Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

39.6. ID 範囲の問題を自動的に検出して修正する

Identity Management (IdM) の Kerberos は、認可に Privilege Attribute Certificate (PAC) を使用します。これが正しく機能するには、ユーザーとグループにセキュリティー識別子 (SID) が割り当てられている必要があります。SID は、有効な ipa-local ID 範囲内のエンティティーに対してのみ生成できます。

定義された ipa-local 範囲外でユーザーまたはグループが作成された場合、または既存の範囲が誤って設定された場合、SID 生成タスクは失敗する可能性があります。これにより、ユーザーが認証して Kerberos チケットを取得できなくなる可能性があります。

ipa-idrange-fix コマンドラインツールを使用して、これらの不整合を分析および修復できます。このツールは、有効な範囲外にあるユーザーやグループを特定し、それらを網羅するための新しい範囲の作成を提案した上で、確認後にその変更を適用します。

前提条件

  • ツールを実行する IdM サーバーへの root アクセス権がある。

    重要

    Red Hat では、ipa-idrange-fix ツールによって提案された変更を適用する前に、システムの完全バックアップを作成することを強く推奨しています。

  • サーバーは RHEL 8.10 以降を実行しています。

手順

  1. ipa-idrange-fix を実行して、現在の ID 範囲を分析します。次のようなさまざまなオプションを使用して、これをカスタマイズできます。 

    # ipa-idrange-fix --rangegap 300000 --minrange 20 --ridoffset 200000
    Copy to Clipboard Toggle word wrap
    • --rangegap <value>: 提案される単一の範囲に含める ID 間の最大の間隔を指定します。デフォルトは 200000 です。
    • --minrange <value>: 有効な新しい範囲を形成するために必要な ID の最小数を設定します。これより小さい ID のグループは、手動で解決する必要がある外れ値としてリストされます。デフォルトは 10 です。

    • --ridoffset <value>: 既存の範囲を将来拡張できるように、新しい RID ベースのオフセットを設定します。デフォルトは 100000 です。

      注記

      デフォルトでは、ipa-idrange-fix ツールは、ID が 1000 未満のユーザーとグループを無視します。これらは通常、システムアカウント用に予約されているためです。これらのエンティティーを分析に含める (非推奨) には、--allowunder1000 オプションを使用します。

  2. このツールには、新しい ID 範囲の作成など、提案された変更が表示されます。提案された変更を慎重に確認してください。

    注記

    ipa-idrange-fix は、SID を持たないユーザーおよびグループに対して新しい SID を作成しません。不足している SID を作成するには、IdM でのセキュリティー識別子 (SID) の有効化 を参照してください。

  3. 変更を適用するには yes と入力します。

    重要

    提案されたすべての変更を自動的に適用してもよいと確信している場合を除き、--unattended オプションを指定した ipa-idrange-fix は実行しないでください。

検証

  1. ログファイルを確認し、適用された変更を確認します。 

    # cat /var/log/ipa/ipa-idrange-fix.log
    Copy to Clipboard Toggle word wrap

  2. ipa idrange-find --all コマンドを使用して、新しい ID 範囲が正しく作成されたことを確認します。 

    # ipa idrange-find --all

----------------
2 ranges matched
----------------
dn: cn=IDM.EXAMPLE.COM_id_range,cn=ranges,cn=accounts,dc=example,dc=com
Range name: IDM.EXAMPLE.COM_id_range
First Posix ID of the range: 882200000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 1000
First RID of the secondary RID range: 1000000
Range type: local domain range
ipaUniqueID: 569bf864-9d45-11ea-bea3-525400f6f085
objectclass: ipaIdRange, top

dn: cn=IDM.EXAMPLE.COM_new_id_range,cn=ranges,cn=accounts,dc=example,dc=com
Range name: IDM.EXAMPLE.COM_new_id_range
First Posix ID of the range: 12000000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 10000
First RID of the secondary RID range: 20000000
Range type: local domain range
ipaUniqueID: 7a2b3c4d-e5f6-7890-a1b2-c3d4e5f67890
objectclass: ipaIdRange, top
----------------------------
Number of entries returned 2
----------------------------
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat