第39章 subID 範囲の手動管理
コンテナー化環境では、IdM ユーザーが subID 範囲を手動で割り当てる必要がある場合があります。次の手順では、subID 範囲を管理する方法について説明します。
39.1. IdM CLI を使用した subID 範囲の生成
Identity Management (IdM) の管理者は、subID 範囲を生成し、それを IdM ユーザーに割り当てることができます。
前提条件
- IdM ユーザーが存在する。
-
IdM
admin
Ticket-Granting Ticket (TGT) を取得した。詳細は、kinit による IdM への手動ログイン を参照してください。 -
この手順を実行する IdM ホストへの
root
アクセス権がある。
手順
オプション: 既存の subID 範囲を確認します。
# ipa subid-find
subID 範囲が存在しない場合は、次のいずれかの方法を選択します。
1 つの subID 範囲を生成し、1 つの IdM ユーザーに割り当てます。
# ipa subid-generate --owner=idmuser Added subordinate id "359dfcef-6b76-4911-bd37-bb5b66b8c418" Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418 Description: auto-assigned subid Owner: idmuser SubUID range start: 2147483648 SubUID range size: 65536 SubGID range start: 2147483648 SubGID range size: 65536
複数の subID 範囲を生成し、すべての IdM ユーザーに割り当てます。
# /usr/libexec/ipa/ipa-subids --all-users Found 2 user(s) without subordinate ids Processing user 'user4' (1/2) Processing user 'user5' (2/2) Updated 2 user(s) The ipa-subids command was successful
オプション: デフォルトで新しい IdM ユーザーに subID 範囲を割り当てます。
# ipa config-mod --user-default-subid=True
検証
ユーザーに subID 範囲が割り当てられていることを確認します。
# ipa subid-find --owner=idmuser 1 subordinate id matched Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418 Owner: idmuser SubUID range start: 2147483648 SubUID range size: 65536 SubGID range start: 2147483648 SubGID range size: 65536 Number of entries returned 1