Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

39.6. 자동으로 ID 범위 문제 감지 및 수정

IdM(Identity Management)의 Kerberos는 권한 부여에 PAC(권한 속성 인증서)를 사용합니다. 이 기능이 제대로 작동하려면 사용자와 그룹에 SID(Security Identifier)가 할당되어 있어야 합니다. SIDS는 유효한 ipa-local ID 범위 내에 있는 엔터티에 대해서만 생성할 수 있습니다.

사용자 또는 그룹이 정의된 ipa-local 범위 외부에서 생성되거나 기존 범위가 잘못 구성된 경우 SID 생성 작업이 실패할 수 있습니다. 이렇게 하면 사용자가 Kerberos 티켓을 인증하고 얻지 못할 수 있습니다.

ipa-idrange-fix 명령줄 툴을 사용하여 이러한 불일치를 분석하고 복구할 수 있습니다. 이 툴은 유효한 범위를 벗어나는 사용자와 그룹을 식별하고, 이를 처리할 새 범위를 만들고, 확인 시 변경 사항을 적용합니다.

사전 요구 사항

  • 툴을 실행할 IdM 서버에 대한 루트 액세스 권한이 있습니다.

    중요

    ipa-idrange-fix 툴에서 제안한 변경 사항을 적용하기 전에 시스템의 전체 백업을 생성하는 것이 좋습니다.

  • 서버가 RHEL 8.10 이상을 실행하고 있습니다.

절차

  1. ipa-idrange-fix 를 실행하여 현재 ID 범위를 분석합니다. 다음과 같은 다양한 옵션을 사용하여 사용자 지정할 수 있습니다. 

    # ipa-idrange-fix --rangegap 300000 --minrange 20 --ridoffset 200000
    Copy to Clipboard Toggle word wrap
    • --rangegap <value>: 제안된 단일 범위에 포함할 ID 간의 최대 간격을 지정합니다. 기본값은 200000 입니다.
    • --minrange <value>: 유효한 새 범위를 형성하는 데 필요한 최소 ID 수를 설정합니다. 이 보다 작은 ID 그룹은 수동 확인을 위해 아웃리퍼로 나열됩니다. 기본값은 10입니다.

    • --ridoffset <value>: 기존 범위를 나중에 확장할 수 있도록 새 RID 베이스에 대한 오프셋을 설정합니다. 기본값은 100000 입니다.

      참고

      기본적으로 ipa-idrange-fix 툴은 일반적으로 시스템 계정을 위해 예약되므로 ID가 1000 미만인 사용자와 그룹을 무시합니다. 이러한 엔터티를 분석에 포함하려면 권장되지 않는 --allowunder1000 옵션을 사용합니다.

  2. 이 툴에는 새 ID 범위 생성과 같은 제안된 변경 사항이 표시됩니다. 제안된 변경 사항을 주의 깊게 검토하십시오.

    참고

    ipa-idrange-fix 가 없는 사용자와 그룹에 대한 새 SID를 생성하지 않습니다. 누락된 SID를 생성하려면 IdM의 SID(보안 식별자) 활성화를 참조하십시오.

  3. yes 를 입력하여 변경 사항을 적용합니다.

    중요

    제안된 모든 변경 사항을 자동으로 적용하려는 경우를 확신하지 않는 한 --unattended 옵션과 함께 ipa-idrange-fix 를 실행하지 마십시오.

검증

  1. 로그 파일을 검토하여 적용된 변경 사항을 확인합니다. 

    # cat /var/log/ipa/ipa-idrange-fix.log
    Copy to Clipboard Toggle word wrap

  2. ipa idrange-find --all 명령을 사용하여 새 ID 범위가 올바르게 생성되었는지 확인합니다. 

    # ipa idrange-find --all

----------------
2 ranges matched
----------------
dn: cn=IDM.EXAMPLE.COM_id_range,cn=ranges,cn=accounts,dc=example,dc=com
Range name: IDM.EXAMPLE.COM_id_range
First Posix ID of the range: 882200000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 1000
First RID of the secondary RID range: 1000000
Range type: local domain range
ipaUniqueID: 569bf864-9d45-11ea-bea3-525400f6f085
objectclass: ipaIdRange, top

dn: cn=IDM.EXAMPLE.COM_new_id_range,cn=ranges,cn=accounts,dc=example,dc=com
Range name: IDM.EXAMPLE.COM_new_id_range
First Posix ID of the range: 12000000
Number of IDs in the range: 200000
First RID of the corresponding RID range: 10000
First RID of the secondary RID range: 20000000
Range type: local domain range
ipaUniqueID: 7a2b3c4d-e5f6-7890-a1b2-c3d4e5f67890
objectclass: ipaIdRange, top
----------------------------
Number of entries returned 2
----------------------------
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat