5.3.4.4. Transitive Trust에서 UID 및 GID 번호의 범위 추가
신뢰가 원래 구성된 시점에 ID 범위를 생성하는 방법은 “ID 범위” 에 설명되어 있습니다. 나중에 ID 범위를 추가하려면 다음 옵션과 함께 ipa idrange-add 명령을 사용하십시오.
- base
-id옵션은 시작 번호인 POSIX 범위의 기본 ID를 설정합니다. --range-size옵션은 IdM에서 사용하는 POSIX ID 범위 크기를 설정합니다. IdM은 신뢰할 수 있는 AD 도메인의 사용자 및 그룹의 RID를 POSIX ID에 매핑합니다.--range-size옵션은 IdM에서 생성하는 최대 ID 수를 정의합니다. AD는 사용자가 생성한 각 사용자와 그룹에 대해 새 RID를 사용합니다. 사용자 또는 그룹을 삭제하면 AD는 향후 AD 항목에 대해 RID를 다시 사용하지 않습니다. 따라서 이 범위는 IdM이 기존 AD 사용자 및 그룹 각각에 ID를 할당하고 향후 생성하는 ID를 할당할 수 있을 만큼 커야 합니다. 예를 들어, 관리자가 50000명의 AD 사용자를 삭제하고 이 기간 동안 10000개의 새 계정을 생성하는 경우 범위는 60000으로 설정해야 합니다. 그러나 범위에 충분한 예약이 포함되어 있어야 합니다. 대규모 환경에서는 기본값 (200000) 범위 크기가 충분하지 않다고 예상되는 대규모 환경에서는--range-size를 더 높은 값으로 설정합니다.--rid-base옵션은 InstallPlan의 가장 오른쪽 숫자인 RID의 시작 번호를 설정합니다. 값은 충돌을 방지하기 위해 기본 ID에 추가할 범위를 나타냅니다.--dom-sid옵션은 신뢰용으로 구성된 도메인이 여러 개 있을 수 있으므로 도메인 GovCloud를 설정합니다.
다음 예에서 기본 ID는 1,200,000이고 RID는 1,000입니다. 결과 ID 번호는 1,201,000입니다.
[root@server ~]$ kinit admin [root@server ~]$ ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 --dom-sid=S-1-5-21-123-456-789 trusted_dom_range
중요
수동으로 정의한 ID 범위가 IdM에서 사용하는 ID 범위와 겹치지 않는지 확인합니다.
