14.5. 手動 ID 範囲の拡張および新規 ID 範囲の割り当て
特定の状況では、ID 範囲を手動で調整する必要があります。
- 割り当てられた ID 範囲を使い果たした。
- レプリカに割り当てられた ID 範囲を使い果たし、他のレプリカの IdM 範囲で使用可能な空き ID がなくなったため、追加の ID の要求に失敗しました。レプリカに割り当てられた ID 範囲を拡張します。これには、既存の ID 範囲の分割や、サーバー用に最初に設定された ID 範囲の超過が伴う場合があります。または、新しい ID 範囲を割り当てることもできます。注記新しい ID 範囲を割り当てると、サーバーまたはレプリカ上の既存のエントリーの UID は同じになります。現在の ID 範囲を変更しても、IdM は過去に割り当てられた範囲の記録を保持するため、これにより問題が発生することはありません。
- レプリカが機能しなくなる
- レプリカが停止してしまい、削除する必要がある場合には、ID 範囲は自動的に取得されないので、以前にレプリカに割り当てられていた ID 範囲は使用できなくなります。ID 範囲を復元し、他のレプリカで使用できるようにします。機能しなくなったサーバーに属する ID 範囲を回復し、別のサーバーに割り当てる場合は、最初に「現在割り当てられている ID 範囲の表示」に記載されている ipa-replica-manage dnarange-show コマンドを使用して ID 範囲の値を確認し、その ID 範囲を手動でサーバーに割り当てます。また、UID や GID が重複しないように、回復した範囲からの ID の値がユーザーまたはグループに割り当てられていないことを確認します。これは、既存のユーザーおよびグループの UID と GID を調べて実行できます。
ID 範囲を手動で定義するには、以下の 2 つのコマンドを使用します。
- ipa-replica-manage dnarange-set を使用すると、指定したサーバーの現在の ID 範囲を定義できます。
# ipa-replica-manage dnarange-set masterA.example.com 1250-1499
- ipa-replica-manage dnanextrange-set を使用すると、指定したサーバーの次の ID 範囲を定義できます。
# ipa-replica-manage dnanextrange-set masterB.example.com 1001-5000
これらのコマンドの詳細は、ipa-replica-manage(1) の man ページを参照してください。
重要
ID 範囲を重複しないように注意してください。サーバーまたはレプリカに割り当てた ID 範囲のいずれかが重複すると、この 2 つのサーバーにより、異なるエントリーに同じ ID 値を割り当てる可能性があります。
UID の値が 1000 以下の ID 範囲は設定しないでください。1000 以下の値はシステム使用向けに予約されています。また、
0
値が含まれる ID 範囲は設定しないでください。SSSD サービスは ID の値 0
を処理しません。
ID 範囲を手動で拡張する場合は、新たに拡張した範囲が IdM ID 範囲に含まれていることを確認してください。これは、ipa idrange-find コマンドを使用して確認できます。ipa idrange-find -h コマンドを実行して、ipa idrange-find を使用する方法のヘルプを表示します。