5.3.4.4. 推移的な信頼における UID および GID 番号範囲の追加
信頼を最初に設定する際に作成する ID 範囲は、「ID 範囲」 で説明しています。後で ID 範囲を追加するには、以下のオプションを付けて ipa idrange-add コマンドを実行します。
--base-idオプションは、開始番号である POSIX 範囲のベース ID を設定します--range-sizeオプションは、IdM が使用する POSIX ID 範囲のサイズを設定します。IdM は、信頼できる AD ドメイン内のユーザーとグループの RID を POSIX ID にマップします。--range-sizeオプションは、IdM が作成する ID の最大数を定義します。AD は、作成するユーザーとグループごとに新しい RID を使用します。ユーザーまたはグループを削除した場合、AD は今後の AD エントリーに RID を再利用しません。したがって、範囲は、IdM が既存の各 AD ユーザーとグループ、および将来作成するものに ID を割り当てるのに十分な大きさである必要があります。たとえば、管理者が 50000 人の AD ユーザーのうち 20000 人を削除し、その間に 10000 人の新しいアカウントを作成する場合、範囲は少なくとも 60000 に設定する必要があります。ただし、範囲にも十分な予約があることが重要になります。大規模な環境では、デフォルト (200000) 範囲のサイズが十分ではないことが予想されます。--range-sizeを高い値に設定します。--rid-baseオプションは、SID の右端の番号である RID の開始番号を設定します。この値は、競合を防ぐためにベース ID に追加する範囲を表します- 信頼用に複数のドメインを設定できるため、
--dom-sidオプションはドメイン SID を設定します。
以下の例ではベース ID が 1,200,000、RID が 1,000 です。追加される ID 番号は 1,201,000 になります。
[root@server ~]$ kinit admin [root@server ~]$ ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 --dom-sid=S-1-5-21-123-456-789 trusted_dom_range
重要
手動で定義した ID 範囲が IdM の使用する ID 範囲と重複しないようにしてください。
