5.3.4.4. 在透明信任中为 UID 和 GID 号添加范围
“ID 范围”一节 中描述了在最初配置信任时创建 ID 范围。要在以后添加 ID 范围,请使用 ipa idrange-add 命令及以下选项:
base-id选项设置 POSIX 范围的基本 ID,即起始数range-size选项设置 IdM 使用的 POSIX ID 范围的大小。IdM 将可信 AD 域中的用户和组的 RID 映射到 POSIX ID。--range-size选项定义 IdM 创建的最大 ID 数。AD 对您创建的每个用户和组使用一个新的 RID。如果您删除了用户或组,AD 不会为将来的 AD 条目重复使用 RID。因此,范围必须足够大,以便 IdM 为每个现有的 AD 用户和组分配 ID,以及您以后创建的 ID。例如,如果管理员删除了 50000 个 AD 用户并且在此期间将创建 10000 个新帐户,则范围必须至少设置为 60000 个。但是,重要的是,范围中还包含足够的预留。在您期望默认(200000)范围大小不足的大型环境中,将--range-size设置为更高的值。rid-base选项设置 RID 的起始数,这是 SID 中最右侧的数字;该值表示要添加到基本 ID 的范围,以防止冲突dom-sid选项设置域 SID,因为可能会为信任配置了多个域
在以下示例中,基本 ID 是 1,200,000,RID 为 1,000。得到的 ID 号为 1,201,000。
[root@server ~]$ kinit admin [root@server ~]$ ipa idrange-add --base-id=1200000 --range-size=200000 --rid-base=0 --dom-sid=S-1-5-21-123-456-789 trusted_dom_range
重要
确保手动定义的 ID 范围与 IdM 使用的 ID 范围不重叠。
