup-show admins

 Delete a netgroup:
   ipa netgroup-del admins

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

OTP Tokens

OTP configuration

Manage the default values that IPA uses for OTP tokens.

EXAMPLES:

 Show basic OTP configuration:
   ipa otpconfig-show

 Show all OTP configuration options:
   ipa otpconfig-show --all

 Change maximum TOTP authentication window to 10 minutes:
   ipa otpconfig-mod --totp-auth-window=600

 Change maximum TOTP synchronization window to 12 hours:
   ipa otpconfig-mod --totp-sync-window=43200

 Change maximum HOTP authentication window to 5:
   ipa hotpconfig-mod --hotp-auth-window=5

 Change maximum HOTP synchronization window to 50:
   ipa hotpconfig-mod --hotp-sync-window=50

Password policy

A password policy sets limitations on IPA passwords, including maximum
lifetime, minimum lifetime, the number of passwords to save in
history, the number of character classes required (for stronger passwords)
and the minimum password length.

By default there is a single, global policy for all users. You can also
create a password policy to apply to a group. Each user is only subject
to one password policy, either the group policy or the global policy. A
group policy stands alone; it is not a super-set of the global policy plus
custom settings.

Each group password policy requires a unique priority setting. If a user
is in multiple groups that have password policies, this priority determines
which password policy is applied. A lower value indicates a higher priority
policy.

Group password policies are automatically removed when the groups they
are associated with are removed.

EXAMPLES:

 Modify the global policy:
   ipa pwpolicy-mod --minlength=10

 Add a new group password policy:
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Display the global password policy:
   ipa pwpolicy-show

 Display a group password policy:
   ipa pwpolicy-show localadmins

 Display the policy that would be applied to a given user:
   ipa pwpolicy-show --user=tuser1

 Modify a group password policy:
   ipa pwpolicy-mod --minclasses=2 localadmins

Permissions

Permissions

A permission enables fine-grained delegation of rights. A permission is
a human-readable form of a 389-ds Access Control Rule, or instruction (ACI).
A permission grants the right to perform a specific task such as adding a
user, modifying a group, etc.

A permission may not contain other permissions.

* A permission grants access to read, write, add or delete.
* A privilege combines similar permissions (for example all the permissions
  needed to add a user).
* A role grants a set of privileges to users, groups, hosts or hostgroups.

A permission is made up of a number of different parts:

1. The name of the permission.
2. The target of the permission.
3. The rights granted by the permission.

Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. add - add a new entry to the tree
4. delete - delete an existing entry
5. all - all permissions are granted

Read permission is granted for most attributes by default so the read
permission is not expected to be used very often.

Note the distinction between attributes and entries. The permissions are
independent, so being able to add a user does not mean that the user will
be editable.

There are a number of allowed targets:
1. type: a type of object (user, group, etc).
2. memberof: a member of a group or hostgroup
3. filter: an LDAP filter
4. subtree: an LDAP filter specifying part of the LDAP DIT. This is a
   super-set of the "type" target.
5. targetgroup: grant access to modify a specific group (such as granting
   the rights to manage group membership)

EXAMPLES:

 Add a permission that grants the creation of users:
   ipa permission-add --type=user --permissions=add "Add Users"

 Add a permission that grants the ability to manage group membership:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Permissions that come with IPA by default can be so-called "managed"
permissions. These have a default set of attributes they apply to,
but the administrator can add/remove individual attributes to/from the set.

Ping the remote IPA server to ensure it is running.

The ping command sends an echo request to an IPA server. The server
returns its version information. This is used by an IPA client
to confirm that the server is available and accepting requests.

The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first.
If it does not respond then the client will contact any servers defined
by ldap SRV records in DNS.

EXAMPLES:

 Ping an IPA server:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping an IPA server verbosely:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Ping the remote IPA server to ensure it is running.

The ping command sends an echo request to an IPA server. The server
returns its version information. This is used by an IPA client
to confirm that the server is available and accepting requests.

The server from xmlrpc_uri in /etc/ipa/default.conf is contacted first.
If it does not respond then the client will contact any servers defined
by ldap SRV records in DNS.

EXAMPLES:

 Ping an IPA server:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping an IPA server verbosely:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Plugins not accessible directly through the CLI, commands used internally

Privileges

A privilege combines permissions into a logical task. A permission provides
the rights to do a single task. There are some IPA operations that require
multiple permissions to succeed. A privilege is where permissions are
combined in order to perform a specific task.

For example, adding a user requires the following permissions:
 * Creating a new user entry
 * Resetting a user password
 * Adding the new user to the default IPA users group

Combining these three low-level tasks into a higher level task in the
form of a privilege named "Add User" makes it easier to manage Roles.

A privilege may not contain other privileges.

See role and permission for additional information.

RADIUS Proxy Servers

RE-ENROLLMENT:

Host that has been enrolled at some point, and lost its configuration (e.g. VM
destroyed) can be re-enrolled.

For more information, consult the manual pages for ipa-client-install.

A host can optionally store information such as where it is located,
the OS that it runs, etc.

Realm domains

Manage the list of domains associated with IPA realm.

This list is useful for Domain Controllers from other realms which have
established trust with this IPA realm. They need the information to know
which request should be forwarded to KDC of this IPA realm.

Automatic management: a domain is automatically added to the realm domains
list when a new DNS Zone managed by IPA is created. Same applies for deletion.

Externally managed DNS: domains which are not managed in IPA server DNS
need to be manually added to the list using ipa realmdomains-mod command.

EXAMPLES:

 Display the current list of realm domains:
   ipa realmdomains-show

 Replace the list of realm domains:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Add a domain to the list of realm domains:
   ipa realmdomains-mod --add-domain=newdomain.com

 Delete a domain from the list of realm domains:
   ipa realmdomains-mod --del-domain=olddomain.com

Removal of '%(hostname)s' leads to disconnected topology in suffix '%(suffix)s':
%(errors)s
Replication topology in suffix '%(suffix)s' is disconnected:
%(errors)s
Return information about currently authenticated identity

Who am I command returns information on how to get
more details about the identity authenticated for this
request. The information includes:

 * type of object
 * command to retrieve details of the object
 * arguments and options to pass to the command

The information is returned as a dictionary. Examples below use
'key: value' output for illustrative purposes.

EXAMPLES:

 Look up as IPA user:
   kinit admin
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: user
   command: user_show/1
   arguments: admin
   ------------------------------------------

 Look up as a user from a trusted domain:
   kinit user@AD.DOMAIN
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: idoverrideuser
   command: idoverrideuser_show/1
   arguments: ('default trust view', 'user@ad.domain')
   ------------------------------------------

 Look up as a host:
   kinit -k
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: host
   command: host_show/1
   arguments: ipa.example.com
   ------------------------------------------

 Look up as a Kerberos service:
   kinit -k -t /path/to/keytab HTTP/ipa.example.com
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: service
   command: service_show/1
   arguments: HTTP/ipa.example.com
   ------------------------------------------

Rights define what operations are allowed, and may be one or more
of the following:
1. write - write one or more attributes
2. read - read one or more attributes
3. search - search on one or more attributes
4. compare - compare one or more attributes
5. add - add a new entry to the tree
6. delete - delete an existing entry
7. all - all permissions are granted

SEARCHING:

SELinux User Mapping

Map IPA users to SELinux users by host.

Hosts, hostgroups, users and groups can be either defined within
the rule or it may point to an existing HBAC rule. When using
--hbacrule option to selinuxusermap-find an exact match is made on the
HBAC rule name, so only one or zero entries will be returned.

EXAMPLES:

 Create a rule, "test1", that sets all users to xguest_u:s0 on the host "server":
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

 Create a rule, "test2", that sets all users to guest_u:s0 and uses an existing HBAC rule for users and hosts:
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2

 Display the properties of a rule:
   ipa selinuxusermap-show test2

 Create a rule for a specific user. This sets the SELinux context for
 user john to unconfined_u:s0-s0:c0.c1023 on any machine:
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Disable a rule:
   ipa selinuxusermap-disable test1

 Enable a rule:
   ipa selinuxusermap-enable test1

 Find a rule referencing a specific HBAC rule:
   ipa selinuxusermap-find --hbacrule=allow_some

 Remove a rule:
   ipa selinuxusermap-del john_unconfined

SEEALSO:

 The list controlling the order in which the SELinux user map is applied
 and the default SELinux user are available in the config-show command.

SUPPORTED ZONE TYPES

 * Master zone (dnszone-*), contains authoritative data.
 * Forward zone (dnsforwardzone-*), forwards queries to configured forwarders
 (a set of DNS servers).

Search for ACIs.

    Returns a list of ACIs

    EXAMPLES:

     To find all ACIs that apply directly to members of the group ipausers:
       ipa aci-find --memberof=ipausers

     To find all ACIs that grant add access:
       ipa aci-find --permissions=add

    Note that the find command only looks for the given text in the set of
    ACIs, it does not evaluate the ACIs to see if something would apply.
    For example, searching on memberof=ipausers will find all ACIs that
    have ipausers as a memberof. There may be other ACIs that apply to
    members of that group indirectly.
    
Self-service Permissions

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

A Self-service permission defines what an object can change in its own entry.


EXAMPLES:

 Add a self-service rule to allow users to manage their address (using Bash
 brace expansion):
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Users manage their own address"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones.
 Add telephoneNumber to the list (using Bash brace expansion):
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Users manage their own address"

 Display our updated rule:
   ipa selfservice-show "Users manage their own address"

 Delete a rule:
   ipa selfservice-del "Users manage their own address"

Self-service Permissions

A permission enables fine-grained delegation of permissions. Access Control
Rules, or instructions (ACIs), grant permission to permissions to perform
given tasks such as adding a user, modifying a group, etc.

A Self-service permission defines what an object can change in its own entry.


EXAMPLES:

 Add a self-service rule to allow users to manage their address:
   ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Users manage their own address"

 When managing the list of attributes you need to include all attributes
 in the list, including existing ones. Add telephoneNumber to the list:
   ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Users manage their own address"

 Display our updated rule:
   ipa selfservice-show "Users manage their own address"

 Delete a rule:
   ipa selfservice-del "Users manage their own address"

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

   A typical use case where overriding the PAC type is needed is NFS.
   Currently the related code in the Linux kernel can only handle Kerberos
   tickets up to a maximal size. Since the PAC data can become quite large it
   is recommended to set --pac-type=NONE for NFS services.

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

Services

A IPA service represents a service that runs on a host. The IPA service
record can store a Kerberos principal, an SSL certificate, or both.

An IPA service can be managed directly from a machine, provided that
machine has been given the correct permission. This is true even for
machines other than the one the service is associated with. For example,
requesting an SSL certificate using the host service principal credentials
of the host. To manage a service using host credentials you need to
kinit as the host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Adding an IPA service allows the associated service to request an SSL
certificate or keytab, but this is performed as a separate step; they
are not produced as a result of adding the service.

Only the public aspect of a certificate is stored in a service record;
the private key is not stored.

EXAMPLES:

 Add a new IPA service:
   ipa service-add HTTP/web.example.com

 Allow a host to manage an IPA service certificate:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Override a default list of supported PAC types for the service:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

 Delete an IPA service:
   ipa service-del HTTP/web.example.com

 Find all IPA services associated with a host:
   ipa service-find web.example.com

 Find all HTTP services:
   ipa service-find HTTP

 Disable the service Kerberos key and SSL certificate:
   ipa service-disable HTTP/web.example.com

 Request a certificate for an IPA service:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Generate and retrieve a keytab for an IPA service:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Set a user's password

If someone other than a user changes that user's password (e.g., Helpdesk
resets it) then the password will need to be changed the first time it
is used. This is so the end-user is the only one who knows the password.

The IPA password policy controls how often a password may be changed,
what strength requirements exist, and the length of the password history.

EXAMPLES:

 To reset your own password:
   ipa passwd

 To change another user's password:
   ipa passwd tuser1

Standard vault uses a secure mechanism to transport and
store the secret. The secret can only be retrieved by users
that have access to the vault.

Subordinate Certificate Authorities (Sub-CAs) can be added for scoped issuance
of X.509 certificates.

Sudo Commands

Commands used as building blocks for sudo

EXAMPLES:

 Create a new command
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Remove a command
   ipa sudocmd-del /usr/bin/less


Symmetric vault is similar to the standard vault, but it
pre-encrypts the secret using a password before transport.
The secret can only be retrieved using the same password.

The automember-rebuild command can be used to retroactively run automember rules
against existing entries, thus rebuilding their membership.

The date format is YYYY-mm-dd.

The dogtag CA uses just the CN value of the CSR and forces the rest of the
subject to values configured in the server.

The status of a role is either enabled, configured, or absent.

There are a number of allowed targets:
1. subtree: a DN; the permission applies to the subtree under this DN
2. target filter: an LDAP filter
3. target: DN with possible wildcards, specifies entries permission applies to

There are many structured DNS RR types where DNS data stored in LDAP server
is not just a scalar value, for example an IP address or a domain name, but
a data structure which may be often complex. A good example is a LOC record
[RFC1876] which consists of many mandatory and optional parts (degrees,
minutes, seconds of latitude and longitude, altitude or precision).

This code is an extension to the otptoken plugin and provides support for
reading/writing YubiKey tokens directly.

USING STRUCTURED PER-TYPE OPTIONS

User vaults are vaults owned used by a particular user. Private
vaults are vaults owned the current user. Service vaults are
vaults owned by a service. Shared vaults are owned by the admin
but they can be used by other users or services.

Users

Manage user entries. All users are POSIX users.

IPA supports a wide range of username formats, but you need to be aware of any
restrictions that may apply to your particular environment. For example,
usernames that start with a digit or usernames that exceed a certain length
may cause problems for some UNIX systems.
Use 'ipa config-mod' to change the username format allowed by IPA tools.

Disabling a user account prevents that user from obtaining new Kerberos
credentials. It does not invalidate any credentials that have already
been issued.

Password management is not a part of this module. For more information
about this topic please see: ipa help passwd

Account lockout on password failure happens per IPA master. The user-status
command can be used to identify which master the user is locked out on.
It is on that master the administrator must unlock the user.

EXAMPLES:

 Add a new user:
   ipa user-add --first=Tim --last=User --password tuser1

 Find all users whose entries include the string "Tim":
   ipa user-find Tim

 Find all users with "Tim" as the first name:
   ipa user-find --first=Tim

 Disable a user account:
   ipa user-disable tuser1

 Enable a user account:
   ipa user-enable tuser1

 Delete a user:
   ipa user-del tuser1

Vaults

When adding a record, either RR specific options or standard option for a raw
value can be used, they just should not be combined in one add operation. When
modifying an existing entry, new RR specific options can be used to change
one part of a DNS record, where the standard option for raw value is used
to specify the modified value. The following example demonstrates
a modification of MX record preference from 0 to 1 in a record without
modifying the exchanger:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

When searching on dates the _from date does a >= search and the _to date
does a <= search. When combined these are done as an AND.

YubiKey Tokens
  ipa <command> --help Alternatively, following servers are capable of running this command: %(masters)s"%s" is not a valid permission type"%s" is not an object type${count} item(s) added${count} item(s) removed${entity} ${primary_key} Settings${entity} ${primary_key} updated${entity} successfully added${primary_key} is a member of:${primary_key} is managed by:${primary_key} members:${product}, version: ${version}%(attr)s does not contain '%(value)s'%(attr)s: Invalid syntax.%(attr)s: Only one value allowed.%(container)s LDAP search did not return any result (search base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s record skipped. Only one value per DNS record type can be modified at one time.%(count)d %(type)s records skipped. Only one value per DNS record type can be modified at one time.%(count)d ACI matched%(count)d ACIs matched%(count)d CA matched%(count)d CAs matched%(count)d Certificate Identity Mapping Rule matched%(count)d Certificate Identity Mapping Rules matched%(count)d HBAC rule matched%(count)d HBAC rules matched%(count)d HBAC service group matched%(count)d HBAC service groups matched%(count)d HBAC service matched%(count)d HBAC services matched%(count)d IPA location matched%(count)d IPA locations matched%(count)d IPA server matched%(count)d IPA servers matched%(count)d OTP token matched%(count)d OTP tokens matched%(count)d RADIUS proxy server matched%(count)d RADIUS proxy servers matched%(count)d SELinux User Map matched%(count)d SELinux User Maps matched%(count)d Sudo Command Group matched%(count)d Sudo Command Groups matched%(count)d Sudo Command matched%(count)d Sudo Commands matched%(count)d Sudo Rule matched%(count)d Sudo Rules matched%(count)d automount key matched%(count)d automount keys matched%(count)d automount location matched%(count)d automount locations matched%(count)d automount map matched%(count)d automount maps matched%(count)d delegation matched%(count)d delegations matched%(count)d group matched%(count)d groups matched%(count)d host matched%(count)d hosts matched%(count)d hostgroup matched%(count)d hostgroups matched%(count)d netgroup matched%(count)d netgroups matched%(count)d permission matched%(count)d permissions matched%(count)d plugin loaded%(count)d plugins loaded%(count)d privilege matched%(count)d privileges matched%(count)d profile matched%(count)d profiles matched%(count)d range matched%(count)d ranges matched%(count)d role matched%(count)d roles matched%(count)d rules matched%(count)d rules matched%(count)d selfservice matched%(count)d selfservices matched%(count)d service matched%(count)d services matched%(count)d trust matched%(count)d trusts matched%(count)d user matched%(count)d users matched%(count)d variables%(count)s server matched%(count)s servers matched%(count)s server role matched%(count)s server roles matched%(count)s user matched%(count)s users matched%(cver)s client incompatible with %(sver)s server at '%(server)s'%(desc)s: %(info)s%(exception)s%(filename)s: file not found%(host)s failed%(host)s failed: %(error)s%(info)s%(key)s cannot be deleted because %(label)s %(dependent)s requires it%(key)s cannot be deleted or disabled because it is the last member of %(label)s %(container)s%(label)s %(key)s cannot be deleted/modified: %(reason)s%(line)s%(name)s certificate is not valid%(oname)s with name "%(pkey)s" already exists%(operation)s is not supported for %(principal_type)s principals%(parent)s: %(oname)s not found%(pkey)s: %(oname)s not found%(port)s is not a valid port%(reason)s%(subject)s: Malformed certificate. %(reason)s%(task)s LDAP task timeout, Task DN: '%(task_dn)s'%(user)s is not a POSIX user%s%s Record%s is not a valid attribute.%s record%s to add%s to exclude from migration%s to remove%s: RADIUS proxy server not found%s: group not found%s: user is already preserved'${port}' is not a valid port'%(command)s' is deprecated. %(additional_info)s'%(entry)s' doesn't have a certificate.'%(name)s' is required'%(option)s' option is deprecated. %(additional_info)s'%(required)s' must not be empty when '%(name)s' is set'%s' is a required part of DNS record(deprecated)(see RFC %s for details). Check GID of the existing group. Use --group-overwrite-gid option to overwrite the GID7 is not a valid revocation reason<all IPA DNS servers><i class="fa fa-info-circle"></i> To log in with <strong>certificate</strong>, please make sure you have valid personal certificate. <i class="fa fa-info-circle"></i> To log in with <strong>username and password</strong>, enter them in the corresponding fields, then click 'Log in'.<p>Implicit method (password) will be used if no method is chosen.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p><p>Per-user setting, overwrites the global setting if any option is checked.</p><p><strong>Password + Two-factor:</strong> LDAP and Kerberos allow authentication with either one of the authentication types but Kerberos uses pre-authentication method which requires to use armor ccache.</p><p><strong>RADIUS with another type:</strong> Kerberos always use RADIUS, but LDAP never does. LDAP only recognize the password and two-factor authentication options.</p>A SYSTEM permission may not be modified or removedA comma-separated list of fields to search in when searching for groupsA comma-separated list of fields to search in when searching for usersA description of this RADIUS proxy serverA description of this auto member ruleA description of this commandA description of this hostA description of this host-groupA description of this role-groupA dictionary representing an LDAP entryA group may not be a member of itselfA group may not be added as a member of itselfA host willing to act as a key exchangerA host willing to act as a mail exchangerA hostname which this alias hostname points toA list of ACI valuesA list of LDAP entriesA managed group cannot have a password policy.A problem was encountered when verifying that all members were %(verb)s: %(exc)sA string searched in all relevant object attributesAA CompromiseACIACI nameACI object.ACI of permission %s was not foundACI prefixACI prefix is requiredACI with name "%s" not foundACIsAD Trust setupAPI Version number was not sent, forward compatibility not guaranteed. Assuming server's API version, %(server_version)sAboutAccess DeniedAccess GrantedAccess granted: %sAccess this hostAccess timeAccessingAccountAccount SettingsAccount StatusAccount disabledAccount disabled: %(disabled)sActionsActivateActive Directory domain administratorActive Directory domain administrator's passwordActive Directory domain rangeActive Directory trust range with POSIX attributesActive zoneAddAdd Class of Service entryAdd Custom Authentication IndicatorAdd Kerberos Principal AliasAdd ManyAdd a manager to the user entryAdd a new HBAC service group.Add a new HBAC service.Add a new IPA location.Add a new IPA new service.Add a new IPA service.Add a new OTP token.Add a new RADIUS proxy server.Add a new SMB service.Add a new YubiKey OTP token.Add a new delegation.Add a new group password policy.Add a new host.Add a new hostgroup.Add a new netgroup.Add a new permission.Add a new privilege.Add a new role.Add a new self-service permission.Add a new stage user.Add a new user.Add a permission for per-forward zone access delegation.Add a permission for per-zone access delegation.Add a system permission without an ACIAdd a system permission without an ACI (internal command)Add an attribute/value pair. Format is attr=value. The attribute
must be part of the schema.Add an option to the Sudo Rule.Add and Add AnotherAdd and CloseAdd and EditAdd certificates to host entryAdd commands and sudo command groups affected by Sudo Rule.Add custom valueAdd domainAdd group for Sudo to execute as.Add hosts and hostgroups affected by Sudo Rule.Add hosts that can manage this host.Add hosts that can manage this service.Add members to Sudo Command Group.Add members to a group.Add members to a hostgroup.Add members to a netgroup.Add members to a permission.Add members to a privilege.Add members to a role.Add members to an HBAC service group.Add migrated users without a group to a default group (default: true)Add new DNS resource record.Add new certificates to a serviceAdd new principal alias to a serviceAdd new principal alias to host entryAdd new principal alias to the user entryAdd one or more certificate mappings to the user entry.Add one or more certificates to the user entryAdd permissions to a privilege.Add privileges to a role.Add services to an HBAC rule.Add target hosts and hostgroups to an HBAC rule.Add target hosts and hostgroups to an SELinux User Map rule.Add the host to DNS with this IP addressAdd to default groupAdd users and groups affected by Sudo Rule.Add users and groups for Sudo to execute as.Add users and groups to an HBAC rule.Add users and groups to an SELinux User Map rule.Add users that can manage this token.Added %(map)sAdded %(src)s to %(dst)sAdded Active Directory trust for realm "%(value)s"Added Certificate Identity Mapping Rule "%(value)s"Added HBAC rule "%(value)s"Added HBAC service "%(value)s"Added HBAC service group "%(value)s"Added ID range "%(value)s"Added IPA location "%(value)s"Added OTP token "%(value)s"Added RADIUS proxy server "%(value)s"Added SELinux User Map "%(value)s"Added Sudo Command "%(value)s"Added Sudo Command Group "%(value)s"Added Sudo Rule "%(value)s"Added automember rule "%(value)s"Added automount indirect map "%(value)s"Added automount key "%(value)s"Added automount location "%(value)s"Added automount map "%(value)s"Added certificates to host "%(value)s"Added certificates to service principal "%(value)s"Added certificates to user "%(value)s"Added condition(s) to "%(value)s"Added delegation "%(value)s"Added group "%(value)s"Added host "%(value)s"Added hostgroup "%(value)s"Added netgroup "%(value)s"Added new aliases to host "%(value)s"Added new aliases to the service principal "%(value)s"Added new aliases to user "%(value)s"Added option "%(option)s" to Sudo Rule "%(rule)s"Added permission "%(value)s"Added privilege "%(value)s"Added role "%(value)s"Added selfservice "%(value)s"Added service "%(value)s"Added stage user "%(value)s"Added system permission "%(value)s"Added user "%(value)s"Additional instructions:Administrator e-mail addressAdvertised by serversAffiliation ChangedAgreements deletedAlgorithmAll attributes to which the permission appliesAll commands should at least have a resultAll nameservers failed to answer the query for DNS reverse zone %(revdns)sAll target filters, including those implied by type and memberofAllowAllow PTR syncAllow access from the trusted domainAllow adding external non-IPA members from trusted domainsAllow dynamic updates.Allow host groups to create keytab of '${primary_key}'Allow host groups to retrieve keytab of '${primary_key}'Allow hosts to create keytab of '${primary_key}'Allow hosts to retrieve keytab of '${primary_key}'Allow in-line DNSSEC signingAllow inline DNSSEC signing of records in the zoneAllow queryAllow synchronization of forward (A, AAAA) and reverse (PTR) recordsAllow synchronization of forward (A, AAAA) and reverse (PTR) records in the zoneAllow transferAllow use of IPA resources by the domain of the trustAllow user groups to create keytab of '${primary_key}'Allow user groups to retrieve keytab of '${primary_key}'Allow users to create keytab of '${primary_key}'Allow users to retrieve keytab of '${primary_key}'Allow users, groups, hosts or host groups to create a keytab of this host.Allow users, groups, hosts or host groups to create a keytab of this service.Allow users, groups, hosts or host groups to retrieve a keytab of this host.Allow users, groups, hosts or host groups to retrieve a keytab of this service.Allowed to create keytabAllowed to retrieve keytabAllows migration despite the usage of compat pluginAlready registeredAltitudeAn error has occurred (${error})An id range already exists for this trust. You should either delete the old range, or exclude --base-id/--range-size options from the command.An interval between regular polls of the name server for new DNS zonesAny CommandAny GroupAny HostAny ServiceAnyoneApplyApply ACI to your own entry (self)Archive data into a vault.Are you sure you want to ${action} the user?<br/>The change will take effect immediately.Are you sure you want to delete ${object}?Are you sure you want to delete selected entries?Are you sure you want to disable ${object}?Are you sure you want to enable ${object}?Are you sure you want to proceed with the action?Are you sure you want to unprovision this host?Are you sure you want to unprovision this service?Arguments to details functionAs WhomAsks for a non-random password to use for the principalAssigned ID ViewAssigned manager of the token (default: self)Assigned user of the token (default: self)AttributeAttribute KeyAttribute to filter via regex. For example fqdn for a host, or manager for a userAttributesAttributes to be ignored for group entries in DSAttributes to be ignored for user entries in DSAttributes to which the delegation appliesAttributes to which the permission appliesAttributes to which the permission applies by defaultAttributes to which the permission applies.AuditAuthenticatingAuthentication IndicatorsAuthentication indicatorAuthentication indicatorsAuthentication with Kerberos failedAuthentication with personal certificate failedAuthoritative nameserverAuthoritative nameserver domain nameAuthority IDAuto Membership RuleAuto Membership is not configuredAuto member rule: %s not found!Automatic update of DNS system records failed. Please re-run update of system records manually to get list of missing records.Automember RuleAutomember rebuild membership task completedAutomountAutomount KeyAutomount KeysAutomount LocationAutomount Location SettingsAutomount LocationsAutomount MapAutomount MapsAutomount key name.Automount key object.Automount location name.Automount map name.Automount master file.AvailableBIND update policyBackBack to TopBad format in credentials cacheBad or unsupported salt type.
Bad search filterBad search filter %(info)sBase DNBase DN on remote LDAP serverBase for certificate subjects (OU=Test,O=Example)Base-64 encoded certificate.Base-64 encoded host certificateBase-64 encoded server certificateBase-64 encoded service certificateBase-64 encoded user certificateBase64 decoding failed: %(reason)sBinary data to archiveBind DNBind rule typeBrief description of this profileCACA CompromiseCA certificateCA is not configuredCNAME record is not allowed to coexist with any other record (RFC 1034, section 3.6.2)CSRCancelCannot create reverse record for "%(value)s": %(exc)sCannot decode file '%(filename)s': %(exc)sCannot establish a trust to AD deployed in the same domain as IPA. Such setup is not supported.Cannot hide CA renewal master.Cannot hide DNSSec key master.Cannot hide last enabled %(name)s server.Cannot perform SID validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform external member validation without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA on the serverCannot perform join operation without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot perform the selected command without Samba 4 instance configured on this machine. Make sure you have run ipa-adtrust-install on this server.Cannot perform the selected command without Samba 4 support installed. Make sure you have installed server-trust-ad sub-package of IPA.Cannot query Directory Manager with APICannot read file '%(filename)s': %(exc)sCannot resolve KDC for requested realmCannot search in trusted domains without own domain configured. Make sure you have run ipa-adtrust-install on the IPA server firstCannot specify both SASL mechanism and bind DN simultaneously.
Cannot specify server and LDAP uri simultaneously.
Cannot store permission ACI to %sCannot use %(old_name)s with %(new_name)sCar LicenseCertificateCertificate Association DataCertificate AuthoritiesCertificate AuthorityCertificate HoldCertificate Identity Mapping Global ConfigurationCertificate Identity Mapping RuleCertificate Identity Mapping Rule descriptionCertificate Identity Mapping Rule nameCertificate Identity Mapping RulesCertificate Identity Mapping configuration optionsCertificate ProfileCertificate ProfilesCertificate RevokedCertificate Subject baseCertificate TypeCertificate UsageCertificate chainCertificate for ${entity} ${primary_key}Certificate format error: %(error)sCertificate operation cannot be completed: %(error)sCertificate profiles cannot be renamedCertificate(s) stored in file '%(file)s'Certificate/CRLCertificatesCessation of OperationChange passwordChanged password for "%(value)s"Changed server state of "%(value)s".Character classesCheck connection to remote IPA server.Check the status of a certificate signing request.Checking if record exists.Checks if any of the servers has the DNS service enabled.CityClassClass of Service object used for linking policies with groupsClearClear all fields on the page.Click to ${action}Client credentials may be delegated to the serviceClient is not configured. Run ipa-client-install.Client version. Used to determine if server will accept request.Clock intervalClock offsetCloseClosing keytab failed
Collapse AllComma separated encryption types listComma-separated list of attributesComma-separated list of permissions to grant (read, write, add, delete, all)Command '%(name)s' has been deprecatedCommand categoryCommand category the rule applies toCommand nameCommand not implementedCommandsCommon NameConditions that could not be addedConditions that could not be removedConfigurationConfigured administrative server limit exceededConfigured size limit exceededConfigured time limit exceededConfirmationConsecutive failures before lockoutConsume an entitlement.Contact SettingsContact this specific KDC ServerContinueContinue to next pageContinuous mode: Don't stop on errors.Continuous operation mode. Errors are reported but the process continuesContinuous operation mode. Errors are reported but the process continues.Could not get %(name)s interactivelyCounterCreate Stage user in from a delete userCreate a CA.Create a new Certificate Identity Mapping Rule.Create a new HBAC rule.Create a new SELinux User Map.Create a new automount key.Create a new automount location.Create a new automount map.Create a new group.Create a new indirect mount point.Create a new vault.Create as a non-POSIX groupCreate dns recordCreate new ACI.Create new DNS forward zone.Create new DNS zone (SOA record).Create new Sudo Command Group.Create new Sudo Command.Create new Sudo Rule.Create reverseCreate reverse record for this IP AddressCreated ACI "%(value)s"Created CA "%(value)s"Creating record.Credentials cache permissions incorrectCross-realm trusts are not configured. Make sure you have run ipa-adtrust-install on the IPA server firstCurrent DNS record contents:
Current PasswordCurrent password is requiredCustom valueCustomizationDN of container for groups in DS relative to base DNDN of container for users in DS relative to base DNDN to bind as if not using kerberosDNSDNS Forward ZoneDNS Forward ZonesDNS Global ConfigurationDNS RR type "%s" is not supported by bind-dyndb-ldap pluginDNS Resource RecordDNS Resource RecordsDNS ZoneDNS Zone SettingsDNS ZonesDNS check failed: Expected {%(expected)s} got {%(got)s}DNS classDNS configuration optionsDNS forward zoneDNS forward zonesDNS forwarderDNS forwarder semantics changed since IPA 4.0.
You may want to use forward zones (dnsforwardzone-*) instead.
For more details read the docs.DNS is not configuredDNS label cannot be longer than 63 charactersDNS label cannot be longer that 63 charactersDNS record was deleted because it contained no data.DNS record(s) of host %(host)s could not be removed. (%(reason)s)DNS records can be only updated one at a timeDNS resource recordDNS resource record typeDNS resource recordsDNS reverse zone %(revzone)s for IP address %(addr)s is not managed by this serverDNS serverDNS server %(server)s does not support DNSSEC: %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s does not support EDNS0 (RFC 6891): %(error)s.
If DNSSEC validation is enabled on IPA server(s), please disable it.DNS server %(server)s: %(error)s.DNS serversDNS zoneDNS zone %(zone)s not foundDNS zone for each realmdomain must contain SOA or NS records. No records found for: %sDNS zone root record cannot be renamedDNS zonesDNSSEC support is experimental.
%(additional_info)sDNSSEC validation failed: %(error)s.
Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers.DS record must not be in zone apex (RFC 4035 section 2.4)DS record requires to coexist with an NS record (RFC 4592 section 4.6, RFC 4035 section 2.4)DataDebugging outputDefault attributesDefault e-mail domainDefault group for new usersDefault group for new users is not POSIXDefault group for new users not foundDefault group objectclassesDefault group objectclasses (comma-separated list)Default location of home directoriesDefault shellDefault shell for new usersDefault ticket policy could not be readDefault time to liveDefault user objectclassesDefault user objectclasses (comma-separated list)Default users groupDegrees LatitudeDegrees LongitudeDelegationDelegation nameDelegationsDeleteDelete %(name)s '%(value)s'?Delete ACI.Delete Class of Service entryDelete DNS forward zone.Delete DNS record entry.Delete DNS resource record.Delete DNS zone (SOA record).Delete IPA server.Delete Key, UnprovisionDelete Sudo Command Group.Delete Sudo Command.Delete Sudo Rule.Delete a Certificate Identity Mapping Rule.Delete a Certificate Profile.Delete a RADIUS proxy server.Delete a SELinux User Map.Delete a delegation.Delete a group password policy.Delete a host.Delete a hostgroup.Delete a netgroup.Delete a permission.Delete a privilege.Delete a role.Delete a self-service permission.Delete a stage user.Delete a trust.Delete a userDelete a user, keeping the entry available for future useDelete a user.Delete all associated recordsDelete all?Delete an HBAC rule.Delete an HBAC service group.Delete an ID range.Delete an IPA location.Delete an IPA service.Delete an OTP token.Delete an attribute/value pair. The option will be evaluated
last, after all sets and adds.Delete an automount key.Delete an automount location.Delete an automount map.Delete an existing HBAC service.Delete domainDelete group.Deleted ACI "%(value)s"Deleted CA "%(value)s"Deleted Certificate Identity Mapping Rule "%(value)s"Deleted DNS forward zone "%(value)s"Deleted DNS zone "%(value)s"Deleted HBAC rule "%(value)s"Deleted HBAC service "%(value)s"Deleted HBAC service group "%(value)s"Deleted ID range "%(value)s"Deleted IPA location "%(value)s"Deleted IPA server "%(value)s"Deleted OTP token "%(value)s"Deleted RADIUS proxy server "%(value)s"Deleted SELinux User Map "%(value)s"Deleted Sudo Command "%(value)s"Deleted Sudo Command Group "%(value)s"Deleted Sudo Rule "%(value)s"Deleted automember rule "%(value)s"Deleted automount key "%(value)s"Deleted automount location "%(value)s"Deleted automount map "%(value)s"Deleted delegation "%(value)s"Deleted group "%(value)s"Deleted host "%(value)s"Deleted hostgroup "%(value)s"Deleted netgroup "%(value)s"Deleted permission "%(value)s"Deleted privilege "%(value)s"Deleted profile "%(value)s"Deleted record "%(value)s"Deleted role "%(value)s"Deleted selfservice "%(value)s"Deleted service "%(value)s"Deleted stage user "%(value)s"Deleted trust "%(value)s"Deleted user "%(value)s"Deleting a managed group is not allowed. It must be detached first.Deleting this server is not allowed as it would leave your installation without a CA.Deleting this server is not allowed as it would leave your installation without a KRA.Deleting this server will leave your installation without a DNS.DenyDeprecated optionsDeprecated; use %sDescribe currently authenticated identity.DescriptionDescription of the purpose of the CADetach a managed group from a user.Detached group "%(value)s" from user "%(value)s"Determine whether Schema Compatibility plugin is configured to serve trusted domain users and groupsDetermine whether ipa-adtrust-install has been run on this systemDetermine whether ipa-adtrust-install has been run with sidgen taskDict of I18N messagesDict of JSON encoded IPA CommandsDict of JSON encoded IPA MethodsDict of JSON encoded IPA ObjectsDictionary mapping variable name to valueDigestDigest TypeDigitsDirectDirect MembershipDirection LatitudeDirection LongitudeDisableDisable DNS Forward Zone.Disable DNS Zone.Disable a CA.Disable a Certificate Identity Mapping Rule.Disable a Sudo Rule.Disable a user account.Disable an HBAC rule.Disable an SELinux User Map rule.Disable per-user overrideDisable the Kerberos key and SSL certificate of a service.Disable the Kerberos key, SSL certificate and all services of a host.Disable use of IPA resources by the domain of the trustDisabledDisabled CA "%(value)s"Disabled Certificate Identity Mapping Rule "%(value)s"Disabled DNS forward zone "%(value)s"Disabled DNS zone "%(value)s"Disabled HBAC rule "%(value)s"Disabled SELinux User Map "%(value)s"Disabled Sudo Rule "%s"Disabled host "%(value)s"Disabled service "%(value)s"Disabled trust domain "%(value)s"Disabled user account "%(value)s"Disallow host groups to create keytab of '${primary_key}'Disallow host groups to retrieve keytab of '${primary_key}'Disallow hosts to create keytab of '${primary_key}'Disallow hosts to retrieve keytab of '${primary_key}'Disallow user groups to create keytab of '${primary_key}'Disallow user groups to retrieve keytab of '${primary_key}'Disallow users to create keytab of '${primary_key}'Disallow users to retrieve keytab of '${primary_key}'Disallow users, groups, hosts or host groups to create a keytab of this host.Disallow users, groups, hosts or host groups to create a keytab of this service.Disallow users, groups, hosts or host groups to retrieve a keytab of this host.Disallow users, groups, hosts or host groups to retrieve a keytab of this service.Display Class of Service entryDisplay DNS resource.Display Sudo Command Group.Display Sudo Command.Display Sudo Rule.Display a single ACI given an ACI name.Display an automount key.Display an automount location.Display an automount map.Display current entitlements.Display effective policy for a specific userDisplay information about a Certificate Identity Mapping Rule.Display information about a DNS forward zone.Display information about a DNS zone (SOA record).Display information about a RADIUS proxy server.Display information about a delegation.Display information about a host.Display information about a hostgroup.Display information about a named group.Display information about a netgroup.Display information about a permission.Display information about a privilege.Display information about a range.Display information about a role.Display information about a self-service permission.Display information about a trust.Display information about a user.Display information about an HBAC service group.Display information about an HBAC service.Display information about an IPA location.Display information about an IPA service.Display information about an OTP token.Display information about password policy.Display nameDisplay the access rights of this entry (requires --all). See ipa man page for details.Display the current Kerberos ticket policy.Display the list of realm domains.Display the properties of a CA.Display the properties of a Certificate Profile.Display the properties of a SELinux User Map rule.Display the properties of an HBAC rule.Display user record for current Kerberos principalDo not display QR codeDo not update records only return expected recordsDo you want to remove kerberos alias ${alias}?Dogtag Authority IDDomainDomain '%(domain)s' is not a root domain for forest '%(forest)s'Domain GUIDDomain NetBIOS nameDomain SID of the trusted domainDomain Security IdentifierDomain controller for the Active Directory domain (optional)Domain enabledDomain nameDomain where the user entry will be searchedDon't create user private groupDownloadDownload certificate as PEM formatted file.Dry runDuplicate keys skipped:Duplicate maps skipped:Dynamic updateEditEdit ${entity}Effective attributesEmail addressEmployee InformationEnableEnable DNS Forward Zone.Enable DNS Zone.Enable a CA.Enable a Certificate Identity Mapping Rule.Enable a Sudo Rule.Enable a user account.Enable an HBAC rule.Enable an SELinux User Map rule.Enable migration modeEnable or Disable Anonymous PKINIT.EnabledEnabled CA "%(value)s"Enabled Certificate Identity Mapping Rule "%(value)s"Enabled DNS forward zone "%(value)s"Enabled DNS zone "%(value)s"Enabled HBAC rule "%(value)s"Enabled SELinux User Map "%(value)s"Enabled Sudo Rule "%s"Enabled server rolesEnabled trust domain "%(value)s"Enabled user account "%(value)s"Encryption types to requestEnctype comparison failed!
EnrollmentEnrollment UUIDEnrollment UUID (not implemented)Enrollment failed. %s
Enter %(label)s again to verify: EntryEntry %s does not existEntry %s not foundErrorError changing account statusError getting default Kerberos realm: %s.
Error obtaining initial credentials: %s.
Error parsing "%1$s": %2$s.
Error resolving keytab: %s.
Error storing creds in credential cache: %s.
Establish bi-directional trust. By default trust is inbound one-way only.Establish external trust to a domain in another forest. The trust is not transitive beyond the domain.Exceeded number of tries to forward a request.ExchangerExcluded attributesExclusive RegexExpand AllExpanding buffer in jsonrpc_handle_response failedExpires OnExport plugin meta-data for the webUI.ExpressionExternalExternal Group the commands can run as (sudorule-find only)External UserExternal User the commands can run as (sudorule-find only)External User the rule applies to (sudorule-find only)External hostExternal memberExternal trustExtra hashes to generate in password plug-inExtra target filterFailed CAsFailed RunAsFailed RunAsGroupFailed allowed to create keytabFailed allowed to retrieve keytabFailed hosts/hostgroupsFailed loginsFailed managedbyFailed membersFailed ownersFailed profilesFailed service/service groupsFailed source hosts/hostgroupsFailed targetsFailed to addFailed to add key to the keytab
Failed to add user to the default group. Use 'ipa group-add-member' to add manually.Failed to authenticate to CA REST APIFailed to bind to server!
Failed to clean memberPrincipal %(principal)s from s4u2proxy entry %(dn)s: %(err)sFailed to clean up Custodia keys for %(master)s: %(err)sFailed to clean up DNA hostname entries for %(master)s: %(err)sFailed to cleanup %(hostname)s DNS entries: %(err)sFailed to cleanup server principals/keys: %(err)sFailed to close the keytab
Failed to connect to sssd over SystemBus. See details in the error_logFailed to create control!
Failed to create key material
Failed to create key!
Failed to create random key!
Failed to decode control reply!
Failed to find users over SystemBus.  See details in the error_logFailed to get keytab
Failed to get keytab!
Failed to get result: %s
Failed to open Keytab
Failed to open config file %s
Failed to open keytab
Failed to open keytab '%1$s': %2$s
Failed to parse config file %s
Failed to parse extended result: %s
Failed to parse result: %s
Failed to removeFailed to remove server %(master)s from server list: %(err)sFailed to resolve symlink to keytab.
Failed to retrieve any keysFailed to retrieve encryption type %1$s (#%2$d)
Failed to retrieve encryption type type #%d
Failed to set cursor '%1$s'
Failed users/groupsFailure decoding Certificate Signing Request: %sFailure reset intervalFallback primary groupFalseFalse if migration fails because the compatibility plug-in is enabled.False if migration mode was disabled.Fax NumberFetching domains from trusted forest failed. See details in the error_logFile %(file)s not foundFile containing data to archiveFile containing profile configurationFile containing the new vault passwordFile containing the new vault public keyFile containing the old vault passwordFile containing the old vault private keyFile containing the vault passwordFile containing the vault public keyFile to load the certificate fromFile to load the certificate from.File to store the certificate in.Filename is emptyFilename of a raw profile. The XML format is not supported.FilterFilter available ${other_entity}FindFind a server role on a server(s)FingerprintFingerprint (SHA1)Fingerprint (SHA256)Fingerprint TypeFingerprintsFirst CodeFirst Posix ID of the rangeFirst Posix ID of the range reserved for the trusted domainFirst RID of the corresponding RID rangeFirst RID of the secondary RID rangeFirst date/time the token can be usedFirst nameFlagsFollowing segments were not deleted:ForceForce DNS zone creation even if it will overlap with an existing zone.Force DNS zone creation even if nameserver is not resolvable.Force DNS zone creation even if nameserver is not resolvable. (Deprecated)Force adding domain even if not in DNSForce nameserver change even if nameserver not in DNSForce server removalForce server removal even if it does not existForce the host join. Rejoin even if already joined.Forcing removal of %(hostname)sForest '%(forest)s' has existing trust to forest(s) %(domains)s which prevents a trust to '%(conflict)s'Forward policyForward policy is defined for it in IPA DNS, perhaps forwarder points to incorrect host?Forward to server instead of running locallyForward zones onlyForwarding policy conflicts with some automatic empty zones. Queries for zones specified by RFC 6303 will ignore forwarding and recursion and always result in NXDOMAIN answers. To override this behavior use forward policy 'only'.Found '%(value)s'Full nameFully Qualified Host NameFunction to get detailsGIDGID (use this option to set it manually)GSSAPI|EXTERNALGeneralGenerate a random password to be used in bulk enrollmentGenerate automount files for a specific location.GetGlobal DNS configuration is emptyGlobal Trust ConfigurationGlobal forwardersGlobal forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Global forwarding policy. Set to "none" to disable any configured global forwarders.Granted rightsGranted to PrivilegeGranting privilege to rolesGroupGroup '%s' does not existGroup ID NumberGroup OptionsGroup SettingsGroup TypeGroup containerGroup descriptionGroup nameGroup object classGroup to apply ACI toGrouping TypeGrouping to which the rule appliesGroupsGroups allowed to create keytabGroups allowed to retrieve keytabGroups of RunAs UsersHBAC RuleHBAC Rule that defines the users, groups and hostgroupsHBAC RulesHBAC ServiceHBAC Service GroupHBAC Service GroupsHBAC ServicesHBAC TestHBAC ruleHBAC rule %(rule)s not foundHBAC rule and local members cannot both be setHBAC rulesHBAC serviceHBAC service descriptionHBAC service groupHBAC service group descriptionHBAC service groupsHBAC servicesHOTP Authentication WindowHOTP Synchronization WindowHOTP authentication skip-aheadHOTP synchronization skip-aheadHTTP ErrorHardware MAC address(es) on this hostHardware platform of the host (e.g. Lenovo T61)Hello worldHideHide detailsHide details which rules are matched, not matched, or invalidHistory sizeHome directoryHome directory baseHorizontal PrecisionHostHost '%(host)s' not foundHost '%(hostname)s' does not have corresponding DNS A/AAAA recordHost CertificateHost GroupHost Group SettingsHost GroupsHost Groups allowed to create keytabHost Groups allowed to retrieve keytabHost NameHost SettingsHost categoryHost category (semantics placed on this attribute are for local interpretation)Host category the rule applies toHost hardware platform (e.g. "Lenovo T61")Host is already joined.
Host locality (e.g. "Baltimore, MD")Host location (e.g. "Lab 2")Host nameHost operating system and version (e.g. "Fedora 9")Host-based access control commandsHost-groupHostnameHostname (FQDN)Hostname of this serverHostsHosts allowed to create keytabHosts allowed to retrieve keytabHow long should negative responses be cachedID RangeID RangesID range for the trusted domain already exists, but it has a different type. Please remove the old range manually, or do not enforce type via --range-type option.ID range type, one of allowed valuesID range with the same name but different domain SID already exists. The ID range for the new trusted domain must be created manually.IP AddressIP address %(ip)s is already assigned in domain %(domain)s.IP network to create reverse zone name fromIPA AD trust agentsIPA AD trust controllersIPA CA cannot be deletedIPA CA cannot be disabledIPA CA certificateIPA DNS recordsIPA DNS serversIPA DNS versionIPA DNSSec key masterIPA ErrorIPA LocationIPA Location descriptionIPA LocationsIPA Range type must be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is specifiedIPA Range type must not be one of ipa-ad-trust or ipa-ad-trust-posix when SID of the trusted domain is not specified.IPA ServerIPA Server RoleIPA Server RolesIPA Server to useIPA ServersIPA does not manage the zone %(zone)s, please add records to your DNS server manuallyIPA location nameIPA location recordsIPA manages DNS, please verify your DNS configuration and make sure that service records of the '{domain}' domain can be resolved. Examples how to configure DNS with CLI commands or the Web UI can be found in the documentation. IPA namingContext not found
IPA role nameIPA server configured as DNSSec key masterIPA server domain cannot be deletedIPA server domain cannot be omittedIPA server hostnameIPA server role nameIPA servers configured as AD trust agentsIPA servers configured as AD trust controllersIPA unique IDIdentityIdentity SettingsIf the problem persists please contact the system administrator.Ignore check for last remaining CA or DNS serverIgnore compat pluginIgnore group attributeIgnore group object classIgnore topology connectivity problems after removalIgnore topology errorsIgnore user attributeIgnore user object classIgnored %(src)s to %(dst)sIgnored keys:Ignoring these warnings and proceeding with removalIgnoring topology connectivity errors.Import a Certificate Profile.Import an entitlement certificate.Import automount files for a specific location.Imported keys:Imported maps:Imported profile "%(value)s"Include DisabledInclude EnabledInclude IPA master entriesInclude all disabled IPA rules into testInclude all enabled IPA rules into test [default]Include certificate chain in outputIncluded attributesInclusive RegexIncompatible options provided (-r and -P)
IndirectIndirect Member HBAC serviceIndirect Member HBAC service groupIndirect Member groupsIndirect Member host-groupsIndirect Member hostsIndirect Member netgroupsIndirect Member of rolesIndirect Member permissionsIndirect Member usersIndirect MembershipInherited from server configurationInitial counter for the HOTP tokenInitialsInput fileInput filenameInput form contains invalid or missing values.Insufficient 'add' privilege for entry '%s'.Insufficient 'write' privilege to the 'krbLastPwdChange' attribute of entry '%s'.Insufficient access: %(info)sInsufficient privilege to delete a CA.Insufficient privilege to modify a CA.Insufficient privilege to modify a certificate profile.Internal ErrorInternationalization messagesInvalid JSON-RPC request: %(error)sInvalid LDAP URI.Invalid SASL bind mechanism
Invalid Service Principal Name
Invalid credentialsInvalid number of parts!Invalid or unsupported type. Allowed values are: %sInvalid or unsupported vault public key: %sIs zone active?IssueIssued ByIssued OnIssued ToIssuerIssuer DNIssuer Distinguished NameIt is used only for setting the SOA MNAME attribute.JSON-RPC request:
%s
Job TitleJoin an IPA domainKerberos Credential Cache not found. Do you have a Kerberos Ticket?
Kerberos KeyKerberos Key Not PresentKerberos Key Present, Host ProvisionedKerberos Key Present, Service ProvisionedKerberos Principal you entered is expiredKerberos Service Principal NameKerberos Ticket PolicyKerberos User Principal not found. Do you have a valid Credential Cache?
Kerberos context initialization failed
Kerberos context initialization failed: %1$s (%2$d)
Kerberos error: %(major)s/%(minor)sKerberos keys availableKerberos principalKerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Kerberos principal name for this hostKeyKey CompromiseKey TagKeytabKeytab File NameKeytab successfully retrieved and stored in: %s
LDAP DNLDAP SASL bind mechanism if no bindd/bindpwLDAP URILDAP URI of DS server to migrate fromLDAP basednLDAP passwordLDAP password (if not using Kerberos)LDAP schemaLDAP search scope for users and groups: base, onelevel, or subtree. Defaults to onelevelLDAP timeoutLDAP uri to connect to. Mutually exclusive with --serverLast date/time the token can be usedLast failed authenticationLast nameLast successful authenticationLeading and trailing spaces are not allowedLegal LDAP filter (e.g. ou=Engineering)Length of TOTP token code validityList of IPA masters configured as DNS serversList of deletions that failedList of enabled rolesList of servers which advertise the given locationList of trust domains successfully refreshed. Use trustdomain-find command to list them.Lists of objects migrated; categorized by type.Lists of objects that could not be migrated; categorized by type.Load CA certificate of LDAP server from FILELoadingLoading dataLocalityLocationLocation nameLocation of the ACILockout durationLog In Using CertificateLog inLog in using personal certificateLog outLogged In AsLogin failed due to an unknown reasonLogin shellLower number means higher priority. Clients will attempt to contact the URI with the lowest-numbered priority they can reach.Lower number means higher priority. Clients will attempt to contact the server with the lowest-numbered priority they can reach.MAC addressMS-PACMailing AddressMalformed DNMalformed principalMalformed principal: '%(value)s'Manage password policy for specific groupManage ticket policy for specific userManaged byManaged suffixesManagedby permissionManagerMapMap TypeMapping ruleMapping ruleset "%(ruleset)s" has more than one rule for the %(helper)s helperMark the token as disabled (default: false)Master fileMatchMatch users according to certificate.MatchedMatched rulesMatching TypeMatching ruleMax domain levelMax failuresMax lifeMax lifetime (days)Max renewMaximum amount of time (seconds) for a search (> 0, or -1 for unlimited)Maximum domain levelMaximum number of agreements per replicaMaximum number of entries returnedMaximum number of entries returned (0 is unlimited)Maximum number of records to search (-1 is unlimited)Maximum password lifetime (in days)Maximum renewable age (seconds)Maximum ticket life (seconds)Maximum username lengthMaximum value is ${value}May not be emptyMember HBAC serviceMember HBAC service groupsMember HostMember Sudo commandsMember groupsMember host-groupsMember hostsMember netgroupsMember ofMember of a groupMember of groupMember of groupsMember of host-groupsMember of netgroupsMember service groupsMember servicesMember user groupMember usersMembers of a trusted domain in DOM\name or name@domain formMembers that could not be addedMembers that could not be removedMigrateMigrate users and groups from DS to IPA.Migration mode is disabled.
Use 'ipa config-mod --enable-migration=TRUE' to enable it.Migration of LDAP search reference is not supported.Min domain levelMin lengthMin lifetime (hours)Minimum domain levelMinimum length of passwordMinimum number of character classesMinimum password lifetime (in hours)Minimum value is ${value}Minutes LatitudeMinutes LongitudeMisc. InformationMissing new vault public keyMissing or invalid HTTP Referer, %(referer)sMissing reply control list!
Missing reply control!
Missing values: Missing vault public keyMobile Telephone NumberModelModified "%(value)s" trust configurationModified ACI "%(value)s"Modified CA "%(value)s"Modified Certificate Identity Mapping Rule "%(value)s"Modified Certificate Profile "%(value)s"Modified HBAC rule "%(value)s"Modified HBAC service "%(value)s"Modified HBAC service group "%(value)s"Modified ID range "%(value)s"Modified IPA location "%(value)s"Modified IPA server "%(value)s"Modified OTP token "%(value)s"Modified RADIUS proxy server "%(value)s"Modified SELinux User Map "%(value)s"Modified Sudo Command "%(value)s"Modified Sudo Command Group "%(value)s"Modified Sudo Rule "%(value)s"Modified automember rule "%(value)s"Modified automount key "%(value)s"Modified automount map "%(value)s"Modified delegation "%(value)s"Modified group "%(value)s"Modified host "%(value)s"Modified hostgroup "%(value)s"Modified netgroup "%(value)s"Modified permission "%(value)s"Modified privilege "%(value)s"Modified role "%(value)s"Modified selfservice "%(value)s"Modified service "%(value)s"Modified stage user "%(value)s"Modified trust "%(value)s" (change will be effective in 60 seconds)Modified user "%(value)s"Modify %(name)s '%(value)s'?Modify ACI.Modify CA configuration.Modify Certificate Identity Mapping configuration.Modify Certificate Profile configuration.Modify Class of Service entryModify DNS forward zone.Modify DNS zone (SOA record).Modify ID range.Modify ID range.

Modify Kerberos ticket policy.Modify OTP configuration options.Modify Sudo Command Group.Modify Sudo Command.Modify Sudo Rule.Modify a Certificate Identity Mapping Rule.Modify a DNS resource record.Modify a OTP token.Modify a RADIUS proxy server.Modify a SELinux User Map.Modify a delegation.Modify a group password policy.Modify a group.Modify a hostgroup.Modify a netgroup.Modify a permission.Modify a privilege.Modify a role.Modify a self-service permission.Modify a stage user.Modify a user.Modify a vault.Modify an HBAC rule.Modify an HBAC service group.Modify an HBAC service.Modify an automount key.Modify an automount map.Modify an existing IPA service.Modify configuration options.Modify global DNS configuration.Modify global trust configuration.Modify information about a host.Modify information about an IPA location.Modify information about an IPA server.Modify trustdomain of the trustMore than one entry with key %(key)s found, use --info to select specific entry.Mount informationMount pointMove deleted user into staged areaMust be an integerNIS domain nameNONE value cannot be combined with other PAC typesNS record is not allowed to coexist with an %(type)s record except when located in a zone root record (RFC 2181, section 6.1)NS record(s) can be edited in zone apex - '@'. NSEC3PARAM recordNSEC3PARAM record for zone in format: hash_algorithm flags iterations saltNameName for referencing the CAName of command to exportName of host-groupName of method to exportName of object to exportName of parent automount map (default: auto.master).Name of the trusted domainNameserver '%(host)s' does not have a corresponding A/AAAA recordNameserver for reverse zone cannot be a relative DNS nameNeither --del-all nor options to delete a specific record provided.
Command help may be consulted for all supported record types.Nested Methods to executeNetBIOS nameNetgroupNetgroup SettingsNetgroup descriptionNetgroup nameNetgroupsNew ACI nameNew CertificateNew PasswordNew Principal PasswordNew TestNew kerberos principal aliasNew mount informationNew public key specified multiple timesNew vault passwordNextNo A, AAAA, SSHFP or PTR records found.No DNS servers in IPA location %(location)s. Without DNS servers location is not working as expected.No DNSSEC key master is installed. DNSSEC zone signing will not work until the DNSSEC key master is installed.No Valid CertificateNo credentials cache foundNo entries.No file to readNo free YubiKey slot!No keys accepted by KDC
No matching entries foundNo option to delete specific record provided.No option to modify specific record provided.No permission to join this host to the IPA domain.
No responseNo such virtual commandNo system preferred enctypes ?!
No values for %sNo write permissions on keytab file '%s'
Non-2xx response from CA REST API: %(status)d. %(explanation)sNon-existent or invalid rulesNot AfterNot BeforeNot a managed groupNot a valid IP addressNot a valid IPv4 addressNot a valid IPv6 addressNot allowed on non-leaf entryNot enough arguments specified to perform trust setupNot matched rulesNot registered yetNoteNumber of IDs in the rangeNumber of conditions addedNumber of conditions removedNumber of days's notice of impending password expirationNumber of digits each token code will haveNumber of entries returnedNumber of members addedNumber of members removedNumber of permissions addedNumber of permissions removedNumber of plugins loadedNumber of privileges addedNumber of privileges removedNumber of variables returned (<= total)OKOTPOTP ConfigurationOTP TokenOTP TokensOTP configuration optionsOTP tokenOTP tokensObject class nameObjectclasses to be ignored for group entries in DSObjectclasses to be ignored for user entries in DSObjectclasses used to search for group entries in DSObjectclasses used to search for user entries in DSOld vault passwordOld vault private keyOne of group, permission or self is requiredOne time password commandsOnly one value is allowedOnly one zone type is allowed per zone nameOnly the ipa-ad-trust and ipa-ad-trust-posix are allowed values for --range-type when adding an AD trust.Operating System and version of the host (e.g. Fedora 9)Operating systemOperation failed: %s
Operations ErrorOption rid-base must not be used when IPA range type is ipa-ad-trust-posixOptional DN subtree from where an entry can be moved (must be in the subtree, but may not yet exist)Optional DN subtree where an entry can be moved to (must be in the subtree, but may not yet exist)Optional DN to apply the permission to (must be in the subtree, but may not yet exist)OptionsOptions dom-sid and dom-name cannot be used togetherOptions dom-sid and rid-base must be used togetherOptions dom-sid and secondary-rid-base cannot be used togetherOptions dom-sid/dom-name and rid-base must be used togetherOptions dom-sid/dom-name and secondary-rid-base cannot be used togetherOptions secondary-rid-base and rid-base must be used togetherOrderOrg. UnitOrganizationOrganizational UnitOrigin DN subtreeOther Record TypesOut of Memory!
Out of memory
Out of memory 
Out of memory!Out of memory!
Out of memory!?
Output debug infoOutput filenameOutput only on errorsOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this serviceOverride default list of supported PAC types. Use 'NONE' to disable PAC support for this service, e.g. this might be necessary for NFS services.Override existing passwordOverride inherited settingsOverwrite GIDOwnerPAC typePADPKINITPKINIT statusPOSIXPagePager NumberPagination SizeParent mapParse all raw DNS records and return them in a structured wayPasswordPassword Expiration Notification (days)Password PoliciesPassword PolicyPassword can be specified only for symmetric vaultPassword cannot be set on enrolled host.Password change completePassword expirationPassword history sizePassword plugin featuresPassword specified multiple timesPassword used in bulk enrollmentPasswords do not matchPasswords do not match!Passwords do not match!
Passwords have been migrated in pre-hashed format.
IPA is unable to generate Kerberos keys unless provided
with clear text passwords. All migrated users need to
login at https://your.domain/ipa/migration/ before they
can use their Kerberos accounts.Passwords must matchPath to the IPA CA certificatePer-zone conditional forwarding policy. Set to "none" to disable forwarding to global forwarder for this zone. In that case, conditional zone forwarders are disregarded.Per-zone forwarders. A custom port can be specified for each forwarder using a standard format "IP_ADDRESS port PORT"Period after which failure count will be reset (seconds)Period for which lockout is enforced (seconds)PermissionPermission ACI grants access toPermission denied: %(file)sPermission flagsPermission namePermission typePermission valuePermission with unknown flag %s may not be modified or removedPermissionsPermissions to grant (read, write). Default is write.Permissions to grant(read, write, add, delete, all)Permitted Encryption TypesPing a remote server.PlatformPlease choose a type of DNS resource record to be addedPlease specify forwarders.Please try the following options:PolicyPortPositional argumentsPre-authentication is required for the servicePre-shared passwordPredefined profile '%(profile_id)s' cannot be deletedPreferencePreference given to this exchanger. Lower values are more preferredPrefix used to distinguish ACI types (permission, delegation, selfservice, none)Preserved userPrevPrimary RID range and secondary RID range cannot overlapPrimary key onlyPrincipalPrincipal %(principal)s cannot be authenticated: %(message)sPrincipal aliasPrincipal for this certificate (e.g. HTTP/test.example.com)Principal is not of the form user@REALM: '%(principal)s'Principal namePrint as little as possiblePrint debugging informationPrint entries as stored on the server. Only affects output format.Print the raw XML-RPC output in GSSAPI modePriorityPriority (order)Priority of the policy (higher number means lower priorityPriority of the rule (higher number means lower priorityPrivilegePrivilege SettingsPrivilege WithdrawnPrivilege descriptionPrivilege namePrivilegesProfile IDProfile ID '%(cli_value)s' does not match profile data '%(file_value)s'Profile ID for referring to this profileProfile configurationProfile configuration stored in file '%(file)s'Profile data specifies profileId multiple times: %(values)sProfile descriptionPrompt for LDAP passwordPrompt for the usernamePrompt for the username when multiple identities are mapped to a certificatePrompt to set the user passwordProspectiveProvisioningPublic key can be specified only for asymmetric vaultPublic key specified multiple timesQR code width is greater than that of the output tty. Please resize your terminal.QuantityQuery returned more results than the configured size limit. Displaying the first ${counter} results.Quick LinksQuiet mode. Only errors are displayed.RADIUSRADIUS ServerRADIUS ServersRADIUS proxy serverRADIUS proxy server nameRADIUS proxy server with name "%s" already existsRADIUS proxy serversREST API is not logged in.Random passwordRange nameRange typeRaw %s recordsRaw target filterRaw value of a DNS record was already set by "%(name)s" optionRe-established trust to domain "%(value)s"Re-sync the local entitlement cache with the entitlement server.Realm DomainsRealm administrator password should be specifiedRealm domainsRealm nameRealm-domain mismatchReasonReason for RevocationReason for revoking the certificate (0-10)Rebuild auto membershipRecommended maximum number of agreements per replica exceededRecord TypeRecord creation failed.Record dataRecord nameRecord not found.Record typeRecordsRecords for DNS ZoneRedirectionRefreshRefresh list of the domains associated with the trustRefresh the page.Register to the entitlement system.Registration passwordRegular ExpressionRelative record name '%(record)s' contains the zone name '%(zone)s' as a suffix, which results in FQDN '%(fqdn)s'. This is usually a mistake caused by a missing dot at the end of the name specification.Relative weight for entries with the same priority.Relative weight for server services (counts per location)Reload current settings from the server.Reload the browser.Remote IPA server hostnameRemote server nameRemoveRemove A, AAAA, SSHFP and PTR records of the host(s) managed by IPA DNSRemove Kerberos AliasRemove a manager to the user entryRemove a permission for per-forward zone access delegation.Remove a permission for per-zone access delegation.Remove all principals in this realmRemove an option from Sudo Rule.Remove certificates from a serviceRemove certificates from host entryRemove commands and sudo command groups affected by Sudo Rule.Remove entries from DNSRemove from CRLRemove group for Sudo to execute as.Remove holdRemove hosts and hostgroups affected by Sudo Rule.Remove hosts that can manage this host.Remove hosts that can manage this service.Remove information about the domain associated with the trust.Remove members from Sudo Command Group.Remove members from a group.Remove members from a hostgroup.Remove members from a netgroup.Remove members from a permission.Remove members from a role.Remove members from an HBAC service group.Remove one or more certificate mappings from the user entry.Remove one or more certificates to the user entryRemove permissions from a privilege.Remove principal alias from a host entryRemove principal alias from a serviceRemove principal alias from the user entryRemove privileges from a role.Remove service and service groups from an HBAC rule.Remove target hosts and hostgroups from an HBAC rule.Remove target hosts and hostgroups from an SELinux User Map rule.Remove users and groups affected by Sudo Rule.Remove users and groups for Sudo to execute as.Remove users and groups from an HBAC rule.Remove users and groups from an SELinux User Map rule.Remove users that can manage this token.Removed aliases from host "%(value)s"Removed aliases from user "%(value)s"Removed aliases to the service principal "%(value)s"Removed certificates from host "%(value)s"Removed certificates from service principal "%(value)s"Removed certificates from user "%(value)s"Removed condition(s) from "%(value)s"Removed information about the trusted domain "%(value)s"Removed option "%(option)s" from Sudo Rule "%(rule)s"Removed system permission "%(value)s"Removing %(servers)s from replication topology, please wait...Removing principal %s
RenameRename an ACI.Rename the %(ldap_obj_name)s objectRename the permission objectRenamed ACI to "%(value)s"ReplacementReplica is active DNSSEC key master. Uninstall could break your DNS system. Please disable or replace DNSSEC key master first.Replication agreement for %(hostname)s not foundReplication topology of suffix "%(suffix)s" contains errors.Replication topology of suffix "%(suffix)s" is in order.Report PKINIT status on the IPA mastersRequest failed with status %(status)s: %(reason)sRequest idRequest is missing "method"Request is missing "params"Request must be a dictRequest statusRequired fieldRequires pre-authenticationResetReset Kerberos ticket policy to the default values.Reset OTPReset PasswordReset Password and Log inResolve a host name in DNS.Resolve a host name in DNS. (Deprecated)Resolve security identifiers of users and groups in trusted domainsResponse from CA was not valid JSONRestoreResultResult of simulationResult of the commandResults are truncated, try a more specific searchResults should contain primary key attribute only ("%s")Results should contain primary key attribute only ("name")Results should contain primary key attribute only ("principal")Results should contain primary key attribute only ("sudocmdgroup-name")Results should contain primary key attribute only ("sudorule-name")RetriesRetrieve an existing certificate.Retrieve and print all attributes from the server. Affects command output.Retrieve current keys without changing themRetrieve the entitlement certs.Retrieving CA cert chain failed: %sRetrieving CA status failed with status %dRetrieving CA status failed: %sRetryRetrying with pre-4.0 keytab retrieval method...
Return to the main page and retry the operationReverse record for IP address %(ip)s already exists in reverse zone %(zone)s.Reverse zone %(name)s requires exactly %(count)d IP address components, %(user_count)d givenReverse zone IP networkRevertRevocation reasonRevokeRevoke a certificate.RevokedRightsRights to grant (read, search, compare, write, add, delete, all)RoleRole SettingsRole nameRole statusRolesRoot domain of the trust is always enabled for the existing trustRule nameRule statusRule typeRule type (allow)Rule used to check if a certificate can be used for authenticationRule used to map the certificate with a user entryRulesRules to test. If not specified, --enabled is assumedRun CommandsRun TestRun as a userRun as any user within a specified groupRun with the gid of a specified POSIX groupRunAs External GroupRunAs External UserRunAs Group categoryRunAs Group category the rule applies toRunAs GroupsRunAs User categoryRunAs User category the rule applies toRunAs UsersSASL Bind failed
SELinux UserSELinux User MapSELinux User Map ruleSELinux User Map rulesSELinux User MapsSELinux user %(user)s not found in ordering list (in config)SELinux user map list not found in configurationSHA1 FingerprintSIDSID blacklist incomingSID blacklist outgoingSID for the specified trusted domain name could not be found. Please specify the SID directly using dom-sid option.SID is not recognized as a valid SID for a trusted domainSID is not validSMB service NetBIOS nameSOA classSOA expireSOA minimumSOA record classSOA record expire timeSOA record refresh timeSOA record retry timeSOA record serial numberSOA refreshSOA retrySOA serialSSH public keySSH public key fingerprintSame as --%sSaveSchema is up to date (FP '%(fingerprint)s', TTL %(ttl)s s)SearchSearch OptionsSearch domains of the trustSearch for %1$s on rootdse failed with error %2$d
Search for CAs.Search for Certificate Identity Mapping Rules.Search for Certificate Profiles.Search for Class of Service entrySearch for DNS forward zones.Search for DNS resources.Search for DNS zones (SOA records).Search for HBAC rules.Search for HBAC services.Search for IPA locations.Search for IPA namingContext failed with error %d
Search for IPA servers.Search for IPA services.Search for OTP token.Search for RADIUS proxy servers.Search for SELinux User Maps.Search for Sudo Command Groups.Search for Sudo Commands.Search for Sudo Rule.Search for a netgroup.Search for a self-service permission.Search for an HBAC service group.Search for an automount key.Search for an automount location.Search for an automount map.Search for delegations.Search for entitlement accounts.Search for forward zones onlySearch for group password policies.Search for groups.Search for hostgroups.Search for hosts.Search for permissions.Search for privileges.Search for ranges.Search for roles.Search for services with these managed by hosts.Search for services without these managed by hosts.Search for trusts.Search for users.Search result has been truncated: %(reason)sSearch scopeSearch size limitSearch time limitSecond CodeSeconds LatitudeSeconds LongitudeSecretSecurity IdentifierSecurity Identifiers (SIDs)Select AllSelect entries to be removed.SelectorSelfSelf Service PermissionSelf Service PermissionsSelf-service nameSemantic of %(label)s was changed. %(current_behavior)s
%(hint)sSemicolon separated list of IP addresses or networks which are allowed to issue queriesSemicolon separated list of IP addresses or networks which are allowed to transfer the zoneSerialSerial NumberSerial Number (hex)Serial numberSerial number (hex)Serial number in decimal or if prefixed with 0x in hexadecimalServerServer "%(srv)s" has %(n)d agreements with servers:Server %(srv)s can't contact servers: %(replicas)sServer NameServer has already been deletedServer nameServer name not provided and unavailable
Server removal aborted: %(reason)s.Server stateServer will check DNS forwarder(s).ServersServers details:Servers in locationServers that belongs to the IPA locationServiceService %(service)s requires restart on IPA server %(server)s to apply configuration changes.Service '%(service)s' not found in Kerberos databaseService CertificateService GroupsService SettingsService categoryService category the rule applies toService group nameService nameService principalService principal aliasService principal for this certificate (e.g. HTTP/test.example.com)Service principal is not of the form: service/fully-qualified host name: %(reason)sService principal is requiredService relative weightService weightServicesSession errorSetSet OTPSet a user's password.Set an attribute to a name/value pair. Format is attr=value.
For multi-valued attributes, the command replaces the values already present.Set enabled/hidden state of a server.SettingsShared secret for the trustShowShow IPA server.Show ResultsShow all loaded plugins.Show detailsShow environment variables.Show global trust configuration.Show role status on a serverShow the current Certificate Identity Mapping configuration.Show the current OTP configuration.Show the current configuration.Show the current global DNS configuration.Show the list of permitted encryption types and exitShowing ${start} to ${end} of ${total} entries.Simple bind failed
Simulate use of Host-based access controlsSince IPA does not manage DNS records, ensure DNS is configured to resolve '{domain}' domain from IPA hosts and back.SizeSize LimitSize of the ID range reserved for the trusted domainSkip a check whether the last CA master or DNS server is removedSkip host checkSkipped %(key)sSkipped %(map)sSome entries were not deletedSome operations failed.Specified Commands and GroupsSpecified GroupsSpecified Hosts and GroupsSpecified Services and GroupsSpecified Users and GroupsSpecified trusted domain name could not be found.Specifies where to store keytab information.Specify external ${entity}Split DNS record to partsStageStage UserStage UsersStaged user account "%(value)s"Standard Record TypesStateState/ProvinceStatusStatus of the roleStore issued certificatesStreet addressStructuredSubjectSubject DNSubject DN is already used by CA '%s'Subject Distinguished NameSubmit a certificate signing request.SubtreeSubtree to apply ACI toSubtree to apply permissions toSubtypeSuccessSudoSudo Allow Command GroupsSudo Allow CommandsSudo CommandSudo Command GroupSudo Command GroupsSudo CommandsSudo Deny Command GroupsSudo Deny CommandsSudo OptionSudo RuleSudo RulesSudo orderSupersededSupported encryption types:
Synchronize an OTP token.Syntax Error: %(error)sSystem encoding must be UTF-8, '%(encoding)s' is not supported. Set LC_ALL="C.UTF-8", or LC_ALL="" and LC_CTYPE="C.UTF-8".TOTP Synchronization WindowTOTP authentication WindowTOTP authentication time variance (seconds)TOTP synchronization time variance (seconds)TOTP token / IPA server time differenceTake a revoked certificate off hold.TargetTarget DNTarget DN subtreeTarget Uniform Resource IdentifierTarget Uniform Resource Identifier according to RFC 3986Target groupTarget hostTarget members of a groupTarget members of a group (sets memberOf targetfilter)Target your own entry (self)Telephone NumberTest the ACI syntax but don't write anythingText DataText does not match field patternThe --domain option cannot be used together with --add-domain or --del-domain. Use --domain to specify the whole realm domain list explicitly, to add/remove individual domains, use --add-domain/del-domain.The ACI for permission %(name)s was not found in %(dn)s The IPA realmThe _kerberos TXT record from domain %(domain)s could not be created (%(error)s).
This can happen if the zone is not managed by IPA. Please create the record manually, containing the following value: '%(realm)s'The _kerberos TXT record from domain %(domain)s could not be removed (%(error)s).
This can happen if the zone is not managed by IPA. Please remove the record manually.The automount key %(key)s with info %(info)s does not existThe certificate for %(ca)s is not available on this server.The character %(char)r is not allowed.The default users group cannot be removedThe deny type has been deprecated.The domain %s is neither IPA domain nor a trusteddomain.The domain name of the target host or '.' if the service is decidedly not available at this domainThe domain(s) "%s" cannot be used to apply altSecurityIdentities check.The following domains do not belong to this realm: %(domains)sThe group doesn't existThe host '%s' does not exist to add a service to.The host was added but the DNS update failed with: %(reason)sThe hostname must be fully-qualified: %s
The hostname must not be: %s
The hostname or IP (with or without port)The hostname this reverse record points toThe hostname to register asThe key,info pair must be unique. A key named %(key)s with info %(info)s already existsThe keytab file to append the new key to (will be created if it does not exist).The keytab file to remove the principcal(s) fromThe mapping rule with altSecurityIdentities should be applied to a trusted Active Directory domain but no domain was associated with the rule.The most common types for this type of zone are: %s
The number of times to retry authenticationThe primary_key value of the entry, e.g. 'jdoe' for a userThe principal for this request doesn't exist.The principal to get a keytab for (ex: ftp/ftp.example.com@EXAMPLE.COM)The principal to remove from the keytab (ex: ftp/ftp.example.com@EXAMPLE.COM)The realm for the principal does not match the realm for this IPA serverThe realm of the following domains could not be detected: %(domains)s. If these are domains that belong to the this realm, please create a _kerberos TXT record containing "%(realm)s" in each of them.The schema used on the LDAP server. Supported values are RFC2307 and RFC2307bis. The default is RFC2307bisThe search criteria was not specific enough. Expected 1 and found %(found)d.The secret used to encrypt dataThe service is allowed to authenticate on behalf of a clientThe topic or command name.The total timeout across all retries (in seconds)The username attribute on the user objectThis command can not be used to change ID allocation for local IPA domain. Run `ipa help idrange` for more informationThis command relies on the existence of the "editors" group, but this group was not found.This command requires root accessThis entry already existsThis entry cannot be enabled or disabledThis entry is already a memberThis entry is already disabledThis entry is already enabledThis entry is not a memberThis group already allows external membersThis group cannot be posix because it is externalThis is already a posix groupThis is already a posix group and cannot be converted to external oneThis may take some time, please wait ...This page has unsaved changes. Please save or revert.Ticket expiredTicket policy for %s could not be readTime LimitTime limit of search in secondsTime limit of search in seconds (0 is unlimited)Time nowTime to liveTime to live for records at zone apexTime to live for records without explicit TTL definitionTimeoutTimeout exceeded.To establish trust with Active Directory, the domain name and the realm name of the IPA server must matchTo get command help, use:Token IDToken description (informational only)Token hash algorithmToken model (informational only)Token secret (Base32; default: random)Token serial (informational only)Token vendor name (informational only)Topic commands:Topic or CommandTopology does not allow server %(server)s to replicate with servers:Topology is disconnectedTotal number of variables env (>= count)TrueTrue if not all results were returnedTrue means the operation was successfulTrustTrust directionTrust statusTrust typeTrust type (ad for Active Directory, default)Trusted domainTrusted domain %(domain)s is included among IPA realm domains. It needs to be removed prior to establishing the trust. See the "ipa realmdomains-mod --del-domain" command.Trusted domain and administrator account use different realmsTrusted domainsTrusted for delegationTrusted to authenticate as userTrustsTwo factor authentication (password + OTP)Two-way trustTypeType of IPA object (sets subtree and objectClass targetfilter)Type of IPA object (user, group, host, hostgroup, service, netgroup, dns)Type of the tokenType of trusted domain ID range, one of allowed valuesUIDUPN suffixesURIURLUUIDUnable to communicate with CMSUnable to communicate with CMS (status %d)Unable to create private group. A group '%(group)s' already exists.Unable to determine IPA server from %s
Unable to determine if Kerberos principal %s already exists. Use 'ipa user-mod' to set it manually.Unable to determine root DN of %s
Unable to display QR code using the configured output encoding. Please use the token URI to configure your OTP deviceUnable to enable SSL in LDAP
Unable to generate Kerberos Credential Cache
Unable to initialize STARTTLS session
Unable to initialize ldap library!
Unable to join host: Kerberos Credential Cache not found
Unable to join host: Kerberos User Principal not found and host password not provided.
Unable to join host: Kerberos context initialization failed
Unable to parse principal
Unable to parse principal name
Unable to parse principal: %1$s (%2$d)
Unable to remove entry
Unable to resolve domain controller for {domain} domain. Unable to set LDAP_OPT_PROTOCOL_VERSION
Unable to set LDAP_OPT_X_SASL_NOCANON
Unable to set LDAP_OPT_X_TLS_REQUIRE_CERT
Unable to verify write permissions to the ADUndelete a delete user account.Undeleted user account "%(value)s"Unenroll this host from IPA serverUnenrollment failed.
Unenrollment successful.
Unique IDUnknownUnknown ErrorUnknown option: %(option)sUnlocked account "%(value)s"UnmatchedUnprovisionUnrecognized attributes: %(attrs)sUnresolved rules in --rulesUnrevokedUnsaved ChangesUnselect AllUnspecifiedUnsupported valueUpdateUpdate DNS entriesUpdate location and IPA server DNS recordsUpdate of system record '%(record)s' failed with error: %(error)sUserUser GroupUser GroupsUser IDUser ID Number (system will assign one if not provided)User OptionsUser attributeUser categoryUser category the rule applies toUser containerUser groupUser group ACI grants access toUser group to apply delegation toUser group to apply permissions toUser group to apply permissions to (sets target)User loginUser loginsUser nameUser object classUser passwordUser search fieldsUser-friendly description of action performedUser-specified attributes to which the permission appliesUser-specified attributes to which the permission explicitly does not applyUsernameUsersUsers allowed to create keytabUsers allowed to retrieve keytabValid Certificate PresentValidation errorValidityValidity endValidity startVault passwordVendorVerify PasswordVerify Principal PasswordVertical PrecisionVia ServiceViewWarningWarning unrecognized encryption type.
Warning unrecognized salt type.
Warning: failed to convert type (#%d)
Warning: salt types are not honored with randomized passwords (see opt. -P)
WeightWeight for server servicesWhen migrating a group already existing in IPA domain overwrite the group GID and report as successWhether PKINIT is enabled or disabledWhether to store certs issued using this profileWhoWrite certificate (chain if --chain used) to fileWrite profile configuration to fileX.509 certificate chainYou may need to manually remove them from the treeYou must enroll a host in order to create a host serviceYou must specify both rid-base and secondary-rid-base options, because ipa-adtrust-install has already been run.You will be redirected to DNS Zone.Your session has expired. Please log in again.Your trust to %(domain)s is broken. Please re-create it by running 'ipa trust-add' again.YubiKey slotZIPZone forwardersZone nameZone name (FQDN)Zone record '%s' cannot be deletedZone refresh intervalaccess() on %1$s failed: errno = %2$d
algorithm value: allowed interval 0-255all masters must have %(role)s role enabledan internal error has occurredan internal error has occurred on server at '%(server)s'answer to query '%(owner)s %(rtype)s' is missing DNSSEC signatures (no RRSIG data)any of the configured serversapi has no such namespace: '%(name)s'at least one of: type, filter, subtree, targetgroup, attrs or memberof are requiredat least one value equal to the canonical principal name must be presentattribute "%s" not allowedattrs and included attributes are mutually exclusiveattrs and included/excluded attributes are mutually exclusiveautomatically add the principal if it doesn't existautomount keyautomount keysautomount locationautomount locationsautomount mapautomount mapsbasednber_init() failed, Invalid control ?!
ber_scanf() failed, unable to find kvno ?!
bind passwordcan be at most %(len)d characterscan be at most %(maxlength)d bytescan be at most %(maxlength)d characterscan be at most %(maxvalue)dcan be at most %(maxvalue)scannot be emptycannot be longer that {} characterscannot connect to '%(uri)s': %(error)scannot delete global password policycannot delete managed permissionscannot delete root domain of the trust, use trust-del to delete the trust itselfcannot disable root domain of the trust, use trust-del to delete the trust itselfcannot open configuration file %s
cannot rename managed permissionscannot set bindtype for a permission that is assigned to a privilegecannot specify both raw certificate and filecannot specify full target filter and extra target filter simultaneouslycannot stat() configuration file %s
change collided with another changechange to a POSIX groupchange to support external non-IPA members from trusted domainschild exited with %d
cn is immutablecomma-separated list of groups to addcomma-separated list of groups to removecomma-separated list of host groups to addcomma-separated list of host groups to removecomma-separated list of hosts to addcomma-separated list of hosts to removecomma-separated list of privileges to addcomma-separated list of privileges to removecomma-separated list of sudo command groups to addcomma-separated list of sudo command groups to removecomma-separated list of sudo commands to addcomma-separated list of sudo commands to removecomma-separated list of users to addcomma-separated list of users to removecommand '%(name)s' takes at most %(count)d argumentcommand '%(name)s' takes at most %(count)d argumentscommand '%(name)s' takes no argumentscommands for controlling sudo configurationconfiguration optionscontainer entry (%(container)s) not foundcurl_easy_init() failed
curl_easy_setopt() failed
curl_global_init() failed
curl_slist_append() failed for value: '%s'
delegationdelegationsdescriptiondid not receive Kerberos credentialsdoes not match any of accepted formats: domaindomain is not configureddomain name '%(domain)s' should be normalized to: %(normalized)sdomain name cannot be longer than 255 characterseach ACL element must be terminated with a semicolonempty DNS labelempty filterentriesentryerror marshalling data for XML-RPC transport: %(error)serror on server '%(server)s': %(error)sexecuting ipa-getkeytab failed, errno %d
expected format: <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphenfile to store DNS records in nsupdate formatfile to store certificate infilenamefilter and memberof are mutually exclusiveflags must be one of "S", "A", "U", or "P"flags value: allowed interval 0-255force NS record creation even if its hostname is not in DNSforce delete of SYSTEM permissionsforce host name even if not in DNSforce principal name even if host not in DNSforce principal name even if not in DNSforce service to be created even when host object does not exist to manage itfork() failed
format must be specified as
    "d1 [m1 [s1]] {"N"|"S"}  d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
    where:
       d1:     [0 .. 90]            (degrees latitude)
       d2:     [0 .. 180]           (degrees longitude)
       m1, m2: [0 .. 59]            (minutes latitude/longitude)
       s1, s2: [0 .. 59.999]        (seconds latitude/longitude)
       alt:    [-100000.00 .. 42849672.95] BY .01 (altitude in meters)
       siz, hp, vp: [0 .. 90000000.00] (size/precision in meters)
    See RFC 1876 for detailsformat must be specified as "%(format)s" %(rfcs)sforward zone "%(fwzone)s" is not effective because of missing proper NS delegation in authoritative zone "%(authzone)s". Please add NS record "%(ns_rec)s" to parent zone "%(authzone)s".gid cannot be set for external groupgivenname is requiredgroupgroup, permission and self are mutually exclusivegroupshosthost category cannot be set to 'all' while there are allowed hostshost grouphost groupshostgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacehostnamehostname contains empty label (consecutive dots)hostshosts cannot be added when host category='all'id rangeid range typeincomplete time valueincorrect typeinteger to order the Sudo rulesinvalid '%(name)s': %(error)sinvalid DN (%s)invalid IP address formatinvalid IP address version (is %(value)d, must be %(required_value)d)!invalid IP network formatinvalid Profile IDinvalid SID: {SID}invalid SSH public keyinvalid address formatinvalid attribute nameinvalid domain nameinvalid domain-name: %sinvalid domain-name: not fully qualifiedinvalid escape code in domain nameinvalid hostmaskinvalid port numberipa-getkeytab has bad permissions?
ipa-getkeytab not found
is requirediterations value: allowed interval 0-65535json_dumps() failed
kerberos ticket policy settingskey %(key)s already existskey named %(key)s already existskeytab is a dangling symlink and owned by another user.
krb5_kt_close %1$d: %2$s
krb5_kt_get_entry %1$d: %2$s
krb5_kt_remove_entry %1$d: %2$s
krb5_parse_name %1$d: %2$s
krb5_unparse_name %1$d: %2$s
kvno %d
limits exceeded for this querylocal domain rangelocationlocationsmanager %(manager)s not foundmap %(map)s already existsmaps not connected to /etc/auto.master:member %smember groupmember hostmember host groupmember privilegemember service delegation targetmember sudo commandmember sudo command groupmember usermissing base_idmodifying primary key is not allowedmount point is relative to parent map, cannot begin with /must be "%s"must be '%(value)s'must be DNS namemust be Kerberos principalmust be True or Falsemust be Unicode textmust be a certificatemust be a certificate signing requestmust be a decimal numbermust be absolutemust be an integermust be at least %(minlength)d bytesmust be at least %(minlength)d charactersmust be at least %(minvalue)dmust be at least %(minvalue)smust be at least 1must be binary datamust be datetime valuemust be dictionarymust be enclosed in parenthesesmust be exactly %(length)d bytesmust be exactly %(length)d charactersmust be one of %(values)smust be relativemust equal %rmust have %(role)s role enabledmust match pattern "%(pattern)s"netgroupnetgroup with name "%s" already exists. Hostgroups and netgroups share a common namespacenetgroupsno command nor help topic '%(topic)s'no modifications to be performednot allowed to modify group entriesnot allowed to modify user entriesnot allowed to perform operation: %snot allowed to perform server connection checknot fully qualifiednot modifiable on managed permissionsnumber class '%(cls)s' is not included in a list of allowed number classes: %(allowed)sobjectclass %s not foundonly "ad" is supportedonly available on managed permissionsonly letters, numbers, %(chars)s are allowed. DNS label may not start or end with %(chars2)sonly master zones can contain recordsonly one CNAME record is allowed per name (RFC 2136, section 1.1.5)only one DNAME record is allowed per name (RFC 6672, section 2.4)operation not definedoption was renamed; use %soptions are not allowedout of memory
out-of-zone data: record name must be a subdomain of the zone or a relative nameoverlapping arguments and options: %(names)sowner of %(types)s records should not be a wildcard domain name (RFC 4592 section 4)params must be a listparams must contain [args, options]params[0] (aka args) must be a listparams[1] (aka options) must be a dictpasswordpassword policiespassword policypassword to use if not using kerberospermissionpermission "%(value)s" already existspermissionspkinitpreserve and no-preserve cannot be both setprincipal not found
principal not found in XML-RPC response
priority cannot be set on global policypriority must be a unique value (%(prio)d already used by %(gname)s)privilegeprivileged groupprivilegespyhbac is not installed.pysss_murmur is not available on the server and no base-id is given.python-yubico is not installed.query '%(owner)s %(rtype)s' with EDNS0: %(error)squery '%(owner)s %(rtype)s': %(error)srange existsrange modification leaving objects with ID out of the defined range is not allowedrange type changeread error
realm not found
realm or UPN suffix overlaps with trusted domain namespacerecord '%(owner)s %(rtype)s' failed DNSSEC validation on server %(ip)srequest failed with HTTP status %dresult not found in XML-RPC response
retrieve and print all attributes from the server. Affects command output.rolerolessalt value: %(err)ssearch for POSIX groupssearch for groups with support of external non-IPA members from trusted domainssearch for managed groupssearch for non-POSIX groupssearch for private groupssearch results for objects to be migrated
have been truncated by the server;
migration process might be incomplete
self service permissionself service permissionsserverserver roleserver rolesserversserviceservicessetting Authoritative nameservershould not be a wildcard domain name (RFC 4592 section 4)sidgen_was_runsingle label {}s are not supportedskip reverse DNS detectionsn is requiredstage userstage userssubtree and type are mutually exclusivesudo commandsudo command groupsudo command groupssudo commandssudo rulesudo rulestarget and targetgroup are mutually exclusivethe entry was deleted while being modifiedthe value does not follow "YYYYMMDDHHMMSS" time formatthere must be at least one target entry specifier (e.g. target, targetfilter, attrs)this option has been deprecated.this option is deprecatedtoo many '@' characterstrusttrust configurationtrust domaintrust domainstrust typetruststype of IPA object (user, group, host, hostgroup, service, netgroup)type, filter, subtree and targetgroup are mutually exclusiveunknown command '%(name)s'unknown error %(code)d from %(server)s: %(error)sunsupported trust typeurluseruser "%s" is already activeuser category cannot be set to 'all' while there are allowed usersusersusers cannot be added when user category='all'{attr}: no such attribute{role}: role not foundProject-Id-Version: freeipa 4.9.0.dev201908140712+gitc9938e3d8
Report-Msgid-Bugs-To: https://pagure.io/freeipa/new_issue
PO-Revision-Date: 2024-02-08 12:36+0000
Last-Translator: Emilio Herrera <ehespinosa57@gmail.com>
Language-Team: Spanish <https://translate.fedoraproject.org/projects/freeipa/master/es/>
Language: es
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=2; plural=n != 1;
X-Generator: Weblate 5.3.1


EJEMPLOS:


CONFIGURACIÓN GLOBAL DNS

        Anula esto de modo que podamos añadir completados y fallados al resultado devuelto.
        
        Anula esto de modo que podamos fijar completados y fallados.
        
    Añadir una regla automiembro.
    
    Añadir condiciones a una regla automiembro.
    
    Borra una regla automiembro.
    
    Muestra información sobre una regla automiembro.
    
    Estado de bloqueo de una cuenta de usuario

    Una cuenta de usuario puede resultar bloqueada si la contraseña se introduce
    incorrectamente muchas veces dentro de un período especifico de tiempo
    controlado por la política de contraseña. Un bloqueo de cuenta es una condición
    temporal y debe ser desbloqueada por un administrador.

    Esto conecta con el máster IPA y muestra el estado de bloqueo de cada uno.

    Para determinar si una cuenta está bloqueada en un servidor dado usted
    necesita comparar el número de accesos fallido y la hora del último fallo. Para
    que una cuenta se bloquee debe exceder maxfail dentro de la duración
    failinterval según se especifique en la política de contraseña asociada con el
    usuario.

   El contador de acceso fallado se modifica solo cuando un usuario intenta acceder
   por lo que es posible que una cuenta puede aparecer bloqueada pero el último
   acceso fallado sea más antiguo que el lockouttime de la política de contraseña.
   Esto significa que el usuario puede intentar acceder otra vez.
    Modificar una confianza (para uso futuro).

    Actualmente solo está disponible la opción predeterminada para modificar los
    atributos LDAP. Opciones más especificas serán añadidas en futuras versiones.
    
    Modificar una regla automiembro.
    
    Modificar dominios reino

    Comprobación DNS: Cuando añade manualmente un dominio a la lista, por
    defecto se lleva a cabo una comprobación DNS. Asegura que el dominio está
    asociado con el reino IPA, comprobando si el dominio tiene un registro _kerberos
    TXT que contenga el nombre del reino IPA realm name. Esta comprobación se
    puede saltar especificando la opción --force.

    Eliminación: cuando un dominio reino que tiene una zona DNS coincidente
    gestionada por IPA se borra, el registro  _kerberos TXT correspondiente en la
    es borrado automáticamente también. Los demás registros en la zona o la zona
    no son afectados.
    
    Borrar condiciones de una regla automiembro.
    
    Búsqueda reglas automiembro.
    
    Buscar usuarios que coincidan con el certificado suministrado.

    Este comando se basa en SSSD para recuperar la lista de los usuarios
    coincidentes y puede devolver los datos en cache. Para más información sobre 
    la purga del cache SSSD, vea por favor la documentación sss_cache.
    
Desbloquear una cuenta de usuario

 Una cuenta de usuario puede llegar a bloquearse si la contraseña se ha introducido incorrectamente demasiadas
veces dentro de un período de tiempo controlado por la política de
contraseña. Una cuenta bloqueada es una condición temporal y puede ser desbloqueada por
un administrador.
   Este es el equivalente:
     ipa dnszone-mod example.com --dynamic-update=TRUE \
      --update-policy="grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"

  Añadir localización:
    ipa location-add location --description 'My location'

  Borrar localización:
    ipa location-del location

  Encontrar todas las localizaciones:
    ipa location-find

  Encuentra todos los servidores:
    ipa server-find

  Mostar la configuración de un servidor DNS especifico:
    ipa dnsserver-show

  Muestra el rol maestro IPA implícito:
    ipa server-role-find --include-master

  Mostrar localización específica:
    ipa location-show location

  Mostrar un servidor específico:
    ipa server-show ipa.example.com

  Muestra el estado del rol 'DNS server' sobre un servidor:
    ipa server-role-show ipa.example.com "DNS server"

  Muestra el estado de todos los roles configurados en un servidor:
    ipa server-role-find ipa.example.com

  Muestra el estado de todos los roles que contienen 'AD' sobre un servidor:
    ipa server-role-find --server ipa.example.com --role="AD trust controller"

  Actualizar la configuración de un servidor DNS especifico:
    ipa dnsserver-mod

 Añadir registro LOC para example.com:
   ipa dnsrecord-add example.com @ --loc-rec="49 11 42.4 N 16 36 29.6 E 227.64m"

 Añadir un host que pueda manejar la tabla de teclas y certificado del host:
   ipa host-add-managedby --hosts=test2 test

 Añadir un servidor de correo para example.com:
   ipa dnsrecord-add example.com @ --mx-rec="10 mail1"

 Añadir un nuevo host con una contraseña de un uso:
   ipa host-add --os='Fedora 12' --password=Secret123 test.example.com

 Añadir un nuevo host con una contraseña aleatoria de un uso:
   ipa host-add --os='Fedora 12' --random test.example.com

 Añadir un nuevo host:
   ipa host-add --location="3rd floor lab" --locality=Dallas test.example.com

 Añadir un nuevo servidor:
   ipa radiusproxy-add MyRADIUS --server=radius.example.com:1812

 Añadir una nueva ficha:
   ipa otptoken-add --type=totp --owner=jdoe --desc="My soft token"

 Añadir una nueva ficha:
   ipa otptoken-add-yubikey --owner=jdoe --desc="My YubiKey"

 Añadir un permiso que conceda la capacidad de gestionar la membresía de un grupo:
   ipa permission-add --attrs=member --permissions=write --type=group "Gestiona Miembros de Grupo"

 Añadir un permiso que concede la creación de usuarios:
   ipa permission-add --type=user --permissions=add "Añadir Usuarios"

 Añadir otro registro usando las opciones específicas de registro MX:
  ipa dnsrecord-add example.com @ --mx-preference=20 --mx-exchanger=mail2

 Añadir otro registro usando el modo interactivo (iniciado cuando dnsrecord-add, dnsrecord-mod,
 o dnsrecord-del son ejecutados sin opciones:
  ipa dnsrecord-add example.com @
  Por favor elija un tipo de recurso de registro DNS a añadir
  Los tipos más comunes para este tipo de zona son: NS, MX, LOC

  DNS resource record type: MX
  MX Preference: 30
  MX Exchanger: mail3
    Record name: example.com
    MX record: 10 mail1, 20 mail2, 30 mail3
    NS record: nameserver.example.com., nameserver2.example.com.

 Añadir un nuevo registro A para www.example.com. Crear un registro inverso en la zona
 inversa apropiada también. En esta caso un registro PTR "2" apuntando a www.example.com
 será creado en la zona 2.0.192.in-addr.arpa.
   ipa dnsrecord-add example.com www --a-rec=192.0.2.2 --a-create-reverse

 Añadir nuevo registro PTR para www.example.com
   ipa dnsrecord-add 2.0.192.in-addr.arpa. 2 --ptr-rec=www.example.com.

 Añadir nuevos registros SRV para servidores LDAP. Tres cuartos de las peticiones
debería ir a fast.example.com, un cuarto a slow.example.com. Si ninguno está
disponible conmutar a backup.example.com.
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 3 389 fast.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="0 1 389 slow.example.com"
   ipa dnsrecord-add example.com _ldap._tcp --srv-rec="1 1 389 backup.example.com"

 Añadir nueva zona reversa especificada por la dirección IP de red:
   ipa dnszone-add --name-from-ip=192.0.2.0/24

 Añadir nueva zona:
   ipa dnszone-add example.com --admin-email=admin@example.com

 Añadir segundo servidor de nombres para example.com:
   ipa dnsrecord-add example.com @ --ns-rec=nameserver2.example.com

 Añadir permiso de sistema que puede ser usado para delegación de privilegio por zona:
   ipa dnszone-add-permission example.com

 Después de esta modificación tres quintos de las peticiones deberían ir a 
 fast.example.com y dos quintos a slow.example.com.

 Permitir al usuario crear una tabla de teclas:
   ipa host-allow-create-keytab test2 --users=tuser1

 Permitir al usuario crear una tabla de claves:
   ipa service-allow-create-keytab HTTP/web.example.com --users=tuser1

 Un ejemplo del modom interactivo para el comando dnsrecord-del:
   ipa dnsrecord-del example.com www
   No option to delete specific record provided.
   Delete all? Yes/No (default No):     (do not delete all records)
   Current DNS record contents:

   A record: 192.0.2.2, 192.0.2.3

   Delete A record '192.0.2.2'? Yes/No (default No):
   Delete A record '192.0.2.3'? Yes/No (default No): y
     Record name: www
     A record: 192.0.2.2               (A record 192.0.2.3 has been deleted)

 Cambia la política de reenvío para external.example.com:
   ipa dnsforwardzone-mod external.example.com --forward-policy=only

 Cambiar el secreto:
   ipa radiusproxy-mod MyRADIUS --secret

 Cambiar el vendedor:
   ipa otptoken-mod a93db710-a31a-4639-8647-f15b2c70b78a --vendor="Red Hat"

 Comprueba el estado de una petición de firma:
   ipa cert-status 10

 Crea una nueva Regla de Mapeo de Identidad de Certificado:
   ipa certmaprule-add rule1 --desc="Link certificate with subject and issuer"

 Delegar zona sub.example a otro servidor de nombres:
   ipa dnsrecord-add example.com ns.sub --a-rec=203.0.113.1
   ipa dnsrecord-add example.com sub --ns-rec=ns.sub.example.com.

 Borra una Regla de Mapeo de Identidad de Certificado:
   ipa certmaprule-del rule1

 Borrar una configuración:
   ipa radiusproxy-del MyRADIUS

 Borrar un host:
   ipa host-del test.example.com

 Borrar una ficha:
   ipa otptoken-del a93db710-a31a-4639-8647-f15b2c70b78a

 Borra la zona de reenvío external.example.com:
   ipa dnsforwardzone-del external.example.com

 Borrar ujn servidor de nombres previamente añadido desde example.com:
   ipa dnsrecord-del example.com @ --ns-rec=nameserver2.example.com.

 Borrar zona example.com con todos los registros de recursos:
   ipa dnszone-del example.com

 Deshabilitar una Regla de Mapeo de Identidad de Certificado:
   ipa certmaprule-disable rule1

 Deshabilita el reenvío global para el sub-árbol dado:
   ipa dnszone-mod example.com --forward-policy=none

 Deshabilitar la clave Kerberos de host, el certificado SSL y todos sus servicios:
   ipa host-disable test.example.com

 Muestra información sobre una Regla de Mapeo de Identidad de Certificado:
   ipa certmaprule-show rule1

 Mostrar la configuración global del Mapeo de Identidad de Certificado:
   ipa certmapconfig-show

 Habilitar una Regla de Mapeo de Identidad de Certificado:
   ipa certmaprule-enable rule1

 Examinar la configuración:
   ipa radiusproxy-show MyRADIUS

 Examinar la ficha:
   ipa otptoken-show a93db710-a31a-4639-8647-f15b2c70b78a

 Encontrar registros A con el valor 192.0.2.2 en zona example.com
   ipa dnsrecord-find example.com --a-rec=192.0.2.2

 Encuentra todas las Reglas de Mapeo de Identidad de Certificado con el dominio especificado:
   ipa certmaprule-find --domain example.com

 Encontrar todos los servidores cuyas entradas incluyan la cadena "example.com":
   ipa radiusproxy-find example.com

 Encontrar registros para recursos con "www" en su nombre en la zona example.com:
   ipa dnsrecord-find example.com www

 Encontrar una zona con "example" en su nombre de dominio:
   ipa dnszone-find example

 Reenvía todas las peticiones para la zona external.example.com a otro reenviador
 usando una política "first" (enviará las peticiones al reenviador seleccionado y si
 no hay respuesta usará los servidores raíz globales):
   ipa dnsforwardzone-add external.example.com --forward-policy=first \
                               --forwarder=203.0.113.1

 Generar y recuperar un tabla de clave para un servicio IPA:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab


 Si se configura un reenviador global, todas las peticiones para las que este
 servidor no está autorizado (e.g. sub.example.com) serán enrutados al reenviador global.
 La configuración de reenvío global se puede anular por zona.

 Lista todas las zonas de reenvío:
   ipa dnsforwardzone-find

 Listar bóvedas:
   ipa vault-find
       [--user <user>|--service <service>|--shared]

 Modificar la configuración global del Mapeo de Identidad de Certificado:
   ipa certmapconfig-mod --promptusername=TRUE

 Modificar una Regla de Identidad de Certificado:
   ipa certmaprule-mod rule1 --maprule="<ALT-SEC-ID-I-S:altSecurityIdentities>"

 Modifica la configuración DNS global y establece una lista de reenviadores globales:
   ipa dnsconfig-mod --forwarder=203.0.113.113

 Modificar información sobre un host:
   ipa host-mod --os='Fedora 12' test.example.com

 Modificar la zona para permitir actualizaciones dinámicas desde los propios registros del host en el reino EXAMPLE.COM:
   ipa dnszone-mod example.com --dynamic-update=TRUE

 Modificar la zona para permitir transferencias de zona solo para la red local:
   ipa dnszone-mod example.com --allow-transfer=192.0.2.0/24

 Quitar las claves públicas SSH de un host y actualizar DNS para reflejar este cambio:
   ipa host-mod --sshpubkey= --updatedns test.example.com

 Quita un certificado del estado de cogido para revocación:
   ipa cert-remove-hold 1032

 Pide un nuevo certificado y añade el principal:
   ipa cert-request --add --principal=HTTP/lion.example.com example.csr

 Resuelve un nombre de host para ver si existe (añadirá el dominio IPA
 predeterminado si no se ha incluido ninguno):
   ipa dns-resolve www.example.com
   ipa dns-resolve www

 Recupera un certificado existente:
   ipa cert-show 1032

 Revocar un certificado (vea RFC 5280 para detalles de la razón):
   ipa cert-revoke --revocation-reason=6 1032

 Búsqueda de certificados por nombre de host:
   ipa cert-find --subject=ipaserver.example.com

 La semántica de reenvío en IPA coincide con la semántica en BIND y depende del
 tipo de zona:
   * Zona Maestra: BIND local responde con autoridad a las consultas de datos en la
   zona dada (incluyendo las respuestas de autoridad NXDOMAIN) y el reenvío
   afecta solo a las peticiones para nombres debajo de los cortes de zona (registros 
   NS) de las zonas servidas localmente.

   * Zona de Reenvío:la zona de reenvío no contiene datos autorizados. las
   las consultas de reenvío BIND, que no pueden ser contestadas desde su cache
   local, para configurar reenviadores.

 Semánticas de la opción --forward-policy:
   * none - deshabilita el reenvío para una zona dada.
   * first - reenvía todas las peticiones a los reenviadores configurados. Si fallan,
   resuelven usando los servidores raíz DNS.
   * only - reenvía todas las peticiones a los reenviadores configurados y si fallan,
   devuelve un fallo.

 Muestra la zona de reenvío external.example.com:
   ipa dnsforwardzone-show external.example.com

 Muestra la configuración DNS global:
   ipa dnsconfig-show

 Mostrar registros para el recurso www en zona example.com
   ipa dnsrecord-show example.com www

 Mostrar zona example.com:
   ipa dnszone-show example.com

 El modo interactivo puede ser usado para modificación fácil:
  ipa dnsrecord-mod example.com _ldap._tcp
  No se suministra opción para modificar registro específico.
  El registro actual DNS contiene:

  SRV record: 0 3 389 fast.example.com, 0 1 389 slow.example.com, 1 1 389 backup.example.com

  Modificar registro SRV '0 3 389 fast.example.com'? Si/No (predeterminado No):
  Modificar registro SRV '0 1 389 slow.example.com'? Si/No (predeterminado No): y
  SRV Priority [0]:                     (keep the default value)
  SRV Weight [1]: 2                     (modified value)
  SRV Port [389]:                       (keep the default value)
  SRV Target [slow.example.com]:        (keep the default value)
  1 SRV record skipped. Only one value per DNS record type can be modified at one time.
    Record name: _ldap._tcp
    SRV record: 0 3 389 fast.example.com, 1 1 389 backup.example.com, 0 2 389 slow.example.com

 Esta configuración reenvia todas las peticiones para nombres fuera del sub árbol  example.com
 a reenviadores globales. Se utiliza el proceso de resolución recursiva normal para 
 los nombres dentro del sub-árbol example.com (i.e. registros NS son seguidos etc.).

* Un permiso concede acceso a leer, escribir, añadir, borrar, buscar o comparar.
* Un privilegio combina permisos similares (por ejemplo todos los permisos
  necesarios para añadir un usuario).
* Un rol concede un conjunto de privilegios a usuarios, grupos, hosts o grupos de host.

* El host debe existir
* El servicio debe existir (o debe usar la opción --add para añadirlo automáticamente)

Se ha almacenado un certificado con un servicio principal y un servicio principal
necesita un host.

Una condición es una expresión regular usada por 389-ds para coincidir una nueva
entrada entrtante con una regla de auto miembro. Si la coincidencia es una regla
inclusiva la entrada se añade al grupo o grupo de host apopiado.

Se podría especificar un grupo o grupo de host predeterminado para las entradas
que no coincidan con ninguna regla. En caso de entradas de usuario, este grupo
será un grupo de reserva puesto que todos los usuarios son por defecto miembros del grupo especificado en la configuración IPA.

Un permiso habilita una delegación de derechos de grano fino. Un permiso es una
vuelta alrededor legible por humanos de una Regla de Control de Acceso (ACI) o
instrucción 389-ds.
Un permiso concede el derecho de llevar a cabo una tarea especifica como añadir
un usuario, modificar un grupo, etc.

Un permiso está constituido por diversas partes:

1. El nombre del permiso.
2. El objetivo del permiso.
3. Los derechos concedidos por el permiso.

Un permiso puede contener otros permisos.

Un regla está directamente asociada con un grupo por nombre, de modo que usted
no puede crear un regla sin un grupo o grupo de host que lo acompañen.

Añadir un nuevo rango de ID.

    Para añadir un nuevo rango de ID siempre debe especificar

        --base-id
        --range-size

    Adicionalmente

        --rid-base
        --secondary-rid-base

    puede ser dado para un nuevo rango de ID para el dominio local mientras

        --rid-bas
        --dom-sid

   deben ser dados para añadir un nuevo rango para un AD de dominio de confianza.

    PRECAUCIÓN:

    El plugin DNA en 389-ds ubicará IDs en base a los rangos configurados para el dominio
    local. Actualmente el plugin DNA "no puede" ser reconfigurado por si mismo en base a
    los rangos locales ajustados por medio de esta familia de comandos.

    El cambio manual de configuración ha sido hecho en la configuración del plugin DNA
    para el nuevo rango local. Específicamente, el atributo dnaNextRange de 'cn=Posix
    IDs,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config' ha sido
    modificado para coincidir con el nuevo rango.
    
Añadir nueva confianza a usar.

Este comando establece la relación de confianza con otro dominio que llegar a ser 
trusted'. Como resultado, los usuarios del dominio de confianza puede acceder a
los recursos de este dominio.

Solo están soportados ahora la confianza con dominios Active Directory.

El comando se puede ejecutar seguramente múltiples veces contra el mismo
dominio, esto causará cambios en las credenciales de relaciones de confianza en
ambos lados.

Advierta que si el comando se ejecuta previamente con un tipo de rango específico
o con detección automática del tipo de rango y usted desea configurar un tipo de
rango diferente, usted puede necesitar borrar primero la ID del rango usando 
ipa idrange-del antes de reintentar el comando con el rango deseado.
    
Adicionalmente, existen las siguientes opciones de conveniencia.
Fijando una de estas opcines ajustará el correspondiente atributo(s).
1. type: un tipo de objeto (usuario, grupo, etc); fija sub-árbol y filtro objetivo.
2. memberof: se aplica a los miembros de un grupo; fija filtro objetivo
3. targetgroup: concede acceso para modificar un grupo específico (como
   concediendo los derechos para gestiona la membresía de grupo); fija objetivo.

Todas las CAs excepto la CA 'IPA' pueden ser deshabilitadas y vueltas a habilitar.
Deshabilitar una CA evita que envíe certificados pero no afecta a la validez de sus 
certificados.

La bóveda asymmetric  es similar a la bóveda standard, pero
encripta el secreto usando una clave pública antes del transporte.
El secreto sólo se puede recuperar usando la clave privada.

Regla de Membresía Automática.

Automontaje

Almacena configuración automount(8) para autofs(8) en IPA.

La base de una configuración de automontaje es el fichero de configuración
auto.master. Este es también la base de la localización en IPA. Diversas
configuraciones auto.master se pueden almacenar en localizaciones separadas.
Una localización es específica de la implementación con la predeterminada 
llamada 'default'. Por ejemplo, usted puede tener localizaciones por región geográfica, por piso, por tipo, etc.

Automontaje tiene tres tipos de objeto básicos: localizaciones, mapas y claves.

Una localización define un conjunto de mapas anclados en auto.master. Esto le
permite almacenar múltiples configuraciones de automontaje. Una localización en
si misma no es muy interesante, es solo un punto donde iniciar un nuevo mapa de automontaje.

Un mapa es aproximadamente equivalente a un archivo automount discreto y 
suministra almacenamiento para las claves.

Una clave es un punto de montaje asociado con un mapa.

Cuando se crea una nueva localización, se crean automáticamente dos mapas
para ella: auto.master y auto.direct. auto.master es el mapa raíz para todos los
mapas de automontaje para la localización. auto.direct es el mapa predeterminado
para montajes directos y se monta sobre /-.

Un mapa de automontaje puede contener una clave de submontaje. Esta clave
define una localización dentro del mapa que referencia a otro mapa. Esto puede ser
hecho bien usando utomountmap-add-indirect –parentmap o manualmente con
automountkey-add estableciendo la información a "-type=autofs :<mapname>".

EJEMPLOS:

Localizaciones:

  Crear una localización llamada, "Baltimore":
    ipa automountlocation-add baltimore

  Mostrar la nueva localización:
    ipa automountlocation-show baltimore

  Encontrar localizaciones disponibles:
    ipa automountlocation-find

  Borrar una localización automontaje llamada:
    ipa automountlocation-del baltimore

  Mostrar cual de los mapas de automontaje parecería como si estuviera en el sistema de archivos:
    ipa automountlocation-tofiles baltimore

  Importar una configuración existente a una localización:
    ipa automountlocation-import baltimore /etc/auto.master

    La importación fallará si se encuentra cualquier entrada duplicada. Para operaciones continuas donde los errores son ignorados, use la opción --continue.

Mapas:

  Crear un nuevo mapa, "auto.share":
    ipa automountmap-add baltimore auto.share

  Mostrar el nuevo mapa:
    ipa automountmap-show baltimore auto.share

  Encontrar mapas en la localización baltimore:
    ipa automountmap-find baltimore

  Crear un mapa indirecto con auto.share como submontaje:
    ipa automountmap-add-indirect baltimore --parentmap=auto.share --mount=sub auto.man

    Esto es equivalente a:

    ipa automountmap-add-indirect baltimore --mount=/man auto.man
    ipa automountkey-add baltimore auto.man --key=sub --info="-fstype=autofs ldap:auto.share"

  Borrar el mapa auto.share:
    ipa automountmap-del baltimore auto.share

Claves:

  Crear una nueva clave para el mapa auto.share en la localización baltimore. Esto
  ata el mapa que henos creado previamente a auto.master:
    ipa automountkey-add baltimore auto.master --key=/share --info=auto.share

  Crear una nueva clave para nuestro mapa auto.share, un montaje NFS para páginas de manual:
    ipa automountkey-add baltimore auto.share --key=man --info="-ro,soft,rsize=8192,wsize=8192 ipa.example.com:/shared/man"

  Encontrar todas las claves para el mapa auto.share:
    ipa automountkey-find baltimore auto.share

  Encontrar todas las claves directas de automontaje:
    ipa automountkey-find baltimore --key=/-

  Borrar la clave man desde el mapa auto.share:
    ipa automountkey-del baltimore auto.share --key=man

En base al propietario hay tres categorías de bóveda:
* user/private vault
* service vault
* shared vault

En base al mecanismos de seguridad hay tres tipos de
bóvedas:
* standard vault
* symmetric vault
* asymmetric vault

Brinde claridad a la membresía de hosts y usuarios configurando patrones
inclusivos o exclusivos de expresiones regulares, usted puede automáticamente
asignar una nuevas entradas a un grupo o grupo de host en base a la información del atributo.

Las CAs (todas excepto la CA 'IPA') pueden ser borradas.  El borrado de una CA
origina que la su firma sea revocada y su clave privada borrada.

Las CAs están habilitadas en la creación, pero su uso está sujeto a las ACLs de CA
a  no ser que el operador haya permitido saltarse las ACLs de CA.

Mapeando la Identidad del Certificado

Las peticiones de certificado existen en la forma de una Petición de Firma de
Certificado (CSR) en formato PEM.

Los certificados pueden ser buscados por sujeto del certificado, número de serie,
razón de la revocación, fechas de validez y fecha de envío.

Confianza de reino cruzado

Gestionar relaciones de confianza entre los dominios IPA y Active Directory.

Con el objetivo de permitir a los usuarios de un dominio remoto acceder a los
recursos en el dominio IPA, se necesita establecer relaciones de confianza.
Actualmente IPA soporta solo confianza entre dominios IPA y Active Directory bajo 
el control de Windows Server 2008 o posterior, con nivel funcional 2008 o posterior.

Por favor advierta que el DNS en ambos lados de los dominios IPA y Active
Directory deberían ser configurados apropiadamente para descubrir a cada uno.
Las relaciones de confianza se apoyan en la capacidad de descubrir recursos especiales en el otro dominio por medio de los registros DNS.

Ejemplos:

1. Establecer confianza de reino cruzado con Active Directory usando el 
   dministrador de credenciales AD:

   ipa trust-add --type=ad <ad.domain> --admin <AD domain administrator>            --password

2. Listar todas las relaciones de confianza existentes:

   ipa trust-find

3. Mostrar detalles de la relación de confianza específica:

   ipa trust-show <ad.domain>

4. Borrar relaciones de confianza existentes:

   ipa trust-del <ad.domain>

Una vez que la relación de confianza está establecida, los usuarios remotos
necesitarán ser mapeados a grupos POSIX locales con el objetivo de usar recursos
IPA. El mapeado debería ser hecho por medio del uso de la membresía externa de
grupo no-POSIX y después este grupo debería ser incluido en uno de los grupos locales POSIX.

Ejemplo:

1. Crear un grupo para el mapeo de administrador de dominio de confianza y su
grupo POSIX local:

   ipa group-add --desc='<ad.domain> admins external map'            ad_admins_external --external
   ipa group-add --desc='<ad.domain> admins' ad_admins

2. Añadir identificador de seguridad de Domain Admins del <ad.domain> al grupo
   ad_admins_external:

   ipa group-add-member ad_admins_external --external 'AD\Domain Admins'

3. Permitir a los miembros del grupo admins_external ser asociados con el grupo
   POSIX ad-admins:

   ipa group-add-member ad_admins --groups ad_admins_external

4. Lista de miembros de miembros externos del grupo ad_admins_external para ver
   sus SIDs:

   ipa group-show ad_admins_external


CONFIGURACIÓN GLOBAL DE CONFIANZA

Cuando se instale un subpaquete de confianza IPA AD y está corriendo ipa-adtrust-
install, se genera una configuración de dominio local (SID, GUID, nombre
NetBIOS). Estos identificadores se usan entonces cuando se comunica con un
dominio de confianza de un tipo concreto.

1. Mostrar la configuración de confianza global para el tipo de confianza Active Directory:

   ipa trustconfig-show --type ad

2. Modificar la configuración global de todos los confiados de tipo Active Directory y
   establecer un grupo primario de retroceso (el GID del grupo primario de retroceso
   se usa como GID de usuario primario y el usuario autenticando al dominio IPA no
   tiene ningún otro GID primario establecido ya):

   ipa trustconfig-mod --type ad --fallback-primary-group "another AD group"

3. Cambiar el grupo primario de retroceso al grupo escondido predeterminado
   (cualquier grupo con un objeto clae posixGroup está permitido):

   ipa trustconfig-mod --type ad --fallback-primary-group "Default SMB Group"

La configuración de DNS que se pasa al script de instalación de la línea de
comandos está almacenado en un fichero de configuración local en cada servidor
IPA donde el servicio DNS está configurado. Estos ajustes locales pueden ser anulados con una configuración común almacenada en el servidor LDAP:

Configuración del servidor DNS

Las fechas se tratan como GMT para coincidir con las fechas de los certificados.

El borrado o renombrado de un permiso gestionado, así como el cambio de su
objetivo, no está permitido.

Instrucciones de Control de Acceso al Servidor de Directorio (ACIs)

ACIs son usados para permitir o denegar acceso a la información. Este módulo está
 actualmente diseñado para permitir, no denegar, acceso.

Los comandos aci están diseñados para conceder permisos que permitan la
actualización de entradas existentes o el añadido o borrado de nuevas. El objetivo
de los ACIs que van con IPA es suministrar un conjunto de permisos de bajo nivel
que conceden acceso a grupos espaciales llamados grupos de tareas. Estos
permisos de bajo nivel pueden ser combinados en roles que conceden un acceso
más amplio. Estos roles son otro tipo de grupo, roles.

Por ejemplo, si usted tiene un grupo de tareas que le permiten añadir y modificar
usuarios usted podría crear un role, useradmin. Debería asignar usuarios al role
useradmin que les permitirá hacer operaciones definidas en el grupo de tareas.

Usted puede crear ACIs que deleguen permisos así usuarios del grupo A pueden
escribir atributos en el grupo B.

La opción type es un mapa que aplica a todas las entradas en la localización de
usuarios, grupos o host. Está diseñada principalmente para ser usada cuando se
otorgan permisos de añadir (para escribir nuevas entradas).

Un ACI consta de tres partes:
1. objetivo
2. permisos
3. reglas de enlace

El objetivo es un conjunto de reglas que definen que objetos LDAP son objetivos.
Esto puede incluir una lista de atributos, un área del árbol LDAP o un filtro LDAP.

Los objetivos incluyen:
- attrs: lista de atributos afectados
- type: un tipo de objeto (usuario, grupo, host, servicio, etc)
- memberof: miembros de un grupo
- targetgroup: concede acceso para modificar un grupo específico. Está diseñado
  principalmente para habilitar a los usuarios para añadir o borrar miembros de un
  grupo específico.
- filter: Un filtro LDAP legal usado para reducir el alcance del objetivo.
- subtree: Usado para aplicar una regla a lo largo de un conjunto de objetos. Por
  ejemplo, para añadir usuarios usted necesita conceder permisos "add" al subtree
  ldap://uid=*,cn=users,cn=accounts,dc=example,dc=com. La opción subtree es a
  prueba de fallos para objetos que pueden no estar cubiertos por la opción type.

Los permisos definidos que ACI tiene permitidos hacer son uno o más de:
1. write - escribir uno o mas atributos
2. read - leer uno o más atributos
3. add - añadir una nueva entrada al árbol
4. delete - borrar una entrada existente
5. all - se conceden todos los permisos

Advierta la diferencia entre atributos y entradas. Los permisos son independientes,
de esta manera ser capaz de añadir un usuario no significa que el usuario será
editable.

La regla bind define a quien concede ACI estos permisos. El servidor LDAP permite
esto para cualquier entrada LDAP válida pero recomendamos el uso de grupos de
tareas de modo que los derechos puedan ser fácilmente compartidos entre los
roles.

Para una descripción más completa de los controles de acceso vea
http://www.redhat.com/docs/manuals/dir-server/ag/8.0/Managing_Access_Control.html

EJEMPLOS:

AVISO: Los ACIs se añaden ahora por medio del plugin permisos. Estos ejemplos
son para demostrar como trabajan diversas opciones pero esto está hecho por
medio de los permisos de linea de comandos ahora (vea último ejemplo).

 Añadir un ACI de modo que el grupo "secretaries" pueda actualizar la dirección de cualquier usuario:
   ipa group-add --desc="Office secretaries" secretaries
   ipa aci-add --attrs=streetAddress --memberof=ipausers --group=secretaries --permissions=write --prefix=none "Secretaries write addresses"

 Mostrar el nuevo ACI:
   ipa aci-show --prefix=none "Secretaries write addresses"

 Añadir un ACI que permita a los  miembros del permiso "addusers" añadir nuevos usuarios:
   ipa aci-add --type=user --permission=addusers --permissions=add --prefix=none "Add new users"

 Añadir un ACI que permita a los miembros de los editores manejar miembros del grupo admins:
   ipa aci-add --permissions=write --attrs=member --targetgroup=admins --group=editors --prefix=none "Editors manage admins"

 Añadir un ACI que permita a los miembros del grupo admins manejar la calle y el código postal de los que estén en el grupo editors:
   ipa aci-add --permissions=write --memberof=editors --group=admins --attrs=street --attrs=postalcode --prefix=none "admins edit the address of editors"

 Añadir un ACI que permita a los miembros del grupo admins manejar la calle y el código postal de aquellos que trabajan para el jefe:
   ipa aci-add --permissions=write --group=admins --attrs=street --attrs=postalcode --filter="(manager=uid=boss,cn=users,cn=accounts,dc=example,dc=com)" --prefix=none "Edit the address of those who work for the boss"

 Añadir un clase de registro totalmente nueva para IPA que no esté cubierta por ninguna de las opciones –type, creando un permiso:
   ipa permission-add  --permissions=add --subtree="cn=*,cn=orange,cn=accounts,dc=example,dc=com" --desc="Add Orange Entries" add_orange


El comando show muestra el ACI 389-ds en bruto.

IMPORTANTE: Cuando modifique los atributos target de un ACI existente debe
incluir todos los atributos existentes también. Cuando haga un aci-mod targetattr
REEMPLAZA los atributos actuales, no los añade.

Sistema de Nombre de Dominio (DNS)

INSCRIPCIÓN:

Hay tres escenarios de inscripción cuando se inscribe un nuevo cliente:

1. Se está inscribiendo como administrador total. La entrada de host puede existir o
   no. Un administrador total es miembro del rol hostadmin role o del grupo admins.
2. Se está inscribiendo como administrador limitado. El host debe existir ya. Un
   administrador limitado es miembro de un rol con el privilegio Host Enrollment.
3. El host ha sido creado con una contraseña de una vez.

EJEMPLOS:

Derechos

Gestión de los derechos por las máquinas clientes

Los derechos pueden ser gestionados bien registrándoles con un servidor de derechos
con un nombre de usuario y una contraseña o manualmente importando certificados de
derechos. Un certificado de derechos contiene incrustada información como el producto
que se está intitulando, la cantidad y las fechas de validez.

Un servidor de derechos gestiona el número de clientes con derechos disponibles. Para 
marcar estos derechos como usados por el servidor IPA usted suministra una cantidad y
son marcados como consumidos en el servidor de derechos.

 Registrar con un servidor de derechos:
   ipa entitle-register consumer

 Importar un certificado de derechos:
   ipa entitle-import /home/user/ipaclient.pem

 Mostrar los derechos actuales:
   ipa entitle-status

 Recuperar detalles sobre los certificados de derechos:
   ipa entitle-get

 Consumir algunos derechos del servidor de derechos:
   ipa entitle-consume 50

La ID de registro es un Identificador Único (UUID). Esta ID será IMPORTADA cuando usted
ha usado entitle-import.

Los cambios en /etc/rhsm/rhsm.conf requieren un reinicio del servicio httpd.

Obtener información sobre los servidores IPA instalados.

Obtener el estado de los roles (servidor DNS, CA, etc.) suministrado por los IPA maestros.

Grupo a Delegación de Grupo

Un permiso habilita una delegación de grano fino de permisos. Reglas de Control
de Acceso o instrucciones (ACIs), otorgan permisos a los permisos para llevar a
cabo tareas dadas como añadir un usuario, modificar un grupo, etc.

Grupo a Delegaciones de Grupo concede a los miembros de un grupo para
actualizar un conjunto de atributos de miembros de otro grupo.

EJEMPLOS:

Añadir una regla de delegación para permitir a los gestores editar las direcciones de los empleados:
   ipa delegation-add --attrs=street --group=managers --membergroup=employees "managers edit employees' street"

 Cuando gestiona una lista de atributos usted necesita incluir todos los atributos en 
 la lista, incluyendo los existentes. Añadir postalCode a la lista:
   ipa delegation-mod --attrs=street --attrs=postalCode --group=managers --membergroup=employees "managers edit employees' street"

 Mostrar nuestra regla actualizada:
   ipa delegation-show "managers edit employees' street"

 Borrar una regla:
   ipa delegation-del "managers edit employees' street"

Grupos de Comandos Sudo

Gestionar grupos de Comandos Sudo.

EJEMPLOS:

 Añadir un nuevo Grupo de Comandos Sudo:
   ipa sudocmdgroup-add --desc='administrators commands' admincmds

 Borrar un Grupo de Comando Sudo:
   ipa sudocmdgroup-del admincmds

 Gestionar pertenencia a Grupo de Comando Sudo, comandos:
   ipa sudocmdgroup-add-member --sudocmds=/usr/bin/less,/usr/bin/vim admincmds

 Gestionar pertenencia a Grupo de Comando Sudo, comandos:
   ipa group-remove-member --sudocmds=/usr/bin/less admincmds

 Mostrat un Grupo de Comando Sudo:
   ipa group-show localadmins

Servicios de HBAC

Los servicios PAM a los que HBAC puede controlar el acceso. El nombre utilizado aquí debe coincidir
con el nombre del servicio que PAM está evaluando.

EJEMPLOS:

 Añadir un nuevo servicio:
   ipa hbacsvc-add tftp

 Modificar un servicio de HBAC:
   ipa hbacsvc-mod --desc="TFTP service" tftp

 Buscar servicios para HBAC. Este ejemplo retornará dos resultados, el servicio FTP
 y el servicio recién añadido tftp:
   ipa hbacsvc-find ftp

 Borrar un servicio de HBAC:
   ipa hbacsvc-del tftp


Hosts/Máquinas

Un host representa una máquina. Puede ser usado en distintos contextos:
- las entradas de servicio están asociadas con un host
- un host almacena el host/ servicio principal
- un host puede ser usado en reglas de Control de Acceso basado en Host (HBAC)
- cada cliente inscrito genera una entrada de host

Operaciones de certificado IPA

Localizaciones IPA

Roles del servidor IPA

IPA servers

IPA soporta el uso de fichas OTP para la autenticación de varios factores. Este
código habilita la gestión de las fichas OTP.

IPA soporta el uso de servidores proxy RADIUS externos para autenticaciones krb5
OTP. Esto permite una gran oferta de flexibilidad cuando se integra con servicios de 
autenticación de tercera parte.

IPA soporta el uso de certificados para la autenticación. Las certificados pueden ser
bien almacenados en la entrada del usuario (el certificado completo en el atributo
usercertificate) o simplemente enlazado a la entrada de usuario a través de un
mapeo. Esta código habilita la gestión de las reglas permitiendo enlazar un
certificado a una entrada de usuario.

Implementa un conjunto de comandos para manejar los certificados de servidor SSL.

Con el objetivo de pedir un certificado:

Puede ser difícil manipular estos registros DNS sin hacer un error e introducir un
valor no válido. El módulo DNS suministra una abstracción sobre estos registros
brutos y permite manipular cada tipo RR con opciones específicas. Por cada tipo
RR soportado, el módulo DNS suministra una opción estándar para manipular
unos registros brutos con el formato --<rrtype>-rec, e.g. --mx-rec y opciones
especiales para cada parte de la estructura RR con formato --<rrtype>-<partname>,
e. g. --mx-preference and --mx-exchanger.

Uniendo un dominio IPA

Herramientas de informe de estados de características Kerberos PKINIT.

Informa de los másters IPA sobre los cuales Kerberos PKINIT está habilitado o deshabilitado

EJEMPLOS:
 Lista el estado PKINIT sobre todos los másters:
   ipa pkinit-status

 Comprueba el estado PKINIT sobre `ipa.example.com`:
   ipa pkinit-status --server ipa.example.com

 Lista todos los másters IPA con PKINIT deshabilitado:
   ipa pkinit-status --status='disabled'

Para más información sobre soporte PKINIT vea:

https://www.freeipa.org/page/V4/Kerberos_PKINIT

Opciones de kerberos pkinit
Activan o desactivan pkinit anónimo mediante el principal
WELLKNOWN/ANONYMOUS@REALM. El servidor debe haber sido instalado con soporte pkinit.
EJEMPLOS:
Activar pkinit anónimo
  ipa pkinit-anonymous enable
Desactivar pkinit anónimo:
  ipa pkinit-anonymous disable
Para obtener mayor información sobre pkinit anónimo, por favor consulte: 
http://k5wiki.kerberos.org/wiki/Projects/Anonymous_pkinit


Funciones 

Un rol se utiliza para la delegación de grano fino. Un permiso otorga la capacidad de realizar tareas de bajo nivel (añadir un usuario, modificar un grupo, etc.) Un privilegio combina uno o más permisos en una abstracción 
de nivel superior tales como useradmin. Un useradmin sería capaz de añadir, eliminar y modificar usuarios. 

Los privilegios son asignados a roles.

Los usuarios, grupos, hosts y hostgroups pueden ser miembros de un Rol. 

Los Roles no pueden contener otros roles.

EJEMPLOS:

Añadir un nuevo rol: 
   ipa role-add --desc="Junior-level admin" junioradmin
   ipa role-add-privilege --privileges=change_password junioradmin
   ipa role-add-privilege=add_user_to_default_group
junioradmin

Agregar un grupo de usuarios a este rol:
   ipa group-add --desc="User admins" useradmins       
   ipa role-add-member --groups=useradmins junioradmin 

Mostrar información sobre el rol:
   ipa role-show junioradmin

El resultado de esto es que cualquier usuario en el grupo 'useradmins' puede agregar usuarios, restablecer contraseñas o añadir un usuario al grupo de usuarios predeterminado de la IPA.

Manejar Autoridades de Certificado

Gestionar la configuración y las reglas del Mapeo de Identidad del Certificado.

Gestión de los Certificados de Perfil

LOs Certificados de Perfil son usados por una Autoridad de Certificación (CA) en la
firma de certificados si una Petición de Firma de Certificado (CSR) es aceptable y
que características y extensiones estarán presentes en el certificado.

El formato del Cetificado de Perfil es la lista de propiedad entendida por Dogtag
o Red Hat Certificate System CA.

SINTAXIS DEL ID DE PERFIL:

Una ID de Perfil es una cadena sin espacios o puntuación que empieza con una
letra y seguida por una secuencia de letras, dígitos o guiones bajos ("_").

EJEMPLOS:

  Importar un perfil que no almacenará los certificados enviados:
    ipa certprofile-import ShortLivedUserCert \
      --file UserCert.profile --desc "User Certificates" \
      --store=false

  Borrar un certificado de perfil:
    ipa certprofile-del ShortLivedUserCert

  Mostrar información sobre un perfil:
    ipa certprofile-show ShortLivedUserCert

  Guardar la configuración del perfil en un fichero:
    ipa certprofile-show caIPAserviceCert --out caIPAserviceCert.cfg

  Búsqueda de perfiles que almacenan certificados:
    ipa certprofile-find --store=false

FORMATO DE CONFIGURACIÓN DE PERFIL:

El formato de configuración de perfil es el formato crudo de lista de propiedad
usado por Dogtag Certificate System.  No está soportado el formato XML.

A los perfiles manejados por IPA se les aplican las siguientes restricciones:

- Cuando se importa un perfil el campo "profileId", si está presente, debe coincidir
  con la ID dada en la linea de comandos.

- El campo "classId" debe estar fijado a "caEnrollImpl"

- El campo "auth.instance_id" debe estar fijado a "raCertAuth"

- La clase de entrada "certReqInputImpl" y la de salida "certOutputImpl" se deben
  usar.


Gestionar zona DNS y registro de recursos.

Gestionar fichas OTP.

Gestionar Servidores Proxy RADIUS.

Gestionar fichas YubiKey.

Manejar bóvedas.

Permisos gestionados

Manipular localizaciones DNS

Manipular la configuración del servidor DNS

Migración a IPA

Migrar usuarios y grupos desde un servidor LDAP a IPA.

Esto lleva a cabo una consulta LDAP contra el servidor remoto buscando 
usuarios y grupos en un contenedor. Con el objetivo de migrar las contraseñas
usted necesita enlazar como un usuario que pueda leer el atributo userPassword
sobre el servidor remoto. Esto normalmente está restringido a administradores de
alto nivel como cn=Directory Manager en 389-ds (este es el usuario de enlace por defecto).

El contenedor de usuario por defecto es ou=People.

El contenedor de grupo por defecto es ou=Groups.

Los usuarios y grupos que ya existen en el servidor IPA son saltados.

Dos esquemas LDAP definen como se almacenan los miembros del grupo:
RFC2307 y RFC2307bis. RFC2307bis usa miembro y miembro único para
especificar los miembros del grupo. RFC2307 usa memberUid. El esquema por defecto es RFC2307bis.

La característica de compatibilidad de esquema permite a IPA reformatear datos
para sistemas que no soportan RFC2307bis. Se recomienda deshabilitar esta
característica durante la migración para reducir la sobrecarga del sistema. Puede
ser rehabilitado después de la migración. Para migrar con esto habilitado use la opción "--with-compat".

Los usuarios migrados no tienen credenciales Kerberos, solo tienen su contraseña
LDAP. Para completar el proceso de migración los usuarios necesitan ir a
to http://ipa.example.com/ipa/migration y autenticar usando su contraseña LDAP
 con el objetivo de generar sus credenciales Kerberos.

La migración está deshabilitada por defecto. Use el comando ips config-mod para
 habilitarla:

 ipa config-mod --enable-migration=TRUE

Si no se ha suministrado una base DN con –basedn IPA usará en su lugar el valor
de defaultNamingContext si se ha establecido o el primer valor establecido en
namingContexts en la raíz el servidor LDAP remoto.

Los usuarios son añadidos como miembros del grupo de usuarios predeterminado.
Esta puede ser una tarea que consuma mucho tiempo de modo que durante la
migración se hace por lotes para cada 100 usuarios. Como resultado habrá una ventana en la que los usuarios se añadirán a IPA pero no serán miembros del
grupo de usuario predeterminado.

EJEMPLOS:

 La migración más sencilla, aceptando todo lo predeterminado:
   ipa migrate-ds ldap://ds.example.com:389

 Especificar el contenedor de usuario y grupo. Esto se puede usar para migrar datos
 de usuario y grupo desde un servidor IPA v1:
   ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       ldap://ds.example.com:389

Puesto que el servidor IPA v2 ya contiene grupos predefinidos que pueden chocar
con los grupos en servidor migrado (IPA v1) (por ejemplo admins, ipausers), los
usuarios que tengan un grupo que choque con su grupo primario puede suceder
que pertenezcan a un grupo desconocido sobre el nuevo servidor IPA v2
Use la opción --group-overwrite-gid para sobreescribir la GID de los grupos ya
existentes y evitar esta cuestión:
    ipa migrate-ds --group-overwrite-gid \
        --user-container='cn=users,cn=accounts' \
        --group-container='cn=groups,cn=accounts' \
        ldap://ds.example.com:389

Los usuarios o grupos migrados pueden tener objetos clase y atributos
acompañantes desconocidos por el servidor IPS v2. Estos objetos clase y atributos
pueden ser dejados fuera durante el proceso de migración:
    ipa migrate-ds --user-container='cn=users,cn=accounts' \
       --group-container='cn=groups,cn=accounts' \
       --user-ignore-objectclass=radiusprofile \
       --user-ignore-attribute=radiusgroupname \
       ldap://ds.example.com:389

REGISTRO

La migración registrará alarmas y errores en el registro de error Apache. Este
fichero debería ser evaluado después de la migración para corregir o investigar
cualquier cuestión que se descubra.

Por cada 100 usuarios migrados y mensaje de nivel informativo será mostrado
dando el progreso actual y l duración para hacer posible rastrear el progreso de la
migración.

Si el nivel de registro es depuración, bien porque se haya fijado debug = True en
etcipa/default.conf o etcipa/server.conf, se añadirá una entrada por cada usuario
añadido más un resumen cuando el grupo de usuario predeterminado se haya
actualizado.

Misc plug-ins

Netgroups

Un netgroup es un grupo usado para comprobación de permisos. Puede contener
valores tanto de usuario como de host.

EJEMPLOS:

 Añadir un nuevo netgroup:
   ipa netgroup-add --desc="NFS admins" admins

 Añadir miembros al netgroup:
   ipa netgroup-add-member --users=tuser1 --users=tuser2 admins

 Quitar un miembro del netgroup:
   ipa netgroup-remove-member --users=tuser2 admins

 Mostrar información sobre un netgroup:
   ipa netgroup-show admins

 Borrar un netgroup:
   ipa netgroup-del admins

Advierta la diferencia entre atributos y entradas. Los permisos son independientes,
de este modo ser capaz de añadir un usuario no significa que el usuario sea
editable.

Fichas OTP

Configuración OTP

Gestiona los valores por defecto que IPA usa para las fichas OTP.

EJEMPLOS:

 Muestra a configuración OTP básica:
   ipa otpconfig-show

 Muestra todas las opciones de configuración OTP:
   ipa otpconfig-show --all

 Cambia la ventana máxima de autenticación TOTP a 10 minutos:
   ipa otpconfig-mod --totp-auth-window=600

 Cambia la ventana máxima de sincronización TOTP a 12 horas:
   ipa otpconfig-mod --totp-sync-window=43200

 Cambia la ventana máxima de autenticación HOTP a 5:
   ipa hotpconfig-mod --hotp-auth-window=5

 Cambia la ventana máxima de sincronización a 50:
   ipa hotpconfig-mod --hotp-sync-window=50

Política de contraseñas

Una contraseña establece límites en contraseñas de IPA, incluyendo máxima y mínima duración, el número de contraseñas a guardar en historial, el número de clases de caracteresrequeridos (para contraseñas ás fuertes)
y el mínimo de longitud de una contraseña.

Por defecto es una única política global para todos los usuarios. También puede crear una política de contraseña para aplicar a un grupo. Cada usuario está sujeto solamente a una política de contraseña, ya sea de grupo o global. Una política de grupo es autónoma;  no es uper-set de la política global mas los parámetros personalizados.
Cada política de contraseña requiere una configuración única . Si un usuario está en varios grupos que tienen políticas de contraseñas, esta prioridad determina qué política de contraseña aplica. Un valor inferior indica una política de prioridad superior.

Las políticas de contraseña de grupo se eliminan automáticamente cuando se eliminan los grupos a los cuales están asociados.

EJEMPLOS:

 Modificar la política global:
   ipa pwpolicy-mod --minlength=10

 Agregar una política de contraseña de nuevo grupo:
   ipa pwpolicy-add --maxlife=90 --minlife=1 --history=10 --minclasses=3 --minlength=8 --priority=10 localadmins

 Mostrar una política de contraseña global:
   ipa pwpolicy-show

 Mostrar una política de contraseña de grupo:
   ipa pwpolicy-show localadmins

 Mostrar la política que sería aplicada al usuario dado:
   ipa pwpolicy-show --user=tuser1

 Modificar una polítca de contraseña de grupo:
   ipa pwpolicy-mod --minclasses=2 localadmins

Permisos

Permisos

Un permiso habilita una delegación de grano fino de derechos. Un permiso es un formato
legible por el hombre de una Regla de Control de Acceso (ACL) 389-ds o una instrucción (ACI).
Un permiso otorga el derecho de llevar a cabo una tarea específica como añadir un
usuario, modificar un grupo, etc.

Un permiso puede contener otros permisos.

* Un permiso otorga acceso de escritura, lectura, añadir o borrar.
* Un privilegio combina permisos similares (por ejemplo los permisos necesarios para 
  añadir un usuario).
* Un rol otorga un conjunto de privilegios a usuarios, grupos, hosts o grupos de hosts.

Un permiso consta de diversas partes:

1. El nombre del permiso.
2. El objetivo del permiso.
3. Los derechos otorgados por el permiso.

Los derechos definen que operaciones están permitidas y pueden ser una o más de las
siguientes:
1. write - escribir uno o más atributos
2. read - leer uno o más atributos
3. add - añadir una nueva entrada al árbol
4. delete - borrar una entrada existente
5. all - se otorgan todos los permisos

El permiso de lectura se otorga para la mayoría de los atributos por defectos de modo que
el permiso de lectura no se espera que use con frecuencia.

Advierta la distinción entre atributos y entradas. Los permisos son independientes, de
modo que ser capaz de añadir un usuario no siginifica que el usuario será editable.

Hay diversos objetivos permitidos:
1. type: un tipo de objeto (usuario, grupo, etc).
2. memberof: un miembro de un grupo o grupo de host
3. filter: un filtro LDAP
4. subtree: un filtro LDAP especificando parte del LDAP DIT. Esto es un superconjunto del
   objetivo "type".
5. targetgroup: otorga acceso a modificar un grupo específico (como obteniendo
   derechos para manejar la pertenencia al grupo)

EJEMPLOS:

 Añadir un  permiso que otorga la creación de usuarios:
   ipa permission-add --type=user --permissions=add "Add Users"

 Añadir un permiso que otorga la capacidad de manejar la pertenencia al grupo:
   ipa permission-add --attrs=member --permissions=write --type=group "Manage Group Members"

Los permisos que vienen con IPA por defecto se pueden llamar permisos
"gestionados". Estos tienen un conjunto de atributos predeterminados que aplican,
pero el administrador puede añadir/borrar atributos individuales de/a el conjunto.

Haga ping al servidor IPA remoto para asegurarse que está corriendo.

El comando ping envía una petición de eco al servidor IPA. El servidor devuelve
su información de versión. Esto se usa por un cliente IPA para confirmar que el
servidor está disponible y acepta peticiones.

El servidor de xmlrpc_uri en /etc/ipa/default.conf es el primero en contactarse. Si no
responde el clinte contactará con cualquier de los servidores definidos por los
registros ldap SRV en DNS.

EJEMPLOS:

 Hacer ping a un servidor IPA:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Hacer ping a un servidor IPA verbosamente:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server 'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Haga ping al servidor IPA remoto para asegurar que está corriendo.

El comando ping envía una petición de eco a un servidor IPA. El servidor devuelve su
información de versión. Esto se usa por un cliente IPA para confirmar que el servidor está
disponible y acepta peticiones.

El servidor desde xmlrpc_uri en /etc/ipa/default.conf es contactado primero. Si no
el cliente contactará con cualquier de los servidores definidos por los registros ldap SRV
en DNS.

EJEMPLOS:

 Ping a un servidor IPA:
   ipa ping
   ------------------------------------------
   IPA server version 2.1.9. API version 2.20
   ------------------------------------------

 Ping a un servidor IPA verbosamente:
   ipa -v ping
   ipa: INFO: trying https://ipa.example.com/ipa/xml
   ipa: INFO: Forwarding 'ping' to server u'https://ipa.example.com/ipa/xml'
   -----------------------------------------------------
   IPA server version 2.1.9. API version 2.20
   -----------------------------------------------------

Los plugins no son accesibles a través d CLI,  comandos usados internamente

Privilegios
Un privilegio combina permisos dentro de una tarea lógica. Un permiso proporciona
los derechos para realizar una tarea específica.
Por ejemplo, añadir un usuario requiere los siguientes permisos:
Crear una nueva entradasd de usuario
Restablecer una contraseña de usuario
Añadir el nuevo usuario  al grupo de usuario predeterminado de IPA
Combinar estos tres niveles inferiores dentro de una tarea de nivel superior en forma de un privilegio 
denominado "Add User" facilita el manejo de roles.

Un privilegio no puede contener otros privilegios.

Ver el rol y el permiso para información adicional. 

   



Servidores Proxy RADIUS

RE-INSCRIPCIÓN:

El host que ha sido inscrito en algún punto y pierde su configuración (e.g. VM destruido) puede ser reinscrito.

Para mas información, consulte las páginas de manual para ipa-client-install.

Un host puede almacenar opcionalmente información como donde está localizado,
el SO que ejecuta, etc.

Dominios de reino

Gestiona la lista de dominios asociados con el reino IPA.

Esta lista es útil para los Controladores de Dominio de otros reinos que tienen
establecida confianza con este reino IPA. Necesitan la información para saber que 
peticiones deberían ser reenviadas a KDC de este reino IPA.

Gestión automática: se añade un dominio automáticamente a la lista de dominios
cuando se crea una nueva Zona DNS gestionada por IPA. Lo mismo se aplica para el borrado.

DNS extermanete gestionado: los dominios que no son gestionados en el servidor
IPA DNA necesitan ser añadidos manualmente a la lista usando el comando ipa realmdomains-mod command.

EJEMPLOS:

 Muestra la lista actual de dominios reino:
   ipa realmdomains-show

 Reemplaza la lista de dominios reino:
   ipa realmdomains-mod --domain=example.com
   ipa realmdomains-mod --domain={example1.com,example2.com,example3.com}

 Añade un dominio a la lista de dominios reino:
   ipa realmdomains-mod --add-domain=newdomain.com

 Borra un dominio de la lista de dominios reino:
   ipa realmdomains-mod --del-domain=olddomain.com

La eliminación de '%(hostname)s' lleva a desconectar la topología en sufijo '%(suffix)s':
%(errors)s
La replica de la topología en el sufijo '%(suffix)s' está desconectada:
%(errors)s
Información devuelta sobre la identidad actualmente autentificada

El comando quien soy devuelve información sobre como obtener más detalles sobre la identidad autentificada para esta petición. La información incluye:

 * tipo de objeto
 * comando para recuperar detalles del objeto
 * argumentos y opciones a pasar al comando

La información se devuelve como un diccionario. Los ejemplos de abajo usan la salida 'key: value' con propósitos ilustrativos.

EXAMPLES:

 Buscar como usuario IPA:
   kinit admin
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: user
   command: user_show/1
   arguments: admin
   ------------------------------------------

 Buscar como un usuario desde un dominio de confianza:
   kinit user@AD.DOMAIN
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: idoverrideuser
   command: idoverrideuser_show/1
   arguments: ('default trust view', 'user@ad.domain')
   ------------------------------------------

 Buscar como host:
   kinit -k
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: host
   command: host_show/1
   arguments: ipa.example.com
   ------------------------------------------

 Buscar como servicio Kerberos:
   kinit -k -t /path/to/keytab HTTP/ipa.example.com
   ipa console
   >> api.Command.whoami()
   ------------------------------------------
   object: service
   command: service_show/1
   arguments: HTTP/ipa.example.com
   ------------------------------------------

Los derechos definen que operaciones están permitidas y pueden ser una o mas
de las siguientes:
1. write - escribe uno o más atributos
2. read - lee uno o más atributos
3. search - busca uno o más atributos
4. compare - compara uno o más atributos
5. add - añade una nueva entrada al árbol
6. delete - borra una entrada existente
7. all - concede todos los permisos

BUSCANDO:

Mapeo de Usuario SELinux

Mapeo de usuarios IPA a usuarios SELinux por host.

Hosts, grupos de hosts, usuarios y grupos pueden ser definidos bien dentro de
una regla o pueden apuntar a una regla HBAC existente. Cuando se utiliza la
opción –hbacrule para  selinuxusermap-find se hace una coincidencia exacta con
el nombre de regla HBAC, de modo que solo se devolverán entradas uno o cero.

EJEMPLOS:

 Crear una regla, "test1", que ajuste a todos los usuarios a xguest_u:s0 en el "server":
   ipa selinuxusermap-add --usercat=all --selinuxuser=xguest_u:s0 test1
   ipa selinuxusermap-add-host --hosts=server.example.com test1

 Crear una regla, "test2", que fije todos los usuarios a guest_u:s0 y un regla HBAC existente para los usuarios y hosts:
   ipa selinuxusermap-add --usercat=all --hbacrule=webserver --selinuxuser=guest_u:s0 test2

 Mostrar las propiedades de una regla:
   ipa selinuxusermap-show test2

 Crear una regla para un usuario especifico. Esto ajusta el contexto SELinux para el 
 usuario john a unconfined_u:s0-s0:c0.c1023 sobre cualquier máquina:
   ipa selinuxusermap-add --hostcat=all --selinuxuser=unconfined_u:s0-s0:c0.c1023 john_unconfined
   ipa selinuxusermap-add-user --users=john john_unconfined

 Deshabilita una regla:
   ipa selinuxusermap-disable test1

 Habilita una regla:
   ipa selinuxusermap-enable test1

 Encontrar una regla con referencia a un regla HBAC específica:
   ipa selinuxusermap-find --hbacrule=allow_some

 Borrar una regla:
   ipa selinuxusermap-del john_unconfined

VEA TAMBIÉN:

 La lista controlando el orden en el cual se aplica el mapeo de usuario SELinux
 y el usuario SELinux predeterminado está disponible en el comando config-show.

TIPOS DE ZONA SOPORTADOS

 * Zona maestro (dnszone-*), contiene datos autoritativos.
 * Zona de información (dnsforwardzone-*), envía solicitudes a otros servidores 
 (un conjunto de servidores DNS).

Buscar ACIs.

    Devolver una lista de ACIs

    EJEMPLOS:

     Para encontrar todos los ACIs que se aplican directamente a miembros del grupo ipausers:
       ipa aci-find --memberof=ipausers

     Para encontrar todos los ACIs que obtienen acceso añadir:
       ipa aci-find --permissions=add

    Advierta que el comando find solo busca el texto dado en el conjunto de ACIs, no
    evalúa los ACIs a ver si aplicaría alguno.
    Por ejemplo, la búsqueda sobre memberof=ipausers encontrará todos los ACIs
    que tengan ipausers como memberof. Allí puede haber otros ACIs que se
    apliquen a miembros de ese grupo indirectamente.
    
Permisos de Auto-Servicio

Un permiso habilita una delegación de permisos de. Las Reglas de Control Acceso, o instrucciones (ACIs), conceden permiso a los permisos para llevar a cabo tareas
dadas como añadir un usuario, modificar un grupo, etc.

Un permiso de Auto-Servicio define que un objeto puede cambiar en su propia entrada.


EJEMPLOS:

 Añadir una regla de auto-servicio para permitir a los usuarios gestionar su
 dirección (usando una expresión Bash brace):
   ipa selfservice-add --permissions=write --attrs={street,postalCode,l,c,st} "Los usuarios gestionan sus propias direcciones"

 Cuando está gestionando la lista de atributos usted necesita incluir todos los
 atributos en la lista, incluyendo los existentes.
 Añadir telephoneNumber a la lista (usando expansión Bash brace):
   ipa selfservice-mod --attrs={street,postalCode,l,c,st,telephoneNumber} "Los usuarios gestionan sus propias direcciones"

 Mostrar nuestra regla actualizada:
   ipa selfservice-show "Los usuarios gestionan sus propias direcciones"

 Borrar una regla:
   ipa selfservice-del "Los usuarios gestionan sus propias direcciones"

Auto servicio de Permisos

Un permiso habilita una delegación de grano fino de permisos. Las Reglas de Control de
Acceso o instrucciones (ACIs), conceden permisos a los permisos para llevar a cabo tareas
dadas como añadir un usuario, modificar un grupo, etc.

Un Permiso de Auto servicio define lo que un objeto puede cambiar en su propia entrada.


EJEMPLOS:

 Añadir una regla de auto servicio para permitir a los usuarios gestionar sus direcciones:
   ipa selfservice-add --permissions=write --attrs=street,postalCode,l,c,st "Los usuarios maejan sus propias direcciones"

 Cuando maneje una lista de atributos usted necesita incluir todos los atributos en la lista, incluyendo los existentes. Añadir un Número de teléfono a la lista:
   ipa selfservice-mod --attrs=street,postalCode,l,c,st,telephoneNumber "Los usuarios manejan sus propias direcciones"

 Visualizar nuestra regla actualizada:
   ipa selfservice-show "Los Usuarios manejan sus propias direcciones"

 Borrar una regla:
   ipa selfservice-del "Los usuarios manejan sus propias direcciones"

Servicios

Un servicio IPA representa un servicio que corre en un host. El registro del servicio 
IPA puede almacenar un principal Kerberos, un certificado SSL o ambos.

Un servicio IPA puede ser manejado directamente desde la maquina,  siempre que
la maquina haya recibido el permiso correcto. Esto es cierto aún en maquinas
distintas a las que el servicio está asociado. Por ejemplo, solicitar un certificado
SSL utilizando las credenciales principales del servicio de host del anfitrión. Para
administrar un servicio utilizando las credenciales de host usted debe kinit como
host:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM
Agregar un servicio IPA permite que el servicio asociado solicite un certificado SSL
o tabla de claves, pero esto se realiza como un paso separado; no se produce
como resultado de agregar el servicio.

Solo se almacena en el registro del servicio el aspecto público del certificado; la
clave privada no se almacena.

EJEMPLOS:

 Añadir un nuevo servicio IPA:
   ipa service-add HTTP/web.example.com

 Permitir a un host gestionar un certificado de servicio IPA:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Anular la lista predeterminada de tipos de PAC soportados para el servicio:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

Un caso de uso típico donde es necesario anular el tipo PAC es Nfs. Actualmente
el código relacionado en el kernel Linux puede solo manejar tickets Kerberos hasta
un tamaño máximo. Como los datos PAC pueden ser bastante largos se
recomienda establecer –pac-type=NONE para servicios NFS.

 Borrar un servicio IPA:
   ipa service-del HTTP/web.example.com

 Encontrar todos los servicios IPA asociados con un host:
   ipa service-find web.example.com

 Encontrar todos los servicios HTTP:
   ipa service-find HTTP

 Deshabilitar la clave de servicio Kerberos y el certificado SSL:
   ipa service-disable HTTP/web.example.com

 Pedir un certificado para un servicio IPA:
   ipa cert-request --principal=HTTP/web.example.com example.csr

Servicios

Un servicio IPA representa un servicio que corre en un host. El registro del servicio IPA
puede almacenar un principal Kerberos, un certificado SSL a ambos.

Un servicio IPA puede ser manejado directamente desde una máquina, siempre que la
máquina haya recibido los permisos correctos. Esto es cierto aún para máquinas distintas
a aquella a la que el servicio está asociado. Por ejemplo, pidiendo un certificado SSL
usando las credenciales de servicio principal de host del anfitrión. Para manejar un
 servicio usando las credenciales del anfitrión usted necesita tokinit como el anfitrión:

 # kinit -kt /etc/krb5.keytab host/ipa.example.com@EXAMPLE.COM

Añadir un servicio IPA permite al servicios asociado pedir un certificado SSL o keytab, pero esto se lleva a cabo como un paso separado; esto no se produce como resultado de añadir el servicio.

Solo se almacena el aspecto público de un certificado en un registro de servicio la clave
privada no se almacena.

EJEMPLOS:

 Añadir un nuevo servicio IPA:
   ipa service-add HTTP/web.example.com

 Permitir a un host manejar un certificado de servicio IPA:
   ipa service-add-host --hosts=web.example.com HTTP/web.example.com
   ipa role-add-member --hosts=web.example.com certadmin

 Anular una lista predeterminada de tipos PAC soportados para el servicio:
   ipa service-mod HTTP/web.example.com --pac-type=MS-PAC

 Borrar un servicio IPA:
   ipa service-del HTTP/web.example.com

 Encontrar todos los servicios IPA asociados con un host:
   ipa service-find web.example.com

 Encontrar todos los servicios HTTP:
   ipa service-find HTTP

 Deshabilitar la clave del servicio Kerberos y el certificado SSL:
   ipa service-disable HTTP/web.example.com

 Pedir un certificado para un servicio IPA:
   ipa cert-request --principal=HTTP/web.example.com example.csr

 Generar y recuperar una keytab para un servicio IPA:
   ipa-getkeytab -s ipa.example.com -p HTTP/web.example.com -k /etc/httpd/httpd.keytab

Establecer contraseña de un usuario

Si alguien que no sea un usuario cambia la contraseña del usuario (por ejemplo, Servicio de Ayuda la restablece), entonces la contraseña tendrá que ser cambiada la primera vez que se utiliza. Esto es para que el usuario final sea el único que conoce la contraseña.
La directiva de contraseñas IPA controla la frecuencia de cambio de una contraseña, los requisitos de fortaleza y longitud del historial de contraseñas. EJEMPLOS:
Para restablecer su contraseña:
   ipa passwd tuser1

 Para cambiar la contraseña de otro usuario:
   ipa passwd tuser1

La bóveda standard usa un mecanismo seguro para transportar y
almacenar el secreto. El secreto puede ser sólo recuperado por los usuarios
que tiene acceso a la bovéda.

Su pueden añadir Autoridades de Certificado Subordinadas (Sub-CAs) para
emisión con alcance de certificados X.509.

Comandos de Sudo

Comandos usados como partes integrantes de sudo

EJEMPLOS:

 Crear un comando nuevo
   ipa sudocmd-add --desc='For reading log files' /usr/bin/less

 Eliminar un comando
   ipa sudocmd-del /usr/bin/less


La bóveda symmetric es similar a la standard, pero
encripta previamente el secreto usando una contraseña antes de transportar.
El secreto sólo se puede recuperar usando la misma contraseña.

El comando de reconstrucción de auto miembro puede ser usado para ejecutar 
retroactivamente reglas de auto miembro contra las entradas existentes, así reconstruirá su membresía.

El formato de fecha es YYYY-mm-dd.

La placa de identidad CA usa el valor CN del CSR y fuerza al resto del sujeto a
valores configurados en el servidor.

El estado de un rol es habilitado, configurado o ausente.

Existen distinto objetivos permitidos:
1. subtree: un DN; el permiso se aplica al sub-árbol bajo este DN
2. target filter: un filtro LDAP
3. target: DN con posibles comodines, especifica las entradas a las que se aplica

Hay muchos tipos de DNS RR estructurados donde los datos DNS almacenados
en el servidor LDAP no son solo un valor escalar, por ejemplo una dirección IP o
un nombre de dominio, pero es una estructura de datos que puede ser con
frecuencia compleja. Un buen ejemplo es un registro LOC [RFC1876] que consta
de muchas partes obligatorias y opcionales (grados,minutos, segundos de latitud y longitud, altitud o precisión).

Este código es una extensión del plugin otptoken y suministra el soporte para
 leer/escribir directamente en las fichasYubiKey.

USANDO OPCIONES ESTRUCTURADAS POR TIPO

Las bóvedas de usuario son bóvedas propietarias usadas por un usuario concreto. Las bóvedas
privadas son bóvedas propiedad del usuario actual. Las bóvedas de servcio son
bóvedas propiedad de un servicio. Las bóvedas compartidas son propiedad del administrador
pero pueden ser usadas por otros usuarios o sevicios.

Usuarios

Gestiona entradas de usuario. Todos los usuarios son usuarios POXIS.

IPA soporta un amplio rango de formatos de nombre de usuario, pero usted debe estar atento a cualquier restricción que se pueda aplicar a su entorno concreto. Por ejemplo, nombres de usuario que empiezan con un dígito o nombres de usuario que superan cierta longitud pueden causar problemas en algunos sistemas UNIX.
Use 'ipa config-mod' para cambiar el nombre de usuario permitido por las herramientas IPA.

Deshabilitando una cuenta de usuario evita que el usuario obtenga nuevas
credenciales Kerberos. Esto no invalida cualquier credencial que ya hay sido
enviada.

La gestión de contraseña no es parte de este módulo. Para más información sobre 
este punto vea por favor: ipa help passwd

El cierre de una cuenta ante un fallo de contraseña sucede por el master IPA. El
comando user-status se puede usar para identificar en que master está bloqueado
el usuario. Y sobre ese master debe el administrador desbloquear al usuario.

EJEMPLOS:

 Añadir un nuevo usuario:
   ipa user-add --first=Tim --last=User --password tuser1

 Encontrar todos los usuarios cuyas entradas incluyen la cadena "Tim":
   ipa user-find Tim

 Encontrar todos los usuarios con “Tim” como primer nombre:
   ipa user-find --first=Tim

 Deshabilitar una cuenta de usuario:
   ipa user-disable tuser1

 Habilitar una cuenta de usuario
   ipa user-enable tuser1

 Borrar un usuario:
   ipa user-del tuser1

Bóvedas

Cuando se añade un registro, cualquiera de las opciones RR especificas o
estándar para un valor bruto se puede usar, simplemente no deben combinarse en
operación de adicción. Cuando se modifica una entrada existente, se pueden usar
nuevas opciones RR para cambiar una parte de un registro DNS, donde la opción
estándar para el valor bruto se usa para especificar el valor modificado. El siguiente
ejemplo muestra una modificación de la preferencia de un registro MX de 0 a 1 en
un registro sin modificación del intercambiador:
ipa dnsrecord-mod --mx-rec="0 mx.example.com." --mx-preference=1

Cuando se busca por fechas _from fecha hace un >= search y _to fecha hace
<= search. Cuando se combina esto hace como un AND.

Fichas YubiKey
  ipa <command> --help Alternativamente, los siguientes servidores son capaces de ejecutar este comando: %(masters)s"%s" no es un tipo válido de permiso"%s" no es un tipo de objeto${count} item(s) añadido${count} item(s) borradoConfiguraciones de  ${entity} ${primary_key}${entity} ${primary_key} actualizado${entity} añadido con éxito${primary_key} es un miembro de:${primary_key} es gestionada por:${primary_key} miembros:${product}, versión: ${version}%(attr)s no contiene '%(value)s'%(attr)s: sintaxis inválida. %(attr)s : Solamente un valor permitido.%(container)s búsqueda LDAP no devolvió ningún resultado (buscar base: %(search_base)s, objectclass: %(objectclass)s)%(count)d %(type)s registro omitido. Sólo un valor por DNS tipo de registro puede ser modificado a la vez.%(count)d %(type)s registros omitidos. Sólo un valor por DNS tipo de registro puede ser modificado a la vez.%(count)d ACI coincidente%(count)d ACIs coincidentes%(count)d CA coincidente%(count)d CAs coincidentes%(count)d Regla de Mapeo de Identidad de Certificado coincidente%(count)d Reglas de Mapeo de Identidad de Certificado coincidentes%(count)d regla coincidente de HBAC%(count)d reglas coincidentes de HBAC %(count)d grupo de servicio HBAC coincidente%(count)d grupos de servicio HBAC coincidentesServicio HBAC %(count)d coincidenteServicios HBAC %(count)d coincidentes%(count)d localización IPA emparejada%(count)d localizaciones IPA emparejadas%(count)d servidor IPA coincide%(count)d servidores IPA coinciden%(count)d OTP ficha coincidente%(count)d OTP fichas coincidentes%(count)d servidor proxy RADIUS coincidente%(count)d servidores proxy RADIUS coincidentes%(count)d Mapa de Usuario SELinux coincidente%(count)d Mapas de Usuario SELinux coincidentes%(count)d Grupo de Comando Sudo emparejado%(count)d Grupos de Comando Sudo emparejados%(count)d Comando Sudo emparejado%(count)d Comandos Sudo emparejados%(count)d Regla Sudo emparejada%(count)d Reglas Sudo emparejadas%(count)d clave de automontaje coincidente%(count)d claves de automontaje coincidentes%(count)d localización de automontaje coincidente%(count)d localizaciones de automontaje coincidentes%(count)d mapa de automontaje coincidente%(count)d mapas de automontaje coincidentes%(count)d delegación coincidente%(count)d delegaciones coincidentes%(count)d grupo coincidente%(count)d grupos coincidentes%(count)d equipo coincidente%(count)d equipos coincidentes%(count)d grupo de equipos coincidente%(count)d grupos de equipos coincidentes%(count)d autoservicio coincidente%(count)d autoservicios coincidentes%(count)d permiso coincidente %(count)d permisos coincidentes%(count)d complemento cargado%(count)d complementos cargados%(count)d privilegio coincidente%(count)d privilegios coincidentes%(count)d perfil coincidente%(count)d perfiles coincidentes%(count)d rango coincide%(count)d rangos coinciden%(count)d rol coincidente%(count)d roles coincidentes%(count)d reglas coincidentes%(count)d reglas coincidentes%(count)d autoservicio coincidente%(count)d autoservicios coincidentes%(count)d servicio coincidente%(count)d servicios coincidentes			%(count)d confianza encontrada%(count)d confianzas encontradas%(count)d usuario coincidente%(count)d usuarios coincidentes%(count)d variables%(count)s servidor coincide%(count)s servidores coinciden%(count)s rol servidor coincidente%(count)s roles servidor coincidentes%(count)s usuario coincidente%(count)s usuarios coincidentes%(cver)s cliente incompatible con servidor %(sver)s en '%(server)s'%(desc)s:%(info)s%(exception)s%(filename)s: fichero no encontrado%(host)s falló%(host)s falló: %(error)s%(info)sNo se puede eliminar %(key)s porque %(label)s %(dependent)s lo requiere%(key)s no puede ser borrado o deshabilitado porque es el último miembro de %(label)s %(container)s%(label)s %(key)s no puede ser borrado/modificado: %(reason)s%(line)s%(name)s certificado no válido %(oname)s  con el nombre "%(pkey)s" ya existe%(operation)s no está soportada para principal %(principal_type)s%(parent)s: no se encuentra %(oname)s%(pkey)s: no se encuentra %(oname)s%(port)s no es un puerto válido%(reason)s%(subject)s: Certificado mal formado. %(reason)sTiempo de espera de la tares LDAP %(task)s, Task DN: '%(task_dn)s'%(user)s no es un usuario POSIX%s%s registro%s no es un atributo válido.%s registro%s a añadir%s a excluir desde la migración%s a eliminar%s: servidor proxy RADIUS no encontrado%s: grupo no encontrado%s: usuario ya preservado«${port}» no es un puerto válido'%(command)s' es obsoleto. %(additional_info)s'%(entry)s' no tiene certificado'%(name)s' se requiere'%(option)s' opción obsoleta. %(additional_info)s'%(required)s' no debe estar vacío cuando '%(name)s' está establecido«%s» es una parte requerida del registro DNS(obsoleto)(vea detalles en el RFC %s). Comprobar GID del grupo existente. Use la opción --group-overwrite-gid para anular la GID7 no es una razón válida de revocación<all IPA DNS servers><i class="fa fa-info-circle"></i> Para acceder con <strong>certificado</strong>, por favor asegúrese de tener un certificado personal valido. <i class="fa fa-info-circle"></i> Para acceder con <strong>nombre de usuario y contraseña</strong>, introduzcalos en los correspondientes campos después pulse 'Entrar'.<p>Método implícito (conraseña) será usado si no se ha elegido método.</p><p><strong>Contraseña + Dos factores:</strong> LDAP y Kerberos permiten la autenticación con uno de lostipos de autenticación pero Kerberos usa un método de pre autenticacion que requiere usar armadura ccache.</p><p><strong>RADIUS con otro tipo:</strong> Kerberos siempre usa RADIUS, pero LDAP nunca lo hace. LDAP solo reconoce las opciones de contraseña y dos factores.</p><p>Configuración por uso, sobre escribe la configuracion global si cualquier opción esta marcada.</p><p><strong>Contraseña + Dos factores:</strong> LDAP y Kerberos permiten la autenticación con uno de lostipos de autenticación pero Kerberos usa un método de pre autenticacion que requiere usar armadura ccache</p><p><strong>RADIUS con otro tipo:</strong> Kerberos siempre usa RADIUS, pero LDAP nunca lo hace. LDAP solo reconoce las opciones de autenticación contraseña y dos factores.</p>Un permiso SYSTEM no puede ser modificado o quitadoUna lista separada por comas de los campos a buscar cuando se está buscando gruposUna lista separada por comas de los campos a buscar cuando se está buscando usuariosUna descripción de este servidor proxy RADIUSUna descripción de esta regla auto miembroUna descripción de este comando Una descripción de este equipoUna descripción de este grupo de equipoUna descripción de este grupo de rolesUn diccionario representando una entrada LDAPUn grupo no puede ser miembro de sí mismoUn grupo no puede ser agregado como miembro de sí mismoUn host dispuesto a actuar como un intercambiador claveUn host dispuesto a actuar como un intercambiador de correoUn nombre de host al que este nombre de host alias apuntaUna lista de valores ACIUna lista de entradas LDAPUn grupo administrado no puede tener una política de contraseñas.Se encontró un problema al verificar si todos los miembros eran %(verb)s: %(exc)sBuscada una cadena en todos los atributos de objeto relevantesAA transacciónACINombre de ACIObjeto ACI.ACI de permiso %s no fue encontradoPrefijo ACISe requiere prefijo de ACI No se encuentra un ACI cuyo nombre sea "%s"ACIAjuste de Confianza ADNúmero de Versión API no fue enviado, la compatibilidad de envío no está garantizada. Asumiendo la versión API del servidor, %(server_version)sSobreAcceso DenegadoAcceso ObtenidoAcceso obtenido: %sAcceder a este hostHora de accesoAccesoCuentaConfiguración de la cuentaEstado de CuentaCuenta inhabilitada Cuenta deshabilitada: %(disabled)sAccionesActivarAdministrador de dominio Active DirectoryContraseña del administrador de dominio Active DirectoryIntervalo de dominios de Active DirectoryRango de confianza Active Directory con atributos POSIXActivar zonaAgregarAñadir entrada Class of ServiceAñadir Indicador de Autenticación PersonalAñadir Alias Principal KerberosAñadir MuchosAñade un gestor a entrada de usuarioAñadir un nuevo grupo de servicio HBAC.Añadir un nuevo servicio HBAC.Añadir una nueva localización IPA.Añadir un nuevo servicio nuevo IPA.Añadir un nuevo servicio IPA.Añadir una nueva ficha OTP.Añadir un nuevo servidor proxy RADIUS.Añadir un nuevo servicio SMB.Añadir una nueva ficha YubiKey OTP.Añadir una nueva delegación.Añadir un nuevo grupo de política de contraseña.Añadir un n uevo host.Añadir un nuevo grupo de host.Añadir un nuevo grupo de red.Añadir un nuevo permiso.Añadir un nuevo privilegio.Añadir un nuevo rol.Añadir un nuevo auto servicio de permiso.Añadir un nuevo escenario usuario.Añadir un nuevo usuario.Añadir un permiso para una delegación de acceso a zona por reenvío.Añade un permiso para una delegación de acceso por zona.Añadir un  permiso al sistema sin un ACIAñadir un permiso de sistema sin un ACI (comando interno)Añadir un par atributo/valor. El formato es attr=value. El atributo debe ser parte del esquema.Añadir una opción a la Regla Sudo.Agregar y agregar otroAñadir y cerrarAgregar y EditarAñade certificados a la entrada de hostAñadir comandos y grupos de comando sudo afectados por Regla Sudo.Añadir valor personalAñadir dominioAñadir grupo para Sudo a ejecutar como.Añadir hosts y grupos de hosts afectados por Regla Sudo.Añadir hosts que pueda manejar este host.Añadir hosts que pueden gestionar este servicio.Añadir miembros a Grupo de Comando Sudo.Agregar miembro a un grupo.Añadir miembros a un grupo de host.Añadir miembros a un grupo de red.Añadir miembros a un permiso.Añadir miembros a un privilegio.Añadir miembros a un rol.Añadir miembros a un grupo de servicio HBAC.Añadir usuarios migrados sin grupo a un grupo predeterminado (por defecto: true)Añadir nuevo registro de recurso DNS.Añadir nuevos certificados a un servicioAñadir un nuevo alias principal a un servicioAñade un nuevo alias principal a una entrada de hostAñade un nuevo alias principal a la entrada de usuarioAñade uno o más mapeados de certificados a la entrada de usuario.Añade uno o más certificados a la entrada del usuarioAñadir permisos a un privilegio.Añadir privilegios a un rol.Añadir servicios a una regla HBAC.Añadir hosts objetivos y grupos de host a una regla HBAC.Añadir hosts y grupos de host objetivo a una regla de Mapa de Usuario SELinux.Agregar el host de DNS con esta dirección IPAñadir a grupo predeterminadoAñadir usuarios y grupos afectados por Regla Sudo.Añadir usuarios y grupos para Sudo a ejecutar como.Añadir usuarios y grupos a una regla HBAC.Añadir usuarios y grupos a una regla de Mapa de Usuario SELinux.Añadir usuarios que pueden manejar esta ficha.%(map)s agregadosAgregado %(src)s a %(dst)sAñadida confianza Active Directory para el reino "%(value)s"Añadida Regla de Mapeo de Identidad de Certificado "%(value)s"Añadida regla HBAC "%(value)s"Servicio de HBAC "%(value)s" añadidoAgregado servicio de grupo HBAC "%(value)s"Se añadió el intervalo de ID «%(value)s»Añadida localización IPA "%(value)s"Añadir ficha OTP "%(value)s"Añadido servidor proxy RADIUS "%(value)s"Añadido Mapa de Usuario SELinux "%(value)s"Añadido Comando Sudo “%(value)s”Añadido Grupo de Comando Sudo “%(value)s”Añadida Regla Sudo “%(value)s”Regla automiembro añadida "%(value)s"Añadido mapa de automontaje indirecto "%(value)s"Añadida clave de automontaje "%(value)s"Añadida localización de automontaje "%(value)s"Añadido mapa de automontaje "%(value)s"Añadidos certificados a host "%(value)s"Añadidos certificados al servicio principal "%(value)s"Añadidos certificados al usuario "%(value)s"Añadida condición(es) a "%(value)s"Delegación añadida "%(value)s"Ha sido agregado el grupo "%(value)s"Ha sido agregado el equipo "%(value)s"Ha sido agregado el grupo de equipo "%(value)s""%(value)s"netgroup añadidoAñadidos nuevos alias al host "%(value)s"Añadidos nuevos alias al servicio principal "%(value)s"Añade nuevos alias al usuario "%(value)s"Añadiendo la opción "%(option)s" a Sudo Rule "%(rule)s"Permiso agregado "%(value)s"Privilegio añadido "%(value)s"Rol agregado "%(value)s"Añadido autoservicio "%(value)s"Ha sido agregado el servicio "%(value)s"Añadido escenario usuario "%(value)s"Añadido permiso de sistema "%(value)s"Ha sido agregado el usuario "%(value)s"Instrucciones adicionales:Correo-e de administradorAnunciado por los servidoresAfiliación cambiadaAcuerdos borradosAlgoritmoTodos los atributos a los que aplica el permisoTodos los comandos deberían por lo menos tener un resultadoTodos los servidores de nombre fallaron al responder a la consulta sobre la zona reversa DNS %(revdns)sTodos los filtros objetivo, incluyendo aquellos implicados por el tipo y menbresiaPermitirPermitir sincronización PTRPermitir acceso desde el dominio de confianzaPermitir el añadido de miembros externos no IPA desde dominios de confianzaPermitir actualizaciones dinámicas.Permitir a grupos de host crear tabla de teclas de '${primary_key}'Permitir a grupos de host recuperar tabla de teclas de '${primary_key}'Permitir a hosts crear tabla de teclas de '${primary_key}'Permitir a hosts recuperar tabla de teclas de '${primary_key}'Permitida la firma DNSSEC en líneaPermitida la firma DNSSEC de registros en la zonaPermitir consultaPermite la sincronización de registros de reenvío (A, AAAA) y reversa (PTR)Permitir la sincronización de registros adelante (A, AAAA) y atrás (PTR) en la zonaPermitir transferenciaPermitir el uso de recursos IPA por el dominio de la confianzaPermitir a grupos de usuario crear tabla de teclas de '${primary_key}'Permitir a grupo de usuarios recuperar tabla de teclas de '${primary_key}'Permitir a los usuarios crear tabla de teclas de '${primary_key}'Permitir a los usuarios recuperar tabla de teclas de '${primary_key}'Permite a usuarios, grupos, hosts o grupos de host crear una keytab de este host.Permitir a los usuarios, grupos, hosts o grupos de host crear una tabla de claves de este servicio.Permite a usuarios, grupos, hosts o grupos de host recuperar una keytab de este host.Permitir a los usuarios, grupos, hosts o grupos de host recuperar una tabla de claves de este servicio.Permitido crear tabla de teclasPermitido recuperar tabla de teclasPermitir la migración a pesar de la utilización del plugin de compatibilidadYa está registradoAltitudHa ocurrido un error (${error})Ya existe un rango id para esta confianza. Usted debería bien borrar el antiguo rango o excluir las opciones --base-id/--range-size del comando.Un intervalo entre preguntas regulares del servidor de nombre sobre nuevas zonas DNSCualquier comandoCualquier grupoCualquier hostCualquier servicioCualquieraAplicarAplique ACI a su propia entrada (usted)Datos archivados en una bóveda¿Está seguro que desea ${action} el usuario?<br/>El cambio tendrá efecto inmediatamente.¿Está seguro de que desea borrar ${object}?¿Está seguro que desea eliminar las entradas seleccionadas?¿Está seguro de que desea deshabilitar ${object}?Está seguro de que desea habilitar ${object}?¿Está seguro de que desea seguir adelante con la acción?¿Está seguro que desea unprovision este equipo?¿Está seguro de que desea no suministrar este servicio?Argumentos para detalles de la funciónComo WhomPregunta por una contraseña no aleatoria para la principalVista ID asignadaGestor asignado de la ficha (predeterminado: self)Usuario asignado de la ficha (predeterminado: self)AtributoAtributo ClaveAtributo a filtrar por medio de regex. Por ejemplo fqdn para un host o gestor para un usuarioAtributosAtributos a ignorar para las entradas de grupo en DSAtributos a ignorar para las entradas de usuario en DSAtributos a los que aplica la delegaciónAtributos a los que aplican los permisosAtributos a los que el permiso se aplica por defectoAtributos a los que aplican los permisos.AuditoríaAutenticandoIndicadores de AutenticaciónIndicador de autenticaciónIndicadores de autenticaciónAutenticación con Kerberos falladaAutenticación con certificado persona fallóNombre de servidor autoritativoNombre de dominio servidor de nombre autorizadoID de la AutoridadRegla Auto AfiliaciónAuto Afiliación no está configuradaRegla auto miembro: %s no encontrada!Actualización automática de registros DNS del sistema falló. Por favor vuelva a ejecutar manualmente la actualización de registros del sistema para obtener la lista de los registros desaparecidos.Regla AutomiembroTarea completada de reconstruir la membresía del miembroMontaje automáticoClave de AutomontajeLlaves de montaje automáticoLocalización de AutomontajeConfiguración de ubicación de automountUbicaciones de automontadoMapa de AutomontajeMapas de montaje automático    Nombre de clave de montaje automáticoObjeto clave de automontajeNombre de la ubicación de montaje automático.  Nombre del mapa automount.    Archivo maestro automount.DisponiblePolítica de actualización de BINDAtrásVolver al comienzoLas credenciales de caché están mal formadasTipo de sal malo o no soportado.
Mal filtro de búsqueda%(info)s de filtro de búsqueda erradoBase DNBase DN sobre servidor LDAP remotoBase para sujetos certificados (OU=Prueba,O=Ejemplo)Certificado codificado en Base-64.Certificado de host codificado en Base-64Certificado del servidor codificado con base-64Certificado de servicio codificado en Base-64Certificado de usuario codificado en Base-64Falló la decodificación base64: %(reason)sDatos binarios para archivarAsociar DNTipo de regla de enlaceBreve descripción de este perfilCACA de transacciónCertificado CACA no está configuradoRegistro CNAME no está permitido que coexista con ningún otro registro (RFC 1034, sección 3.6.2)CSRCancelarNo puede crear registro reverso para "%(value)s": %(exc)sNo puede decodificar fichero '%(filename)s': %(exc)sNo puede establecer confianza al AD desplegado en el mismo dominio que IPA. Este ajuste no se soporta.No se puede ocultar el maestro de renovación de CA.No se puede ocultar la clave maestra DNSSec.No se puede ocultar el último servidor habilitado %(name)s.No se puede llevar a cabo la validación SID sin el soporte de Samba 4 instalado. Asegúrese de que tiene instalado el sub paquete server-trust-ad de IPA en el servidorNo se puede llevar a cabo la validación del miembro externo sin el soporte para Samba 4 instalado. Asegúrese de que tiene instalado el sub-paquete server-trust-ad de IPA en el servidorNo puede llevar a cabo la operación de unión si el dominio propio configurado. Asegúrese primero que está corriendo ipa-adtrust-install sobre el servidor IPANo puede llevar a cabo el comando seleccionado sin una instancia Samba 4 configurada en este máquina. Asegúrese de estar ejecutando ipa-adtrust-install sobre este servidor.No puede llevar a cabo el comando seleccionado sin el soporte de Samba 4 instalad. Asegúrese de tener el instalado el sub-paquete server-trust-ad de IPA.No se puede cosultar al Administrador de Directorios con APINo puede leer el fichero '%(filename)s': %(exc)sNo es posible resolver KDC para el reinado solicitadoNo puede buscar en los dominios de confianza sin un dominio propio configurado. Asegúrese que tiene corriendo ipa-adtrust-install sobre el servidor IPA primeroNo pudde especificar el mecanismo SASL y el enlace DN simultáneamente.
No se puede especificar servidor y LDAP uri simultáneamente.
No puede almacenar permiso ACI a %sNo puede usar %(old_name)s con %(new_name)sLicencia de conducciónCertificadoDatos de Asociación del CertificadoAutoridades de CertificadoAutoridad de CertificadoCertificado retenidoConfiguración Global del Mapeo de Identidad de CertificadoRegla de Mapeo de Identidad de CertificadoDescripción de la Regla de Mapeo de Identidad de CertificadoNombre de Regla de Mapeo de Identidad de CertificadoReglas de Mapeo de Identidad de CertificadoOpciones de configuración del Mapeo de Identidad de CertificadoCertificado de PerfilCertificado de PerfilesCertificado revocadoBase de certificado de asuntoTipo de certificadoUtilización del CertificadoCadena de certificadoCertificado para ${entity} ${primary_key}Error de certificado de formato: %(error)s La operación certificada no puede ser completada: %(error)sCertificado de los perfiles no pueden ser renombradoCertificados(s) almacenados en el archivo '%(file)s'Certificado/CRLCertificadosCese de operacionesCambiar contraseñaCambio de contraseña para "%(value)s"Cambiado el estado del servidor de "%(value)s".Clases de caracteresComprobar la conexión al servidor IPA remoto.Verificar el estado de una solicitud de firma de certificado.Comprobando que el registro existe.Comprueba si alguno de los servidores tiene un servicio DNS habilitado.CiudadClaseObjeto Class of Service enlazando políticas con gruposLimpiarLimpiar todos los campos en la página.Pulse para ${action}Las credenciales del cliente pueden delegarse al servicioEl cliente no está configurado. Ejecutar la API de cliente a instalar.Versión de cliente. Se utiliza para determinar si el servidor va a aceptar la solicitud.Intervalo de relojDesplazamiento del relojCerrarCierre de tabla de claves falló
Cerrar TodoLista de tipos de cifrado separados por comaLista separada por comas de atributosLista separada por comas de permisos a obtener (lectura, escritura, borrado, todos)Comando '%(name)s' es obsoletoCategoría de comandosCategoría de comandos la regla se aplica aNombre del comandoEl comando no se ha implementadoComandosNombre comúnCondiciones que no pueden ser agregadasCondiciones que no pueden ser eliminadasConfiguraciónLímite administrativo del servidor configurado sobrepasadoTamaño límite configurado sobrepasadoEl tiempo límite configurado sobrepasadoConfirmación Fallos consecutivos antes del bloqueoConsumir un derecho.Configuración de contactosContactar este servidor KDC específicoContinuarContinúe a la siguiente páginaModo continuo: No se detenga en los errores.Modo de funcionamiento continuo. Se reportan errores, pero el proceso continúa    Modo de funcionamiento continuo. Reporta los errores, pero el proceso continúa.No se pudo obtener %(name)s interactivamenteContadorCrear Escenario usuario desde un usuario borradoCrear una CA.Crear una nueva Regla de Mapeo de Identidad de Certificado.Crear una nueva regla HBAC.Crear un nuevo Mapa de Usuario SELinux.Crear una nueva clave de automontaje.Crear una nueva localización de automontaje.Crear un nuevo mapa de automontajeCrear un grupo nuevo.Crear un nuevo punto de montaje indirecto.Crear una nueva bóveda.  Crear como un grupo no POSIXCrear registro DNSCrear nuevo ACI.Crear una zona de envío DNS.Crear nueva zona DNS (registro SOA).Crear un nuevo Grupo de Comando Sudo.Crear un nuevo Comando Sudo.Crear nueva Regla Sudo.Crear reversaCrear registro reverso para esta Dirección IPHa sido creado ACI "%(value)s"Creada CA "%(value)s"Creando el registro.Los permisos de credenciales de caché son incorrectosLos fideicomisos a través del reino no están instalados. Asegúrese de que está corriendo ipa-adtrust-install en el servidor IPA primeroContenidos actuales del registro DNS:
Contraseña ActualSe necesita contraseña actualValor personalPersonalizaciónDN de contenedor para grupos es DS relativo a DNDN de contendor para usuarios es DS relativo a base DNDN a vincular como si no usara kerberosDNSZona de Envío DNSZonas de Envío DNSConfiguración global de DNSTipo DNS RR "%s" no es soportado por el complemento bind-dyndb-ldapRegistro de Recurso de DNSRegistros de Recursos DNSZona DNSConfiguración de la Zona DNSZonas DNSFallo en la comprobación DNS: Esperado {%(expected)s} obtenido {%(got)s}Clase DNSOpciones de configuración de DNSZona de envío DNSZonas de envío DNSReenviador DNSLas semánticas del promotor cambió desde IPA 4.0.
Usted puede desear usar las zonas de envío (dnsforwardzone-*) en su lugar.
Lea los documentos para más detalles.DNS no está configuradola etiqueta DNS no puede ser más larga de 63 caracteresLa etiqueta DNS no puede ser más larga de 63 caracteresRegistro DNS fue borrado porque no contenía datos.Registro(s) DNS del host %(host)s podría no ser removido. (%(reason)s)Los registros DNS solo pueden ser actualizados de uno en unoRegistro de recursos DNSRegistro de tipo de recurso DNS Registros de recurso DNSZona reversa DNS %(revzone)s para dirección IP %(addr)s no está manejada por este servidorServidor DNSServidor DNS %(server)s no soporta DNSSEC: %(error)s.
Si está habilitada la validación DNSSEC sobre servidor(es) IPA, deshabilitélo por favor.Servidor DNS %(server)s no soporta EDNS0 (RFC 6891): %(error)s.
Si la validación DNSSEC está habilitada sobre servidor(es) IPA, por favor deshabilitélo.Servidor DNS %(server)s: %(error)s.Servidores DNSzona DNSZona DNS %(zone)s no encontradoLa zona DNS para cada realmdomain debe contener registros SOA o NS. No se han encontrado registros para: %sEl registro DNS de zona raíz no puede ser renombradozonas DNSEl soporte DNSSEC es experimental.
%(additional_info)sFallo en la validación DNSSEC: %(error)s.
Por favor verifique su configuración DNSSEC o deshabilite la validación DNSSEC en todos los servidores IPA.El registro DS no debe estar en zona apéndice (RFC 4035 sección 2.4)El registro DS requiere coexistir con un registro NS record (RFC 4592 sección 4.6, RFC 4035 sección 2.4)DatosSalida de depuraciónAtributos predeterminadosDominio de correo electrónico por defectoGrupo predeterminado para usuarios nuevosEl grupo predeterminado para nuevos usuarios no es POSIXGrupo predeterminado para nuevos usuarios no encontradoGrupo predeterminado objectclassClases de objeto grupo por defecto (lista separada por comas)Localización por defecto de los directorios homeShell predeterminadaShell predeterminada para usuarios nuevosLa política de entrada por defecto podría no ser leídaTiempo de vida predeterminadoUsuario predeterminado objectclassesClases de objeto usuario por defecto (lista separada por comas)Grupo de usuarios predeterminadoLatitud en gradosGrados de LongitudDelegaciónNombre de delegaciónDelegacionesEliminarBorrar %(name)s '%(value)s'?Borrar ACI.Borrar entrada Class of ServiceBorrar forma de reenvío DNS.Borrar entrada de registro DNS.Borrar un registro de recurso DNS.Borrar zona DNS (registro SOA).Eliminar servidor IPA.La eliminación de clave, unprovisionBorrado Grupo de Comando Sudo.Borrar Comando Sudo.Borrar Regla Sudo.Borrar una Regla de Mapeo de Identidad de Certificado.Borrar un Certificado PerfilBorrar un servidor proxy RADIUS.Borrar un Mapa de Usuario SELinux.Borrar una delegación.Borrar un grupo de política de contraseña.Borrar un host.Borrar un grupo de host.Borrar un grupo de red.Borrar un permiso.Borrar un privilegio.Borrar un rol.Borrar un auto servicio de permiso.Borrar un escenario usuario.Borrar una confianza.Borrar un usuarioBorrar un usuario manteniendo la entrada disponible para un uso futuroBorrar un usuario.Eliminar todos los registros asociados¿Borrar todos?Borrar una regla HBAC.Borrar un grupo de servicio HBAC.Eliminar un intervalo de ID.Borrar una localización IPA.Borrar un servicio IPA.Borrar una ficha OTP.Borrar un par atributo/valor. La opción será evaluada al final, después de todos los ajustes y añadidos.Borrar una clave de automontaje.Borrar una localización de automontaje.Borrar un mapa de automontaje.Borrar un servicio HBAC existente.Borrar dominioEliminar grupo.Ha sido eliminado ACI "%(value)s"Borrada CA "%(value)s"Regla de Mapeo de Identidad de Certificado "%(value)s" borradaBorrada forma de reenvío DNS "%(value)s"Borrada zona DNS "%(value)s"Suprimida regla HBAC "%(value)s"Suprimido el servicio HBAC "%(value)s"    Suprimido el servicio HBAC grupo "%(value)s"Se eliminó el intervalo de ID «%(value)s»Borrada localización IPA "%(value)s"Eliminado servidor IPA "%(value)s"Ficha OTP borrada "%(value)s"Borrado servidor proxy RADIUS "%(value)s"Borrado Mapa de Usuario SELinux "%(value)s"Borrado Comando Sudo “%(value)s”Borrado Grupo de Comando Sudo “%(value)s”Borrada Regla Sudo “%(value)s”Borrada regla automiembro "%(value)s"Borrada clave de automontaje "%(value)s"Borrada una localización de automontaje "%(value)s"Borrado un mapa de automontaje "%(value)s"Delegación eliminada "%(value)s"Ha sido eliminado el grupo "%(value)s"Ha sido eliminado el equipo "%(value)s"Ha sido eliminado el grupo de equipo "%(value)s"%(value)s" de netgroup eliminadosPermiso borrado "%(value)s"Privilegio eliminado "%(value)s "Perfil borrado "%(value)s"Registro eliminado "%(value)s"Rol eliminado "%(value)s"autoservicio eliminados "%(value)s"Ha sido eliminado el servicio "%(value)s"Borrado escenario usuario "%(value)s"Confianza borrada "%(value)s"Ha sido eliminado el usuario "%(value)s"No se permite eliminar un grupo administrado. Primero debe ser desasociado. El borrado de este servidor no está permitido puesto que dejaría su instalción sin una CA.El borrado de este servidor no está permitido puesto que dejaría su instalación sin un KRA.Borrando este servidor dejará su instalación sin un DNS.NegarOpciones obsoletasObsoleto; use %sDescribe la identidad actualmente autentificada.DescripciónDescripción del propósito de la CADesenganchar un grupo gestionado desde un usuario.Ha sido desasociado el grupo "%(value)s" del usuario "%(value)s"Determina si el plugin Schema Compatibility está configurado para servir a los usuarios y grupos de los dominios de confianzaDetermina si ipa-adtrust-install ha estado corriendo sobre este sistemaDetermina si ipa-adtrust-install ha estado corriendo con tarea sidgenDictado de los mensajes regionalesDict de JSON comandos codificados IPAMétodos IPA  codificados de Dict de JSON El dict de JSON ha codificado objetos IPANombre de la variable de mapeo de dicionario a valorizar ResumenTipo de ResumenDígitosDirectoAfiliación DirectaLatitud de direcciónDirección de la LongitudDesactivarDeshabilitar la Zona de Reenvío DNS.Deshabilitar Zona DNS.Deshabilitar una CA.Deshabilitar una Regla de Mapeo de Identidad de Certificado.Deshabilitar Regla Sudo.Deshabilitar una cuenta de usuario.Deshabilitar una regla HBAC.Deshabilitar una regla de Mapa de Usuario SELinux.Deshabilitar la anulación por usoDeshabilitar la clave Kerberos y el certificado SSL de un servicio.Deshabilitar la clave Kerberos, el certificado SSL y todos los servicios de un host.Deshabilitar el uso de recursos IPA por el dominio de la confianzaDesactivadoDeshabilitada CA "%(value)s"Regla de Mapeo de Identidad de Certificado "%(value)s" deshabilitadaDeshabilitada zona de reenvío DNS "%(value)s"Zona de DNS desactivada "%(value)s" "%(value)s" regla HBAC desactivada    Deshabilitado Mapa de Usuario SELinux "%(value)s"Regla Sudo Deshabilitada “%s”Host desactivado "%(value)s"Servicio  inhabilitado "%(value)s"Deshabilitar dominio de confianza "%(value)s" "%(value)s" de cuenta de usuario desactivadaRechazar que los grupos de host creen tabla de teclas de '${primary_key}'Rechazar que los grupos de host recuperen tabla de teclas de '${primary_key}'Rechazar que los hosts creen tabla de teclas de '${primary_key}'Rechazar que los hosts recuperen tabla de teclas de '${primary_key}'Rechazar que los grupos de usuario creen tabla de tecla de '${primary_key}'Rechazar que los grupos de usuario recuperen tabla de teclas de '${primary_key}'Rechazar que los usuarios creen tabla de teclas de '${primary_key}'Rechazar que los usuarios recuperen taa de teclas de '${primary_key}'No permite a usuarios, grupos, hosts o grupos de host crear una keytab de este host.Dejar de permitir a los usuarios, grupos, hosts o grupos de host crear una tabla de claves de este servicio.No permite a usuarios, grupos, hosts o grupos de host recuperar una keytab de este host.Dejar de permitir a los usuarios, grupos, hosts o grupos de host recuperar una tabla de claves de este servicio.Visualizar entrada Class of ServiceMostrar un recurso DNS.Mostrar Grupo de Comando Sudo.Mostrar Comando Sudo.Mostrar Regla Sudo.Muestra un único ACI dando un nombre de ACI.Mostrar una clave de automontaje.Mostrar una localización de automontajeMostrar un mapa de automontajeMostrar los derechos actuales.Ofrece la política efectiva para un determinado usuarioVisualizar información sobre una Regla de Mapeo de Identidad de Certificado.Mostrar información sobre una zona de reenvío DNS.Mostrar información sobre una zona DNS (registro SOA).Muestra información sobre un servidor proxy RADIUS.Mostrar información sobre una delegación.Mostrar información sobre un host.Mostrar información sobre un grupo de host.Mostrar información sobre un grupo denominado.Mostrar información sobre un grupo de red.Mostrar información sobre un permiso.Mostrar información sobre un privilegio.Mostrar información sobre un rango.Mostrar información sobre un rol.Mostrar información sobre un auto servicio de permiso.Mostrar información sobre una confianza.Mostrar información sobre un usuario.Mostrar información sobre un grupo de servicio HBAC.Mostrar información sobre un servicio HBAC.Muestra información sobre una localización IPA.Mostrar información sobre un servicio IPA.Mostrar información sobre una ficha OTP.Mostrar información sobre la política de contraseña.Mostrar nombreMostrar los derechos de acceso de esta entrada (requiere --all). Consulte la página man de IPA para más detalles.Mostrar la actual entrada de política Kerberos.Muestra la lista de dominios reino.Muestra las propiedades de una CA.Muestra las propiedades de un Certificado de PerfilMostrar las propiedades de una regla de Mapa de Usuario SELinux.Mostrar las propiedades de una regla HBAC.Muestra el registro del usuario para el principal de Kerberos actualNo visualiza código QRNo actualizar registros solo devolver registros esperados¿Desea quitar el alias kerberos ${alias}?ID de la Placa de Identidad de la AutoridadDominioDominio '%(domain)s' no es el dominio raíz para el bosque '%(forest)s'GUID de DominioNombre de dominio NetBIOSSID de dominio del dominio de confianzaIdentificador de Seguridad de DominioControlador de dominio para el dominio Active Directory opcional)Dominio habilitadoNombre de dominioDominio donde se buscará la entrada de usuarioNo crear grupo privado de usuarioDescargarDescargar certificado como fichero formateado PEM.Correr en secoLlaves duplicadas omitidasMapa duplicado omitidoActualización dinámicaEditarEditar ${entity}Atributos efectivosDirección de correo electrónicoInformación del EmpleadoActivarHabilitar Zona de Reenvío DNS.Habilitar Zona DNS.Habilitar una CA.Habilitar una Regla de Mapeo de Identidad de Certificado.Habilitar Regla Sudo.Habilitar una cuenta de usuario.Habilitar una regla HBAC.Habilitar una regla de Mapa de Usuario SELinux.Habilitar modo migraciónHabilitar o Deshabilitar PKINIT Anónimo.HabilitadoHabilitada CA "%(value)s"Regla de Mapeo de Identidad de Certificado "%(value)s" habilitadaHabilitada zona de reenvío DNS "%(value)s"Zona DNS habilitada " %(value)s "Habilitada regla HBAC "%(value)s"Habilitado Mapa de Usuario SELinux "%(value)s"Regla Sudo Habilitada “%s”Rolkes de servidor habilitadosHabilitado dominio de confianza "%(value)s" "%(value)s" de cuenta de usuario activadaSolicitud de tipos de cifrado¡Falló comparación de Enctype!
InscripciónInscripción UUIDInscripción de UUID (no implementada)Inscripción fallada. %s
Ingrese %(label)s nuevamente para verificar: EntradaEntrada %s no existeEntrada %s no encontradaErrorError al cambiar el estado de cuentaError al obtener el dominio predeterminado Kerberos:%s.
Error al obtener credenciales de iniciales:%s.
Error de análisis "%1$s": %2$s.
Error al resolver tabla de claves:%s.
Error de almacenamiento de credenciales en cache de credenciales:%s.
Establecida confianza bidireccional. Por defecto la confianza es de un solo sentido entrante.Establecida confianza externa a un dominio en otro bosque. La confianza no es transitiva más allá del dominio.Excedido el número de intentos para enviar una petición.IntercambiadorAtributos excluidosRegex exclusivoExpandir TodoExpandir el búfer en jsonrpc_handle_response fallóExpira elExportar los metadatos del plugin para webUI.ExpresiónExternosGrupo Externo los comandos pueden correr como (sudorule-find sólo)De usuarios externosUsuario Externo los comandos pueden correr como (sudorule-find sólo)Usuario Externo la regla aplica a (sudorule-find sólo)Equipo externoMiembro externoConfianza externaHashes extra para generar en el plugin de contraseñaFiltro de objetivo adicionalError en CAsError al ejecutar comoErro al ejecutar grupo comoFalló permitir crear una KeyTabFalló permitir recuperar una KeyTabHost o grupo de Host fallidosInicios de sesión fallidosFalló managedbyMiembros fallidosError en PropietariosErrores en los perfilesError en el/los servicio(s)Host o grupo de hosts origenes fallidosError en ObjetivosFallo al añadirNo se pudo agregar clave de la tabla de claves
Falló al intenatar agregar al usuario al grupo predeterminado. Utilice 'ipa group-add-member' para agregarlo manualmente.  Falló al autenticarse a CA REST APIFalló al enlazar al servidor!
Fallo al limpiar memberPrincipal %(principal)s de la entrada s4u2proxy %(dn)s: %(err)sFallo al limpiar claves Custodia para %(master)s: %(err)sFallo al limpiar entradas DNA hostname para %(master)s: %(err)sFallo al limpiar entradas %(hostname)s DNS: %(err)sFallo al limpiar principales/claves del servidor: %(err)sNo se pudo cerrar la tabla de claves
Fallo al conectar sssd sobre SystemBus. Vea detalles en error_log¡Falló crear control!
Error al crear el material de clave
¡Falló la creación de clave!
Falló la creación de clave aleatoria
Falló al decodificar la respuesta de control!
Fallo al encontrar usuarios sobre SystemBus.  Vea detalles en error_logFalló al obtener keytab
Falló para obtener keytab!
Falló al obtener resultados: %s
Fallo abrir clave de tablas.
Falló al abrir el fichero de configuración %s
No pudo abrir la tabla de claves
Fallo al abrir keytab '%1$s': %2$s
Falló al analizar el fichero de configuración %s
Falló al analizar el resultado extendido: %s
Falló al analizar el resultado: %s
Error al remover Fallo al quitar el servidor %(master)s de la lista de servidores: %(err)sFallo al resolver el enlace simbólico a keytab.
Falló al recuperar algunas teclasFalló al recuperar la encriptación tipo %1$s (#%2$d)
Falló al recuperar el tipo de encriptación tipo #%d
Fallo al establecer el cursor '%1$s'
Usuario o grupos de usuario incorrectosFalla al intentar decodificar la petición de identificación de certificado: %sFalló reajuste de intervaloGrupo primario de respaldoFalsoFalse si la migración falla porque el plug-in de compatibilidad está habilitado."False", si el modo de migración fue inhabilitado.Número de fxNo se pudo recuperar dominios del bosque de confianza. Vea detalles en error_logNo se encontró el archivo %(file)s Fichero conteniendo datos para archivarFichero que contiene la configuración del perfilFichero que contiene la nueva contraseña de bóvedaFichero que contiene la nueva clave pública de bóvedaFichero conteniendo la contraseña de bóveda antiguaFichero que contiene la clave privada de bóveda antiguaFichero que contiene la contraseña de bóvedaFichero que contiene la clave pública de la bóvedaArchivo desde el que cargar el certificadoArchivo desde donde cargar el certificadoArchivo para almacenar el certificadoEl nombre de fichero está vacíoNombre de fichero de un perfil crudo. El formato XML no se soportaFiltroFiltro disponible ${other_entity}BuscarEncontrar un rol de servidor sobre un servidor(s)Huella digitalHuella digital (SHA1)Huella digital (SHA256)Tipo de huella digitalLas huellas dactilaresPrimer CódigoPrimer Posix ID del rangoPrimera ID Posix ID del rango reservado para los dominios de confianzaPrimer RID del correspondiente rango RIDPrimer RID del rango RID secundarioPrimera fecha/hora en que puede usar la fichaNombreBanderasLos siguientes segmentos no fueron borrados:ForzarFuerza la creación de zona DNS aún en el caso de que se superponga con una zona existente.Fuerza la creación de zona DNS aunque el servidor de nombre no se pueda resolver.Fuerza la creación de zona DNS aunque el servidor de nombre no se pueda resolver. (Obsoleto)Forzar el añadir un dominio aunque no esté en DNSFuerza el cambio del servidor de nombre aunque el servidor de nombre no en DNSForzar la eliminación del servidorFuerza el borrado del servidor aunque no existaForzar la unión del host. Reunirlo aunque ya este unido.Forzando el borrado de %(hostname)sBosque '%(forest)s' tiene confianza existente para forest(s) %(domains)s que evita una confianza en '%(conflict)s'Política de envíoLa política de reenvío se define para ello en IPA DNS, ¿tal vez el reenviador apunta al host incorrecto?Reenvía al servidor en lugar de ejecutarse localmenteZonas de reenvío sóloConflictos de la política de envío con algunas zonas vacías automáticas. Las peticiones para las zonas especificadas por RFC 6303 ignorarán el envío y recursión y siempre tendrán por resultado respuestas NXDOMAIN. Para evitar este comportamiento use la política de envío 'only'.Ha sido encontrado '%(value)s'Nombre y apellidosNombre de host totalmente calificadoFunción para obtener detallesGIDGID (utilice esta opción para definirlo manualmente)GSSAPI|EXTERNALGeneralGenerar una contraseña aleatoria que se utilizará en la inscripción Generar ficheros de automontaje para una localización específica.ObtenerLa configuración global DNS está vacíaConfiguración Global de ConfianzaPromotores globalesPromotores globales. Se puede especificar un pueeto personalizado por cada promotor usando el formato estándar "IP_ADDRESS port PORT"Política de reenvío global. Establecer a "none" para deshabilitar cualquier promotor global.Derechos concedidosConcedido al PrivilegioConcesión de privilegios a los rolesGrupoEl grupo '%s' no existeNúmero de Identificación de GrupoOpciones de GrupoConfiguración del grupoTipo de grupoContenedor de grupoiDescripción del grupoNombre del grupoClase de objeto de grupoGrupo al que aplicar APITipo de AgrupamientoAgrupamiento al cual se aplican las reglasGruposLos grupos pueden crear keytabLos grupos pueden recuperar keytabGrupos de Usuarios RunAsREgla HBACRegla HBAC que define los usuarios, grupos y grupos de hostReglas HBACServicio HBACGrupo de Servicio HBACGrupos de Servicios HBACServicios HBACPrueba HBACRegla HBACRegla HBAC %(rule)s no encontradaRegla HBAC y miembros locales no pueden ser fijadosReglas HBACServicio HBACDescripción de servicio HBACGrupo de servicio HBACServicios y grupos especificadosGrupos de servicio HBACServicios HBACVentana de Autenticación HOTPVentana de Sincronización HOTPVaya directamente a la autenticación HOTPVaya directamente a la sincronización HOTPError HTTPDirección(es) Hardware MAC en este hostPlataforma de hardware del equipo (p. ej. Lenovo T61)Hola mundoOcultarEsconder detallesEsconder detalles de que reglas coinciden, no coinciden o son no válidasTamaño del historialDirectorio principalBase del directorio principalPrecisión horizontalHostNo ha sido encontrado el equipo anfitrión '%(host)s' Host '%(hostname)s' no tiene el registro correspondiente DNS A/AAAACertificado de hostGrupo de HostConfiguraciones del Grupo de HostGrupos de equipoLos Grupos de Host pueden crear keytabLos Grupos de Host pueden recuperar keytabNombre de hostConfiguración del hostCategoría del equipoCategoría de host (las semánticas situadas en este atributo son para interpretación local)Categoría del equipo al que se aplica la reglaPlataforma de hardware del equipo (p. ej. "Lenovo T61")Host ya está vinculado
Localidad del equipo (p.ej. "Barrio latino, París") Ubicación del equipo (p. ej. "Laboratorio")Nombre del equipoSistema operativo que utiliza el equipo y versión (p.ej. "Fedora 11")Comandos de control de acceso basado en hostGrupo de equipoNombre del equipo anfitriónNombre de host (FQDN)Nombre de host de este servidorEquiposLos hosts pueden crear keytabLos hosts pueden recuperar keytab¿Por cuánto tiempo las respuestas negativas deben guardarse en cache?Intervalo de IDIntervalos de IDEl rango de ID para el dominio de confianza ya existe, pero tiene un tipo diferente. Por favor borre manualmente el rango viejo o no haga cumplir el tipo por medio de la opción --range-type.Tipo de rango ID, uno de los siguientes valoresRango de ID con el mismo nombre pero diferente SID de dominio ya existe. El nuevo rango de ID para el nuevo dominio de confianza debe ser creado manualmente.Dirección IPDirección IP %(ip)s ya está asignada en el dominio %(domain)s.Red IP para crear un nombre de zona reversa desdeIPA AD agentes de confianzaControladores de confianza IPA ADIPA CA no puede ser borradaIPA CA no puede ser deshabilitadaCertificado IPA CARegistros IPA DNSServidores IPA DNSVersión IPA DNSClave maestra IPA DNSSecError IPALocalización IPADescripción de Localización IPALocalizaciones IPAEl tipo de Rango IPA debe ser uno de ipa-ad-trust o ipa-ad-trust-posix cuando se especifica el SID del dominio de confianzaEl tipo de Rango IPA Range no debe ser ni ipa-ad-trust ni ipa-ad-trust-posix cuando no se especifica el SID del dominio de confianza.Servidor IPARol de Servidor IPARoles de Servidor IPAServidor de IPA a utilizarServidores IPAIPA no maneja la zona %(zone)s, por favor añada registros a su servidor DNS manualmenteNombre de localización IPARegistros de ubicación IPAIPA gestiona DNS, por favor verifique su configuración DNS y asegúrese que el servicio de registros del dominio '{domain}' puede ser resuelto. Se pueden encontrar ejemplos de como configurar DNS con comandos CLI o con Web UI en la documentación. IPA namingContext no encontrado 
Nombre de rol IPAServidor IPA configurado como clave maestra DNSSecServidor de dominio IPA no puede ser borradoServidor de domino IPA no puede ser omitidoNombre de host del servidor IPANombre de rol del servidor IPAServidores IPA configurados como agentes de confianza ADServidores IPA configurados como controladores de confianza ADID unico de IPAIdentidadConfiguración de identidadSi el problema persiste por favor contacte con el administrador del sistema.Ignorar la comprobación del último servidor CA o DNS que quedaIgnorar plugin de compatibilidadIgnorar atributo de grupoIgnorar clase de objeto grupoIgnorar problemas de conectividad de topología después de quitarlaIgnorar errores de topologíaIgnorar atributo de usuarioIgnorar clase de objeto usuario%(src)s a %(dst)s ignoradosLlaves ignoradas: Ignorar estos avisos y continuar con el borradoIgnorando los errores de topología de conectividad.Importar un Certificado PerfilImportar un certificado de derecho.Importar ficheros de automontaje para una localización específica.Llaves (keys) importadasMapas importadosPerfil importado "%(value)s"Include DeshabilitadoInclude HabilitadoIncluir entradas IPA maestroIncluir todas las reglas IPA deshabilitadas en la pruebaIncluir todas las reglas IPA habilitadas en la prueba [por defecto]Incluir la cadena del certificado en la salidaAtributos incluidosRegex inclusivoOpciones suministradas incompatibles (-r y -P)
IndirectoServicio HBAC de miembro indirectoGrupo de servicio HBAC de miembros indirectos Grupos de miembros indirectosMiembros indirectos de host-groupsHosts de miembros indirectosMiembros indirectos netgroupsRoles de miembros indirectos\n
Permisos indirectos de miembro Usuarios indirectos miembrosAfiliación IndirectaHeredado de la configuración del servidorContador inicial para a ficha HOTPInicialesArchivo de entradaEntrada nombre de archivoLa entrada contiene valores no válidos o desaparecidos.Privilegio 'add' insuficiente para la entrada '%s'.Privilegio 'write' insuficiente al atributo 'krbLastPwdChange' de la entrada '%s'.Acceso insuficiente: %(info)sPrivilegio insuficiente para borrar una CA.Privilegio insuficiente para modificar una CA.Privilegio insuficiente para modificar un certificado perfilError InternoMensajes de internacionalizaciónPetición JSON-RPC no válida: %(error)s URI LDAP no válida.Mecanismo de enlace SASL no válido
Nombre de servicio principal inválido
Credenciales no válidasEl número de partes no es válido.Invalido o tipo no soportado. Valores permitidos son: %sClave pública de bóveda no válida o no soportada: %s¿Está la zona activa?TemaExpedido porExpiraciónExpedido paraEmisorEditor DNNombre Distinguido de EditorISe usa solo para el establecimiento del atributo SOA MNAME.Petición JSON-RPC:
%s
CargoUnir un dominio IPANo se encontró la cache de credencial kerberos. ¿Tiene un tiquete de kerberos?
Clave KerberosNo hay clave Kerberos PresenteClaves de Kerberos presente, Host aprovisionadoClaves de Kerberos actuales, Servicio suministradoKerberos Principal su entrada ha expiradoNombre principal del servicio de kerberos Política de tiquete de KerberosNo se encontró usuario principal de kerberos. ¿Tiene una cache de credencial válida?
Inicio de contexto de kerberos falló
Inicialización del contexto Kerberos falló: %1$s (%2$d)
Error de kerberos:  %(major)s/%(minor)sClaves Kerberos disponiblesPrincipal kerberosEl principal %s de Kerberos ya existe. Utilice 'ipa user-mod' para definirlo manualmente.Nombre del prinicpal de Kerberos para este equipoLlaveClave de transacciónEtiqueta de claveKeytabNombre de archivo de tabla de clavesTabla de claves recuperada y almacenada correctamente en:%s
LDAP DNLDAP SASL enlaza mecanismo si no bindd/bindpwLDAP URILDAP URI del servidor DS desde donde realizar la migraciónLDAP basednContraseña LDAPcontraseña de LDAP (si no usa Kerberos)Esquema LDAPAlcance de búsqueda LDAP para usuarios y grupos: base, un nivel o sub árbol. Predeterminado a un nivelTiempo de espera LDAPLDAP uri para conectar a. Mutuamente exclusiva con --serverÚltimo día/hora en que puede ser usada la fichaÚltima autenticación falladaApellidoÚltima autenticación exitosaNo están permitidos espacios iniciales ni finalesFiltro legal LDAP (p.ej. ou=Ingeniería)Longitud de la ficha TOTP de validación de códigoLista de los maestros IPA configurados como servidores DNSLista de eliminaciones fallidasListra de roles habilitadosLista de servidores que anuncian la localización dadaLista de dominios de confianza refrescados con éxito. Use el comando trustdomain-find para listarlos.Lista de objetos migrados; clasificados por tipo.Lista de objetos que no pueden ser migrados; categorizados por tipo.Cargar certificado CA del servidor LDAP desde FILECargandoCargando datosLocalidadUbicaciónNombre de localizaciónLocalización del ACIDuración de bloqueoIniciar sesión Usando CertificadoIniciar sesiónIniciar sesión usando certificado personalCerrar sesiónRegistrado comoAcceso fallado debido a una razón desconocidaShell de ingresoEl número más bajo significa la prioridad más alta. Los clientes intentarán contactar con la URI con la prioridad numerada más bajo que puedan alcanzar.El número más bajo significa la prioridad más alta. Los clientes intentarán contactar con el servidor con la prioridad de número más bajo que ellos puedan alcanzar.Dirección MACMS-PACDirección de correoDN MalformadoDirector malformadoPrincipal mal construido: '%(value)s'Administra la política de contraseña de un grupo específicoAdministra política de ticket para un usuario específicoGestionado porSufijos gestionadosGestionado con permisoManagerMapaTipo de MapaRegla de mapeoEl conjunto de reglas de mapeo "%(ruleset)s" tiene más de una regla para el auxiliar %(helper)sMarcar la ficha como deshabilitada (predeterminado: false)    Archivo maestroEmparejarEmparejar usuarios de acuerdo al certificadoEmparejadoReglas coincidentesTipo de CoincidenciaRegla de coincidenciaNivel de dominio MaxNúmero máximo de fallasVida máximaVida máxima (días)Renovación máximaMáxima cantidad de tiempo (segundos) parab una búsqueda (> 0, o -1 para ilimitado)Nivel máximo de dominioNúmero máximo de acuerdos por replicaCantidad máxima de entradas obtenidasNúmero máximo de entradas devueltas (0 es ilimitado)Máximo número de registros a buscar (-1 es ilimitado)Vida máxima de la contraseña (días)Duración máxima renovable (en segundos)Duración máxima del ticket (en segundos)Largo máximo para nombre de usuarioValor máximo es ${value}Puede no estar vacíoMiembro del servicio HBACGrupos de servicio de Miembros HBACMiembro del equipo anfitriónComandos Miembro SudoGrupos de miembrosGrupos de equipo miembroEquipos miembro Miembros de netgroupsMiembro deMiembro de un grupoMiembro del grupoMiembros de los gruposMiembro de los grupos de equipoMiembros de netgroupsGrupos de miembro de servicioServicios de miembrosMiembro del grupo de usuariosUsuarios miembrosMiembros de un dominio de confianza en formato DOM\name o name@domainMiembros que no han podido ser añadidosMiembros que no han podido ser eliminadosMigrarMigrar usuarios y grupos de DS a IPA.El modo migración esta desactivado.
Use 'ip confi-mod --enable-migration=TRUE' para activarlo.Migración de búsqueda de referencia LDAP no está soportada.Nivel de dominio MinLongitud mínimaVida mínima (horas)Nivel mínimo de dominioLongitud mínima de la contraseñaCantidad mínima de clases de caracteresVida mínima de la contraseña (en horas)Valor mínimo es ${value}Latitud en minutosMinutos de LongitudInformación diversaNueva clave pública de bóveda desaparecidaArbitro HTTP desaparecido o no válido, %(referer)sPérdida la contestación de la lista de control!
¡Falta control de respuesta!
Valores faltantes:Clave pública de la bóveda desaparecidaNúmero de teléfono celularModeloModificada "%(value)s" configuración de confianzaHa sido modificado ACI "%(value)s"Modificada CA "%(value)s"Regla de Mapeo de Identidad de Certificado modificada "%(value)s"Modificado Certificado Perfil "%(value)s"Modificada regla HBAC "%(value)s"    Servicio modificado HBAC "%(value)s"Servicio modificado HBAC grupo "%(value)s"Modificar rango ID "%(value)s"Modificada localización IPA "%(value)s"Modificado servidor IPA "%(value)s"Ficha OTP modificada "%(value)s"Modificado servidor proxy RADIUS "%(value)s"Modificado Mapa de Usuario SELinux "%(value)s"Modificado Comando Sudo “%(value)s”Modificado Grupo de Comando Sudo “%(value)s”Regla Sudo Modificada “%(value)s”Modificada regla de automiembro "%(value)s"Modificada clave de automontaje "%(value)s"Modificado un mapa de automontaje "%(value)s"Delegación modificada "%(value)s"Ha sido modificado el grupo "%(value)s"Ha sido modificado el equipo "%(value)s"Ha sido modificado el grupo de equipo "%(value)s"netgroup modificado "%(value)s"Modificado el permiso "%(value)s"Privilegio modificado "%(value)s "Rol modificado "%(value)s"Autoservicio modificado "%(value)s"Ha sido modificado el servicio "%(value)s"Modificado escenario usuario "%(value)s"Confianza modificada "%(value)s" (el cambio será efectivo en 60 segundos)Ha sido modificado el usuario "%(value)s"Modificar  %(name)s '%(value)s'?Modificar ACI.Modificar configuración de CA.Modificar la configuración de Mapeo de Identidad de Certificado.Modificar la configuración del Certificado PerfilModificar entrada Class of ServiceModificar zona de reenvío DNS.Modificar zona DNS (registro SOA).Modificar rango de ID.Modificar rango ID.

Modificar entrada de política Kerberos.Modificar opciones de configuración OTP.Modificar Grupo de Comando Sudo.Modificar Comando Sudo.Modificar Regla Sudo.Modificar una Regla de Mapeo de Identidad de Certificado.Modificar un registro de recurso DNS.MOdificar una ficha OTP.Modificar un servidor proxy RADIUS.Modificar un Mapa de Usuario SELinux.Modificar una delegación.Modificar un grupo de política de contraseña.Modificar un grupo.Modificar un grupo de host.Modificar un grupo de red.Modificar un permiso.Modificar un privilegio.Modificar un rol.Modificar un auto servicio de permiso.Modificar un escenario usuario.Modificar un usuario.Modificar una bóvedaModificar una regla HBAC.Modificar un grupo de servicio HBAC.Modificar un servicio HBAC.Modificar una clave de automontaje.Modificar un mapa de automontajeModificar un servicio IPA existente.Modificar opciones de configuración.Modificar la configuración global DNS.Modificar la configuración global de confianza.Modificar información sobre un host.Modificar información sobre localización IPA.Modificar información sobre un servidor IPA.Modificar trustdomain de la confianzaSe ha encontrado más de una entrada con la llave %(key)s, utilice --info para seleccionar una entrada específica.Información de montajePunto de montajeMover el usuario borrado al área de escenaDebe ser un enteroNombre del dominio NISEl valor NONE no puede ser combinado con otros tipos de PACEl registro NS no está permitido que coexista con un registro %(type)s excepto cuando se localice en un registro de zona raíz (RFC 2181, sección 6.1)Registro(s) NS puede(n) ser editado(s) en zona apéndice - '@'. Registro NSEC3PARAMRegistro NSEC3PARAM rpara la zona en formato: hash_algorithm flags iterations saltNombreNombre para referenciar la CANombre de comando a exportarNombre del grupo de equipoNombre del método para exportaciónNombre del objeto a exportarNombre del mapa de montaje automático de padre (por defecto: auto.master).Nombre del dominio de confianzaEl servidor de nombre '%(host)s' no tiene su correspondiente registro  A/AAAAEl servidor de nombre para la zona reversa no puede ser un nombre DNS relativoNi --del-all ni opciones para borrar un registro en concreto ha sido especificado.
El comando de ayuda puede ser consultado para ver los tipos de registros soportados.Métodos anidados para ejecutarNombre de NetBIOSGrupo de redConfiguración de NetgroupDescripción del grupo de redNombre de grupo de redGrupos de red     Nuevo nombre de ACIUn nuevo certificadoNueva ContraseñaNueva contraseña principalNueva PruebaNuevo alias principal KerberosNueva información de montajeNueva clave pública especificada múltiples vecesNueva contraseña de bóvedaSiguienteSin registros A, AAAA, SSHFP o PTR encontrados.No hay servidores DNS en la localización IPA %(location)s. Sin la localización de servidores DNS no se trabaja como se espera.No se ha instalado clave maestra DNSSEC. La firma en la zona DNSSEC no trabajará hasta que esté instalada la clave maestra DNSSEC.Certificado no válidoNo se han encontrado credenciales de cacheSin entradas.No existe el fichero para leer¡No hay espacio YubiKey libre!No hay claves aceptadas por KDC
No se encontraron entradas coincidentesNinguna opción para  borrar un registro en concreto especificado.No hay opción para modificar registro específico proporcionado.No tiene permiso para vincular este equipo al dominio de la API.
Sin respuestaNingún comando virtual¿Ningún sistema enctypes preferido?
No hay valores para %sNo escribir permisos en archivo de tabla de claves'%s
No hay respuesta 2xx desde CA REST API: %(status)d. %(explanation)sReglas no existentes o no válidasNo luego deNo antes deNo es un grupo administradoNo es una dirección IP válidaNo es una dirección IPv4 válidaNo es una dirección IPv6 válidaNo permitido sobre entrada no hojaNo se especifican bastantes argumentos para llevar a cabo un ajusta de confianzaReglas no coincidentesAún no está registradoNotaNúmero de IDs en el rangoNúmero de condiciones agregadasNúmero de condiciones eliminadasAviso de número de días de expiración inminente de contraseñaNúmero de digitos que cada código de ficha tendráCantidad de entradas devueltasCantidad de miembros añadidosCantidad de miembros eliminadosNúmero de permisos añadidosNúmero de permisos eliminadosCantidad de complementos cargadosNúmero de privilegios agregadosNúmero de privilegios eliminadosCantidad de variables devueltas (<= total)AceptarOTPConfiguración OTPFicha OTPFichas OTPOpciones de configuración OTPFicha OTPFichas OTPNombre de clase objetoObjectclasses a ignorar para las entradas de grupo en DSObjectclasses a se ignorado para entradas de usuario en DSObjectclasses usado para buscar entradas de grupo en DSObjectclasses usado para buscar entradas de usuario en DSContraseña de bóveda antiguaClave privada de bóveda antiguaUno de grupo, permiso o self es necesarioComandos de contraseña de una vezSólo se permite un valorSolo se permite un tipo de zona por nombre de zonaSolo se permiten los valores ipa-ad-trust e ipa-ad-trust-posix para --range-type cuando se añade una confianza AD.Sistema operativo que utiliza el equipo y versión (p.ej. Fedora 9)Sistema operativoFalló operación: %s
Error en OperacionesLa opción rid-base no se debe usar cuando el tipo de rango IPA es ipa-ad-trust-posixSubárbol opcional DN desde donde se puede mover una entrada (debe estar en el subárbol pero puede ser que todavía no exista)Sub-árbol DN opcional donde una entrada puede ser movida (debe estar en el sub-árbol, pero puede no existir todavía)DN opcional a aplicar al permiso (debe estar en el sub-árbol, pero puede no existir todavía)OpcionesLas opciones dom-sid y dom-name no pueden ser usadas juntasLas opciones dom-sid y rid-base deben ser usadas juntasLas opciones dom-sid y secondary-rid-base no podrían ser usadas juntasLas opciones dom-sid/dom-name y rid-base se deben usar juntasLas opciones dom-sid/dom-name y secondary-rid-base no pueden ser usados juntosLas opciones secondary-rid-base y rid-base ser deben usar juntasOrdenUnidad. orgOrganizaciónUnidad organizativaSubárbol DN origenOtros Tipos de Registro¡Memoria insuficiente!
¡Memoria insuficiente!
¡Memoria insuficiente!
¡Memoria insuficiente!¡Memoria insuficiente!
¡Memoria insuficiente!

Salida de la información de depuraciónNombre de archivo de salidaSolamente salida sobre erroresAnular una lista predeterminada de tipos PAC soportados. Use 'NONE' para deshabilitar eñ soporte PAC para este servicioAnular la lista predeterminada de tipos de PAC soportados. Use 'NONE' para deshabilitar el soporte PAC para este servicio, e.g. esto podría ser necesario para servicios NFS.Anular contraseña existenteAnular la configuración heredadaSobrescribir GIDPropietarioTipo PACPAD    Los certificados de entrada deben estar codificados en DER. 
    Tenga en cuenta que no puede ser un normalizador en la Param, ya que solamente las variables de 
    Unicode  se normalizan.
    Estado PKINITPOSIXPáginaNúmero de páginaTamaño de PaginaciónMapa del padreAnaliza todos los registros DNS crudos y los devuelve de modo estructuradoContraseñaNotificación de Expiración de Contraseña (días)Políticas de ContraseñaDirectiva de contraseñasLa contraseña solo se debe especificar para bóveda simétricaLa contraseña no puede ser fijada en el host matriculado.Cambiar la contraseña completaCaducidad de la contraseñaTamaño del historial de la contraseñaFunciones del complemento de contraseñaContraseña especificada múltiples vecesContraseña utilizada en el registro brutoLas contraseñas no coincidenLas contraseñas no coinciden.Las contraseñas no coinciden.
Las contraseñas han sido migradas en formato pre-hashed.
IPA es incapaz de generar claves de Kerberos a menos que le sean
provistas contraseñas de texto claras. Todos los usuarios migrados
necesitan registrarse en https://your.domain/ipa/migration/ antes de
poder utilizar sus respectivas cuentas Kerberos.Las contraseñas deben coincidirRuta al certificado IPA CAPolítica de envío condicional por zona. Se establece a "none" para deshabilitar el envío a expedidores globales para esta zona. En este caso, la zona condicional de expedidores es ignorada.Expedidores por zona. Se puede especificar un puerto personalizado para cada exedidor usando el formato estándar "IP_ADDRESS port PORT"Período tras el cual se restablecerá (segundos) el conteo de erroresPeríodo durante el cual se fuerza el bloqueo (segundos)PermisoEl permiso ACI permite el acceso aPermiso denegado:%(file)s Banderas de permisoNombre de permisoTipo de permisoValor de permisoPermiso con bandera desconocida %s puede no ser modificado o quitadoPermisosPermisos a conceder (read, write). Predeterminado es write.Permisos a obtener(lectura, escritura, añadir, borrar, todos)Tipos de cifrado permitidosHacer ping a un servidor remoto.PlataformaPor favor seleccione un tipo de origen de DNS para ser agregadoPor favor especifique los reenviadores.Por favor intentar las siguientes opciones:PolíticaPuertoArgumentos posicionalesSe requiere autenticación previa para el servicioContraseña precompartidaEl perfil predefinido '%(profile_id)s' no puede ser borradoPreferenciaSe ha dado preferencia a este intercambiador. Se prefieren más los valores más bajosPrefijo utilizado para distinguir los tipos de ACI (permiso,delegación, autoservicio, ninguno)Usuario preservadoAnteriorEl rango RID primario y el secundario no pueden superponerseSólo clave primariaPrincipalEl principal %(principal)s no puede ser autenticado: %(message)sAlias principalPrincipal para este certificado (e.g. HTTP/test.example.com)El principal no es de la forma user@REALM: '%(principal)s'Nombre principalImprimir lo mínimo posibleImprimir la información de depuraciónImprimir entradas como almacenadas en el servidor. Solamente afecta formato de salida.Imprimir la salida cruda de XML-RPC en modo de GSSAPIPrioridadPrioridad (orden)Prioridad de la política (a mayor número corresponde una política menor)Prioridad de la regla (el número más alto significa la prioridad más bajaPrivilegioConfiguración de privilegiosRetirada de privilegios    
    Eliminar un servicio de la IPA.    Añadir un nuevo servicio de la nueva IPA.    Objeto de servicio.ID del PerfilID de perfil '%(cli_value)s' no coincide con los datos de perfil '%(file_value)s'ID de Perfil para referirse a este perfilConfiguración de perfilPerfil de configuración guardado en el archivo '%(file)s'Los datos del perfil especifican profileId múltiples veces: %(values)sDescripción del perfilSolicitar contraseña LDAPPedir el nombre de usuarioPedir el nombre de usuario cuando múltiples identidades están mapeadas a un certificadoSolicita establecer la contraseña de usuarioProspectivoAprovisionamientoLa clave pública puede ser especificada solo para la bóveda asimétricaClave pública especificada múltiples vecesEl código QR es más grande que el de la salida tty. Por favor modifique el tamaño de su terminal.CantidadLa solicitud devolvió más resultados que el límite de tamaño configurado. Mostrando los primeros resultados ${counter}.Enlaces rápidosModo silencioso. Sólo se muestran los errores.RADIUSServidor RADIUSServidores RADIUSServidor proxy RADIUSNombre del servidor proxy RADIUSServidor proxy RADIUS con nombre "%s" ya existeServidores proxy RADIUSREST API no ha iniciado sesión.Contraseña aleatoriaNombre del intervaloTipo de intervaloRegistros brutos %sFiltro objetivo en brutoEl valor crudo de un registro DNS fue establecido siempre por la opción "%(name)s"Restablecida la confianza al dominio "%(value)s"Volver a sincronizar el cache de derechos local con el servidor de derechos.Dominios ReinoDebería especificarse la contraseña del administrador del reinoDominios reinoNombre de reino Flata de coincidencia de dominio reinoMotivoMotivo de la revocaciónMotivo por el cual el certificado ha sido revocado (0-10)Reconstruir auto membresíaNúmero máximo de acuerdo recomendados por replica sobrepasadoTipo de RegistroFalló la creación del registro.Registrar datosNombre de registroNo se encontró el registro.Tipo de registroRegistrosLos registros para la zona DNSRedirección ActualizarRefrescar la lista de dominios asociados con la confianzaRefrescar la página.Registro al sistema de derechos.Contraseña de registroExpresión regularEl nombre relativo de registro '%(record)s' contiene como sufijo el nonbre de zona '%(zone)s', que resulta de FQDN '%(fqdn)s'. Esto es normalmente una equivocación causada por un punto perdido al final de la especificación del nombre.Peso relativo de las entradas con la misma prioridad.Pero relativo para los servicios del servidor (cuentas por localización)Recargar ajustes actuales desde el servidor.Recargar el navegador.Nombre de host del servidor IPA remotoNombre del servidor remotoBorrarBorrar los registros A, AAAA, SSHFP y PTR del host(s) gestionado por IPA DNSQuitar Alias KerberosBorra un gestor a la entrada de usuarioQuitar un permiso para una delegación de acceso a zona por reenvío.Quita un permiso para una delegación de acceso por zona.Quite todos los principales en este ámbitoQuitar una opción de la Regla Sudo.Quitar certificados de un servicioBorra certificados de una entrada de hostQuitar comandos y grupos de comando sudo afectados por Regla Sudo.Eliminar entradas de DNSBorrar de CRLQuitar grupo para Sudo a ejecutar como.Quitar esperaQuitar hosts y grupos de hosts afectados por Regla Sudo.Borrar hosts que puede manejar este host.Borrar hosts que puedan gestionar este servicio.Borrar información sobre el dominio asociado con la confianza.Quitar miembros de un Grupo de Comando Sudo.Eliminar miembro desde un grupo.Borrar miembros de un grupo de host.Borrar miembros de un grupo de red.Borrar miembros desde un permiso.Borrar miembros de un rol.Borrar miembros de un grupo de servicio HBAC.Borra uno o más mapeados de certificados de la entrada de usuario.Borra uno o más certificados de la entrada de usuarioBorrar permisos de un privilegio.Borra alias principal de la entrada de hostBorrar alias principal de un servicioBorra el alias principal de la entrada de usuarioBorrar privilegios de un rol.Borrar servicio y grupos de servicio de una regla HBAC.Borrar hosts objetivos y grupos de host de una regla HBAC.Borrar hosts y grupos de host objetivo de una regla de Mapa de Usuario SELinux.Quitar usuarios y grupos afectados por Regla Sudo.Quitar usuarios y grupos para Sudo a ejecutar como.Borrar usuarios y grupos de una regla HBAC.Borrar usuarios y grupos desde una regla de Mapa de Usuario SELinux.Quitar usuarios que puedan manejar esta ficha.Borrados alias del host "%(value)s"Borrados alias del usuario "%(value)s"Borrados alias al servicio principal "%(value)s"Borrados certificados del host "%(value)s"Quitados certificados del servicio principal "%(value)s"Certificados borrados del usuario "%(value)s"Condición(es) eliminada(s) de «%(value)s»Borrada información sobre el dominio de confianza "%(value)s"Quitada opción "%(option)s" de Sudo Rule "%(rule)s"Quitado permiso de sistema "%(value)s"Quitando %(servers)s desde la copia de topología, por favor espere...Eliminando %s principales
Cambiar el nombre deRenombrar un ACI.Cambie el nombre del %(ldap_obj_name)s  objetoRenombrar el permiso del objetoACI renombrado a "%(value)s"ReemplazoLa replica de la clave maestra DNSSEC está activa. Desinstalarla podría romper su sistema DNS. Por favor deshabilite o reemplace la clave maestra DNSSEC primero.Acuerdo de replicación para %(hostname)s no encontradoLa replica de la topología con sufijo "%(suffix)s" contiene errores.La repica de la topologia de sufijo "%(suffix)s" está en orden.Informa el estado PKINIT sobre los másters IPAFallo en petición con estado %(status)s: %(reason)sId de la peticiónLa petición está con "method" desaparecidoLa petición está con "params" desaparecidoLa petición debe ser un diccionarioEstado de la peticiónCampo requeridoRequiere autenticación previaResetearReajustar la entrada de política Kerberos a los valores por defecto.Reajustar OTPRestablecer contraseñaResetear la Contraseña y AccederResolver un nombre de host en DNS.Resuelve un nombre de host en DNS. (Obsoleto)Resolver los identificadores de seguridad de los usuario y grupos en los dominios de confianzaLa respuesta desde CA no era JSON válidoRestaurarResultadoResultado de la simulaciónResultado del comandoLos resultados se encuentran truncados, intente realizar una búsqueda más específicaLos resultados deberían contener sólo atributo de clave primaria (“%s”)Los resultados deberían contener solo la clave del atributo primario ("name")Los resultados deberían contener solo atributos de clave primaria ("principal")Los resultados deberían contener solo atributo de clave primaria ("sudocmdgroup-name")Los resultados deberían contener solo el atributo de clave primaria ("sudorule-name")ReintentosRecuperar un certificado existente.Recuperar e imprimir todos los atributos del servidor. Afecta a la salida del comando.Recupera las claves actuales sin cambiarlasRecuperar el certificado del derecho.Fallo en recuperación de la cadena CA cert: %sFallo en la recuperación del estado CA con estado %dFalló la obtención del estado de CA: %sReintentarReintentando con el método de recuperacióm pre-4.0 keytab...
Volver a la página principal y reintentar la operaciónRegistro reverso para dirección IP %(ip)s ya existe en la zona reversa %(zone)s.La zona reversa %(name)s requiere exactamente %(count)d direcciones IP componentes, %(user_count)d dadoZona reversa de red IPRevertirMotivo de la revocaciónRevocarRevocar un certificado.RevocadoDerechosDerechos a conceder (read, search, compare, write, add, delete, all)RolConfiguración de rolNombre de rolEstado rol  RolesEl dominio raíz de la confianza está siempre habilitado para la confianza existenteNombre de la reglaEstatus de reglasTipo de reglaTipo de regla (permitir)Regla usada para comprobar si un certificado puede ser usado para autenticaciónRegla usada para mapear el certificado con una entrada de usuarioReglasReglas para probar. Si no se especifica, - se asume que habilitadoEjecutar comandosEjecutar PruebaEjecutar como un usuarioEjecutar como cualquier usuario dentro de un grupo especificadoEjecutar con la gid de un grupo POSIX especificadoGrupo externo RunAsRunAs de usuarios externosRunAs Grupo categoríaRunAs Grupo categoría la regla aplica aGrupos RunAsCategoría de Usuario RunAsRunAs Usuario categoría la regla aplica a RunAs UsuariosFalló SASL Bind
Usuario SELinuxMapa de Usuario SELinuxRegla Mapa de Usuario SELinuxReglas Mapa de Usuario SELinuxMapas de Usuario SELinuxUsuario SELinux %(user)s no encontrado en la lista de pedidos (en config)Lista de mapeo de usuario SELinux no encontrado en la configuraciónHuella digital SHA1SIDLista negra de SID entranteLista negra de SID salienteEl SID para el nombre de dominio de confianza especificado podría no ser encontrado. Por favor especifique directamente el SID usando la opción dom-sid.SID no es reconocido como un SID válido para el dominio de confianzael SID no es válidoNombre del servicio SMB de NetBIOSClase SOAExpirar SOAMínimo SOAClase de registro SOA tiempo de expiración de registro SOAregistro SOA tiempo de actualizacióntiempo de reintento de Número de serie de registro SOAActualizar SOAReintentar SOASerie SOAClave pública SSHHuella digital de clave pública SSHLo mismo que --%sGuardarEl esquema está actualizado (FP '%(fingerprint)s', TTL %(ttl)s s)BúsquedaOpciones de BúsquedaBuscar dominios de confianzaBúsqueda de %1$s en rootdse falló con error %2$d
Búsqueda de CAs.Buscar Reglas de Mapeo de Identidad de Certificado.Búsqueda de Certificados de PerfilesBúsqueda de entrada Class of ServiceBuscar zonas de reenvío DNS.Buscar recursos DNS.Buscar zonas DNS (registros SOA).Buscar reglas HBAC.Buscar un servicio HBAC.Buscar localizaciones IPA.Búsqueda de IPA namingContext fallada con error %d 
Buscar servidores IPA.Buscar servicios IPA.Búsqueda de ficha OTP.Búsqueda de servidores proxy RADIUS.Búsqueda de Mapas de Usuario SELinux.Buscar Grupos de Comando Sudo.Buscar Comandos Sudo.Buscar Regla Sudo.Buscar un grupo de red.Buscar un auto servicio de permiso.Buscar un grupo de servicio HBAC.Buscar una clave de automontaje.Buscar una localización de automontaje.Buscar un mapa de automontaje.Buscar delegaciones.Búsqueda por cuentas de derechos.Buscar zonas de reenvío sóloBuscar grupo de políticas de contraseña.Buscar grupos.Buscar grupos de host.Buscar hosts.Buscar permisos.Buscar privilegios.Buscar intervalos.Buscar roles.Búsqueda de servicios con aquellos gestionados por hosts.Búsqueda de servicios sin aquellos gestionados por hosts.Búsqueda de confianzas.Buscar usuarios.Los resultados de la búsqueda han sido truncados: %(reason)sAlcance de búsquedaLímite del tamaño de la búsquedaBuscar límite de tiempoSegundo CódigoLatitud en segundosSegundos de LongitudSecretoIdentificador de SeguridadIdentificadores de Seguridad (SIDs) Seleccionar todoLas entradas seleccionadas han sido quitadas.SelectorSelfAuto Servicio de PermisoPermisos de autoservicioAuto-servicio de nombresLa semántica de %(label)s fue cambiada. %(current_behavior)s
%(hint)sLista separada por punto y coma de direcciones IP o redes que tiene permitido enviar peticionesLista separada por punto y coma de direcciones IP o redes que tiene permitido transferir la zonaSerieNúmero de serieN.º de serie (hex.)Número de serieN.º de serie (hex.)Número de serie en decimales, o hexadecimales, si tiene un prefijo 0xServidorEl servidor "%(srv)s" tiene %(n)d acuerdos con servidores:El servidor %(srv)s no puede contactar con los servidores: %(replicas)sNombre de servidorEl servidor ya ha sido borradoNombre del servidorEl nombre del servidor no se ha suministrado y es indisponible
Borrado del servidor abortado: %(reason)s.Estado del servidorEl servidor revisará los "DNS forwarder(s)".ServidoresDetalles de los servidores:Servidores en localizaciónServidores que pertenecen a la localización IPAServicioEl servicio %(service)s requiere ser reiniciado sobre el servidor IPA %(server)s para aplicar los cambios de configuración.El servicio '%(service)s' no se encontró en la base de datos de KerberosCertificado de servicio    Búsqueda de servicios HBAC.Configuración del servicio   Añadir servicios a una regla de HBACCategoría de servicio a la que se aplica la regla    Desactivar la tecla de Kerberos, certificado SSL y todos los servicios de un host.% (Count) d HBAC servicios encontrados    Búsqueda de servicios IPAAlias principal del servicioPrincipal del servicio para este certificado (p.ej. HTTP/prueba.ejemplo.com)El servicio principal no tiene la forma de servicio/nombre de equipo totalmente calificado: %(reason)sSe requiere el servicio principalPeso relativo del servicioPeso del servicioSevicios HBACError de sesiónDefinirEstablecer OTPFijar una contraseña de usuario.Establecer un atributo a un par nombre y valor. El formato es attr=value. 
Para los atributos de valor múltiple, el comando sustituye los valores ya presentes.Establecer estado habilitado/escondido de un servidor.ConfiguraciónSecreto compartido para la confianzaMostrarMostrar servidor IPA.Mostrar ResultadosMostrar todos los plugins cargados.Mostrar detallesMostrar variables de entorno.Mostrar la configuración de confianza global.Muestra el rol de estado sobre un servidorMuestra la configuración actual del Mapeo de Identidad de Certificado.Mostrar la configuración OTP actual.Muestra la configuración actualMostrar la configuración global DNS actual.Mostrar la lista de los tipos cifrados permitidos y salirMostrando ${start} a ${end} de ${total} entradas.¡Falló vinculación sencilla!
Simular el uso de controles de acceso basados en HostPuesto que IPA no gestiona los registros DNS, asegúrese de que DNS está configurado para resolver el dominio '{domain}' desde los hosts IPA y vuelta.TamañoTamaño límiteTamaña del rango de ID reservado para los dominios de confianzaSaltar una comprobación si el último maestro CA o servidor DNS se ha quitadoSalta la comprobación de host%(key)s  omitida%(map)s omitidoAlgunas entradas no fueron borradasAlgunas operaciones fallaron.Comandos especificados y gruposGrupos especificadosHosts y grupos especificadosServicios y grupos especificadosUsuarios y grupos específicosEl nombre especificado de dominio de confianza podría no ser encontrado.Especifica dónde almacenar la información de tabla de claves.Especificar ${entity} externaDivide registro DNS en partesEscenarioEscenario de UsuarioEscenario UsuariosCuenta de usuario por etapas "%(value)s"Tipos de Registro EstándarEstadoEstado / ProvinciaEstatusEstado del rolAlmacén de certificados enviadosDirección postalEstructuradoAsuntoSujeto DNSujeto DN ya está usado por CA '%s'Nombre Distinguido del SujetoEnviar una petición de firma de certificado.SubárbolSubárbol al que aplicar ACISubárbol para aplicar permisosSubtipoÉxitoSudoSudo Permitir Grupos de ComandoComandos Allow de sudoComando sudo Grupo de comando sudoGrupos de comando sudoComandos de sudoSudo Denegar Grupos de ComandosComandos Deny de sudoOpción de sudoRegla SudoReglas SudoOrden SudoObsoletaTipos de cifrado suportado
Sincronice una ficha OTPError de sintaxis:%(error)s La codificación del sistema debe ser UTF-8, '%(encoding)s' no está(n) soportada(s). Ajuste LC_ALL="C.UTF-8", o LC_ALL="" y LC_CTYPE="C.UTF-8".Ventana de Sincronización TOTPVentana de autenticación TOTPVariación del tiempo de autenticación TOTP (segundos)Variación del tiempo de sincronización TOTP (segundos)Ficha TOTP / Diferencia de hora del servidor IPATomar un certificado revocado de espera.MetaDN objetivoSub-árbol DN objetivoIdentificador Uniforme de Recursos ObjetivoIdentificador Uniforme de Recursos Objetivo de acuerdo al RFC 3986Grupo elegidoHost objetivoMiembros objetivo de un grupoMiembros objetivos de un grupo (establece memberOf targetfilter)Dirija su propia entrada (usted)Número de teléfonoProbar la sintaxis pero no escribir nadaDatos de textoEl texto no coincide con el patrón de campoLa opción --domain no puede ser usada junto con --add-domain o --del-domain. Use --domain para especificar explícitamente la lista de todo el dominio, para añadir/borrar dominios concretos, use --add-domain/del-domain.El ACI para el permiso %(name)s no fue encontrado en %(dn)s El reinado IPAEl registro _kerberos TXT del dominio %(domain)s podría no ser creado (%(error)s).
Esto puede suceder si la zona no es manejada por IPA. Por favor cree el registro manualmente, conteniendo el siguiente valor: '%(realm)s'El registro  _kerberos TXT del dominio %(domain)s podría no ser quitado (%(error)s).
Esto puede suceder si la zona no está manejada por IPA. Por favor quite el registro manualmente.La clave de montaje automático %(key)s con info %(info)s no existeEl certificado para %(ca)s no está disponible en este servidor.El carácter %(char)r no está permitido.El grupo de usuarios predeterminado no puede ser eliminadoEl tipo deny ha quedado obsoleto.El dominio %s no es un dominio IPA ni un dominio de confianza.El nombre de dominio del host objetivo o '.' si el servicio es decididamente no disponible en este dominioEl dominio(s) "%s" no puede ser usado para aplicar la comprobación altSecurityIdentities.Los siguientes dominio no pertenecen a este reino: %(domains)sEl grupo no existeEl '%s' no existe para añadirle un servicio.El host fue añadido pero la actualización DNS falló por: %(reason)sEl nombre de host debe ser totalmente calificado:%s
El nombre del equipo no debe ser: %s
El nombre de host o IP (con o sin puerto)El nombre de host al que apunta este registro inversoEl nombre del equipo a ser registrado comoEl par de claves, la información debe ser único. Un nombre clave %(key)s  con información %(info)s ya existeEl archivo keytab para añadir a la nueva clave (será creado si no existe).El fichero keytab fpara borrar el principal(s) desdeLa regla de mapeo con altSecurityIdentities debería ser aplicada a un dominio Active Directory de confianza pero ningún dominio fue asociado con la regla.Los tipos mas comunes para este tipo de zona son: %s
El número de veces para reintentar la autenticaciónEl valor de primary_key de la entrada, p.ej., «jperez» para un usuarioEl principal para esta petición no existe.La principal para obtener una tabla de claves para (ex: ftp/ftp.example.com@EXAMPLE.COM)El principal para borrar desde keytab (ex: ftp/ftp.example.com@EXAMPLE.COM)El reinado para el principal no coincide con el reinado para este servidor IPAEl reino de los siguientes dominios podrían no ser detectados: %(domains)s. Si estos dominios pertenecen a este reino, cree por favor un registro _kerberos TXT que contenga "%(realm)s" en cada uno.El esquema utilizado en el servidor LDAP. Los valores admitidos son RFC2307 y RFC2307bis. El valor predeterminado es RFC2307bisEl criterio de búsqueda no fue bastante específico. Se esperaba 1 y se encontró %(found)d.El secreto usado para encriptar datosEl servicio puede autenticarse en nombre de un clienteNombre de tópico o comando.El tiempo de espera total después de todos los reintentos (en segundos)El atributo username sobre el objeto usuarioEste comando no puede ser usado para cambiar la asignación de ID para el dominio IPA local. Ejecute `ipa help idrange` para más informaciónEste comando se basa en la existencia del grupo "editors" pero este grupo no h sido encontrado.Este comando necesita acceso de usuario rootEsta entrada ya existeEsta entrada no puede ser activada o desactivadaEsta entrada ya es un miembroEsta entrada ya está desactivadaEsta entrada ya está habilitadaEsta entrada no es miembroEste grupo ya acepta miembros externosEste grupo  o puede ser posix porque es externoEste ya es un grupo posixEsto es ya un grupo posix y  no puede ser convertido en uno externoEsto puede tomar un poco mas de tiempo. Por favor espere ...Esta página tiene cambios sin guardar. Por favor, guardar o deshacer.El ticket ha expiradoLa política de entrada para %s podría no ser leídaTiempo límiteTiempo máximo de búsqueda en segundosTiempo límite de búsqueda en segundos (0 es ilimitado)AhoraTiempo para abandonarTiempo de vida de los registros en zona apéndiceTiempo de vida para los registros sin definición explícita TTLTiempo de esperaTiempo de espera superado.Para establecer confianza con Active Directory, el nombre de dominio y el nombre de reino del servidor IPA deben coincidirPara obtener ayuda sobre el comando, utilice:ID de fichaDescripción de la ficha (solo informativo)Algoritmo de ficha picadaFicha modelo (solo informativo)Ficha secreto (Base32; predeterminado: random)Ficha serie (solo informativa)Ficha nombre de vendedor (solo informativo)Tema comandos:Tópico o ComandoLa topologia no permite al servidor %(server)s replicar con servidores:La topología está desconectadaCantidad total de variables env (>= count)VerdadVerdadero si no todos los resultados se devolvieron«Verdadero» significa que la operación fue exitosaConfianzaDirección de confianzaEstado de confianzaTipo de confianzaTipo de confianza (ad para Active Directory, predeterminado)Dominio de confianzaEl dominio de confianza %(domain)s está incluido entre los dominios del reino IPA realm. Necesita ser quitado antes de establecer la confianza. Vea el comando "ipa realmdomains-mod --del-domain".El dominio de confianza y la cuenta del administrador usan reinos diferentesDominios de confianzaConfiable para la delegaciónConfiable pata autenticarse como usuarioConfianzasAutenticación dos factores (contraseña + OTP)Confianza de dos sentidosTipoTipo de objeto IPA (establece subtree y objectClass targetfilter)Tipo de objeto IPA (usuario, grupo, host, grupo de host, servicio, grupo de red, dns)Tipo de fichaTipo de rango de ID de dominios de confianza, uno de los valores permitidosUIDSufijos UPNURIURLUUIDIncapaz de comunicar con CMSIncapaz de comunicar con CMS (estado %d)No se puede crear un grupo privado. Un grupo de '%(group)s' ya existe.No se puede determinar servidor de la IPA de%s
Incapaz de determinar si el principal Kerberos %s ya existe. Use 'ipa user-mod' para establecerlo manualmente.No se puede determinar DN de root de%s
Incapaz de mostrar el código QR usando la codificación de salida configurada. Por favor use la ficha URI para configurar su dispositivo OTPNo se puede habilitar SSL en LDAP
No se puede generar la cache de credenciales de Kerberos
Incapaz de inicializar la sesión STARTTLS
¡No puede iniciar biblioteca IDAP!
No se puede unir host: cache de credenciales de Kerberos no se encuentra
No se puede unir host: principal de usuario  no se encuentra y contraseña de host no se proporciona.
No se puede unir host: la inicialización de contexto de Kerberos falló
No es posible analizar los principales
No se puede analizar nombre principal
Incapaz de analizar el principal: %1$s (%2$d)
No se puede eliminar la entrada
Incapaz de resolver el controlador de dominio para el dominio {domain}. Incapaz de ajustar LDAP_OPT_PROTOCOL_VERSION
Incapaz de fijar LDAP_OPT_X_SASL_NOCANON 
Incapaz de ajustar LDAP_OPT_X_TLS_REQUIRE_CERT
Incapaz de verificar los permisos de escritura al ADRecuperar una cuenta de usuario borrada.Recuperada cuenta de usuario "%(value)s"Cancelar registro de host de servidor IPACancelación falló.
Cancelación de registro exitoso.
ID únicaDesconocidoError DesconocidoOpción desconocida: %(option)sCuenta desbloqueada " %(value)s "DesemparejadoUnprovisionAtributos no reconocidos: %(attrs)sEliminar miembro desde un grupo.No revocadoCambios No GuardadosAnular selecciónNo especificadaValor no admitidoActualizarActualizar las entradas DNSActualizar registros de ubicación y servidor IPA DNSActualización del registro del sistema '%(record)s' falló con error: %(error)sUsuarioGrupo UsuarioGrupos de usuariosID de usuarioNúmero de ID de usuario (el sistema le asignará uno si no se indica ninguno)Opciones de UsuarioAtributo de usuarioCategoría de usuarioCategoría de usuario al que se aplica la reglaContenedor de usuarioGrupo de usuariosEl grupo de usuarios ACI permite el acceso aGrupo de usuarios para solicitar a la delegaciónGrupo de usuario a aplicar los permisos paraUsuario de grupo a aplicar permisos (establece target)Ingreso de usuarioAccesos de usuarioNombre de usuarioClase de objeto de usuarioContraseña de usuarioCampos de búsqueda de usuarioDescripción sencilla de la acción realizadaAtributos especificados por el usuario a los que aplica el permisoAtributos especificados por el usuario a los cuales no se les aplica explícitamente el permisoNombre de usuarioUsuariosLos usuarios pueden crear keytabLos usuarios pueden recuperar keytabPresentar certificado válidoError de validaciónValidezValidar finalValidar inicioContraseña de la bóvedaVendedorVerificar ContraseñaVerificar contraseña principalPrecisión verticalVía de servicioVerAvisoPrecaución tipo de encriptación no reconocido.
Advertencia de tipo de sal no reconocido.
Advertencia: Tipo para convertir falló (#%d)⏎
Advertencia: tipos salt no se aceptan con contraseñas aleatorias (ver opt.
PesoPeso para los servicios del servidorCuando se migra un grupo que ya existe en el dominio IPA se sobrescribe el GID de grupo e informa como conseguidoSí PKINIT está habilitado o deshabilitadoSi se almacenan los certificados enviados usando este perfil¿Quién?Escribir certificado (chain if --chain used) a archivoEscribir configuración de perfil a ficheroCadena de certificado X.509Usted puede necesitar borrarlo manualmente del árbolDebe registrar el equipo para poder generar un servicio de hostDebe especificar las opciones tanto rid-base como secondary-rid-base options, puesto que ipa-adtrust-install ya ha estado corriendo.Será redirigido a Zona DNS.Su sesión ha expirado. Por favor acceda otra vez.Su confianza en %(domain)s se ha roto. Vuelva a creara ejecutando 'ipa trust-add' otra vez.Espacio YubiKeyZona Zona de expedidoresNombre de la zonaNombre de la zona (FQDN)No se puede eliminar el registro de zona «%s»Intervalo de refresco de zonaaccess() sobre %1$s falló: errno = %2$d
valor del algoritmo: intervalo permitido 0-255todos los maestros deben tener el rol %(role)s habilitadoha ocurrido un error internoha ocurrido un error interno en el servidor en '%(server)s'respuesta a la consulta '%(owner)s %(rtype)s' tiene firmas DNSSEC desaparecidas (sin datos RRSIG)cualquiera de los servidores configuradosapi no tiene dicho espacio de nombres: '%(name)s'es necesario como mínimo alguno de: tipo, filtro, subárbol, grupo de destino, atributos, o miembro de al menos un valor igual al nombre canónico principal debe estar presenteatributo "%s" no permitidolos atributos attrs e included son mutuamente exclusivoslos atributos attrs e included/excluded son mutuamente exclusivossi no existe, agregar automáticamente el principalclave de automontajeclaves de automontajelocalización automontajelocalizaciones de automontajemapa de automontajemapas de automontajebasednFalló ber_init(), ¿control inválido?
ber_scanf() falló, incapaz de encontrar kvno ?!
asociar contraseñapuede ser a lo sumo%(len)d caracterespuede ser a lo sumo de %(maxlength)d bytespuede tener a lo sumo %(maxlength)d caracterespuede ser como máximo %(maxvalue)dpuede ser como mucho %(maxvalue)sno puede estar vacíono puede ser mayor de {} caracteresno se pudo conectar a '%(uri)s': %(error)sno puede borrar la Política global de contraseñano puede borrar permisos gestionadosno puede borrar el dominio raíz de la confianza, use trust-del para borrarla misma confianzano puede deshabilitar el dominio raíz de la confianza, use trust-del para borrar la confianza mismano se puede abrir archivo de configuración %s\n
no puede renombrar permisos gestionadosno puede establecer bindtype para un permiso que se ha asignado a un privilegiono puede especificar un certificado RAW y un archivono puede especificar filtro de objetivo completo y filtro de objetivo extra simultáneamenteno puede stat () del archivo de configuración%s
la modificación choca con otra modificación diferenteCambiar a un grupo POSIXcambio para soportar miembros externos no IPA desde dominios de confianzahijo terminó con %d
cn es inmutablelistas separada por comas de grupos a añadirlista separada por comas de grupos a quitarlista separada por comas de grupos de host a añadirlista separada por comas de grupos de host a quitarlista separada por comas de hosts a añadirlista separada por comas de hosts a quitarlista separada por comas de privilegios a añadirlista separada por comas de privilegios a borrarlista separada por comas de grupos de comandos sudo a añadirlista separada por comas de grupos de comandos sudo a quitarlista separada or comas de comandos sudo a añadirlista separada por comas de comandos sudo a quitarlista separada por comas de usuarios a añadirlista separada por comas de usuarios a quitarcomando '%(name)s' toma la mayoria %(count)d argumentocomando '%(name)s' toma la mayoría %(count)d argumentoscomando '%(name)s' no toma argumentoscomandos para controlar la configuración sudoopciones de configuraciónno se encuentra la entrada (%(container)s) de contenedorcurl_easy_init() falló
curl_easy_setopt() falló
curl_global_init() falló
curl_slist_append() falló para valor: '%s'
delegacióndelegacionesdescripciónno se ha recibido ninguna credencial de Kerberosno coincide con ninguno de los formatos aceptados: dominioel dominio no está configuradoel nombre de dominio '%(domain)s' debería ser normalizado a: %(normalized)sel nombre de dominio no puede ser mas largo de 255 caracterescada elemento ACL debe estar terminado con un punto y comaetiqueta DNS vacíaVaciar filtroentradasentradaerror de clasificación para el transporte de datos XML-RPC: %(error)s error sobre el servidor '%(server)s': %(error)sla ejecución de ipa-getkeytab falló, errno %d
formato esperado: <0-255> <0-255> <0-65535> even-length_hexadecimal_digits_or_hyphenarchivo para almacenar los registros DNS en formato nsupdatearchivo para almacenarnombre de archivofiltro y memberof son mutuamente excluyenteslas banderas deben ser una de "S", "A", "U" o "P"valor de banderas: intervalo permitido 0-255Forzar la creación del registro DNS, aunque su nombre no sea absolutofuerza el borrado de permisos SYSTEMfuerza el nombre del equipo anfitrión, incluso si no se encuentra en DNSfuerza el nombre del principal si el host no está en el DNSfuerza el nombre del prinicpal, aún si no se encuentra en DNSfuerza la creación del servicio aún cuando el host no exista para manejarlobifurcación () falló
"d1 [m1 [s1]] {"N"|"S"} d2 [m2 [s2]] {"E"|"W"} alt["m"] [siz["m"] [hp["m"] [vp["m"]]]]"
donde:
d1: [0 .. 90] (grados de latitud)
d2: [0 .. 180] (grados de longitud)
m1, m2: [0 .. 59] (minutos de latitud/longitud)
s1, s2: [0 .. 59.999] (segundos de latitud/longitud)
alt: [-100000.00 .. 42849672.95] BY .01 (altitud en metros)
siz, hp, vp: [0 .. 90000000.00] (tamaño/precisión en metros)
Vea RFC 1876 para detallesel formato se debe especificar como "%(format)s" %(rfcs)szona de envío "%(fwzone)s" no es efectiva por desaarición de la delegacion NS apropiada en zona autorizada "%(authzone)s". Por favor añada registro NS record "%(ns_rec)s" a la zona padre "%(authzone)s".gid no puede ser fijado para un grupo externose requiere nombregrupogrupo, permisos y auto son mutuamente excluyentesgruposhostla categoría de host no puede ser establecida a 'all' mientras hay host permitidosgrupo de hostgrupos de hostgrupo de host con nombre “%s” ya existe. Los grupos de nombres y los grupos de red comparten un espacio de nombre comúnnombre de hostel nombre de host contiene una etiqueta vacía (puntos consecutivos)hostshosts no puede ser añadido con categoría de host='all'rango idtipo de rango de idvalor de hora incompletotipo incorrectoentero para ordenar las reglas Sudo'%(name)s' inválido: %(error)sDN no válido (%s)formato no válido de dirección IPversión de dirección IP no válida (es %(value)d, debe ser %(required_value)d)!formato no válido de red IPID de perfil no válidoSID no válido: {SID}clave SSH pública no válidaformato de dirección no válidonombre de atributo no válidonombre de domino no válidonombre de dominio no válido: %snombre de dominio no válido: no totalmente cualificadocódigo de salida no válido en el nombre de dominiomáscara de host no válidanúmero de puerto no válido¿Tiene ipa-getkeytab permisos errados?
ipa-getkeytab no se encuentra
se requiereiterations value: intervalo permitido 0-65535json_dumps() falló
ajustes de la entrada de política kerberoskey %(key)s ya existeya existe una llave denominada %(key)skeytab es un enlace simbólico colgante y es propiedad de otro usuario.
krb5_kt_close %1$d: %2$s
krb5_kt_get_entry %1$d: %2$s
krb5_kt_remove_entry %1$d: %2$s
krb5_parse_name %1$d: %2$s
krb5_unparse_name %1$d: %2$s
kvno %d
han sido excedidos los límites para esta consultaintervalo de dominios localeslocalizaciónlocalizacionesAdministrador %(manager)s no encontradomap %(map)s ya existemapa no conectado a /etc/auto.mastermiembro %smiembro de grupohost miembromiembro del grupo de hostmiembro privilegioobjetivo de delegación de miembro de serviciomiembro de comando sudomiembro de grupo de comando sudousuario miembrobase_id desaparecidamodificar la clave principal no está permitidoel punto de montaje es relativo al mapa padre, no puede empezar con /debe ser "%s"debe ser «%(value)s»debe ser nombre DNSdebe ser Kerberos principaldebe ser True o Falsedebe ser texto Unicodedebe ser un certificadodebe ser una petición de firma de certificadodebe ser un número decimaldebe ser absolutodebe ser un enterodebe ser como mínimo de %(minlength)d bytesdebe tener como mínimo %(minlength)d caracteresdebe ser como mínimo %(minvalue)ddebe ser al menos %(minvalue)sdebe ser al menos 1debe ser un dato binariodebe ser un valor de fecha y horadebe ser diccionariodebe estar cerrado entre paréntesisdebe ser exactamente de %(length)d bytesdebe tener exactamente %(length)d caracteresdebe ser uno de %(values)sdebe ser relativodebe ser igual a %rdebe tener el rol %(role)s habilitadodebe coincidir con el modelo "%(pattern)sgrupo de redgrupo de red con nombre “%s” ya existe. Los grupos de host y grupos de red comparten un espacio de nombre comúngrupos de redni comando no tópico de ayuda '%(topic)s'no existen modificaciones a ser realizadasno se permite modificar las entradas de los gruposno se permite modificar las entradas de los usuariosno está permitido llevar a cabo la operación: %sno permitido llevar a cabo la comprobación de conexión del servidorno totalmente cualificadono modificable sobre permisos gestionadosel número de clase '%(cls)s' no está incluido en una lista de los números de clases permitidos: %(allowed)sclase objeto %s no encontradasolo se admite «ad»solo disponible sobre permisos gestionadossólo se permiten letras, números y %(chars)s. La etiqueta DNS no debe empezar ni terminar con %(chars2)ssolo las zonas maestras pueden contener registrossolo se permite un registro CNAME por nombre (RFC 2136, sección 1.1.5)solo se permite un registro DNAME por nombre (RFC 6672, sección 2.4)operación no definidala opción fue renombrada; use %slas opciones no están permitidassin Memoria
datos fuera de zona: el nombre de registro debe ser un subdominio de la zona o un nombre relativosuperposición de argumentos y opciones: %(names)sel propietario de registros %(types)s no debería ser un nombre de dominio comodín (RFC 4592 sección 4)params debe ser una listaparams debe contener [args, options]params[0] (aka args) debe ser una listaparams[1] (aka options) debe ser un diccionariocontraseñapolíticas de contraseñapolítica de contraseñaContraseña a usar si no usa kerberospermisopermiso "%(value)s" ya existepermisospkinitpreserve y no-preserve no pueden estar ambos ajustadosprincipal no se encuentra
principales no se encuentran en respuesta XML-RPC
la prioridad no puede ser definida en una plítica globalla prioridad debe ser un valor único (%(prio)d que ya esté siendo utilizado por %(gname)s)privilegiogrupo privilegiadoprivilegiospyhbac no está instalado.pysss_murmur no está disponible en el servidor y no se ha dado base-id.python-yubico no está instalado.consulta '%(owner)s %(rtype)s' con EDNS0: %(error)sconsulta'%(owner)s %(rtype)s': %(error)sel intervalo existela modificación de rango dejando objetos con ID fuera del rango definido no está permitidacambio de tipo de rangoError de lectura
reino no encontrado
el dominio o sufijo UPN se superpone con el espacio de nombres de dominio de confianzaregistro '%(owner)s %(rtype)s' fallo de validación DNSSEC sobre el servidor %(ip)sfallo en la petición con estado HTTP %dresultado no se encuentra en respuesta XML-RPC
    Determinar si la ACI es un autoservicio de ACI  y   hacer una excepción si
     no lo es.
    Devolver el resultado si se trata de un autoservicio   de ACI.rolrolesvalor salt: %(err)sbuscar por grupos POXISbúsqueda de grupos con soporte de miembros externos no IPA desde dominios de confianzabuscar grupos gestionadosbúsqueda de grupos no POSIXBúsqueda de grupos privadoslos resultados de la búsqueda de los objetos que se van a migrar se han truncado por el servidor; el proceso de migración puede estar incompleto
auto servicio de permisoauto servicio de permisosservidorrol servidorroles de servidorservidoresservicioserviciosFijando el servidor de nombre Autoritariono debe ser un nombre de dominio comodín (RFC 4592 sección 4)sidgen_was_runetiqueta sencilla {}s no está soportadaIgnorar la detección inversa de DNSse requiere snescenario usuarioescenario usuariossubtree y type son mutuamente exclusivoscomando sudogrupo de comando sudogrupos de comando sudocomandos sudoregla sudoreglas sudotarget y targetgroup son mutuamente exclusivosla entrada fue eliminada mientras estaba siendo modificadaeste valor no sigue el formato de hora "YYYYMMDDHHMMSS"debe haber al menos una entrada objetivo especifica (e.g. target, targetfilter, attrs)esta opción ha quedado obsoleta.esta opción es obsoletademasiados ‘@’ caracteresconfianzaconfiguración de la confianzadominio de confianzadominios de confianzatipo de confianzaconfianzasObjeto de tipo IPA (usuario, grupo, grupo de host, servicio, grupo de red)tipo, filtro, subárbol y grupo de destino, se excluyen mutuamentecomando desconocido '%(name)s'error %(code)d desconocido de %(server)s: %(error)stipo de confianza no soportadourlusuariousuario "%s" ya está activola categoría de usuario no puede ser establecida a 'all' mientras hay usuarios permitidosusuariosno se pueden añadir usuarios cuando la categoría de usuario='all'{attr}: no existe tal atributo{role}: rol no encontrado