38.6. 自动检测和修复 ID 范围问题

流程

1. 运行 ipa-idrange-fix 以分析当前的 ID 范围。您可以使用各种选项自定义此功能，例如：

   # ipa-idrange-fix --rangegap 300000 --minrange 20 --ridoffset 200000

   Copy to Clipboard Toggle word wrap
   • --rangegap <value>: 指定要包含在单个建议范围内的 ID 的最大差距。默认值为 200000。
   • --minrange <value > : 设置形成有效新范围所需的最少 ID 数量。小于这个值的任何 ID 组将被列为手动解析的外部。默认值为 10。

   • --ridoffset <value > : 为新的 RID 基础设置一个偏移值，以便以后扩展现有范围。默认值为 100000。

     注意

     默认情况下，ipa-idrange-fix 工具会忽略 ID低于 1000 的用户和组，因为它们通常为系统帐户保留。要在分析中包含这些实体（不推荐），请使用-- allowunder1000 选项。

2. 工具显示提议的更改，如创建新 ID 范围。仔细检查提议的更改。

   注意

   ipa-idrange-fix 不会为没有它们的用户和组创建新的 SID。要创建缺少的 SID，请参阅在 IdM 中启用安全标识符(SID)。

3. 输入 yes 以应用更改。

   重要

   不要使用- unattended 选项运行 ipa-idrange-fix，除非您确定要自动应用所有提议的更改。

验证

1. 查看日志文件以查看应用的更改：

   # cat /var/log/ipa/ipa-idrange-fix.log

   Copy to Clipboard Toggle word wrap

2. 使用 ipa idrange-find --all 命令来验证新 ID 范围是否已正确创建：

   # ipa idrange-find --all
   
   ----------------
   2 ranges matched
   ----------------
   dn: cn=IDM.EXAMPLE.COM_id_range,cn=ranges,cn=accounts,dc=example,dc=com
   Range name: IDM.EXAMPLE.COM_id_range
   First Posix ID of the range: 882200000
   Number of IDs in the range: 200000
   First RID of the corresponding RID range: 1000
   First RID of the secondary RID range: 1000000
   Range type: local domain range
   ipaUniqueID: 569bf864-9d45-11ea-bea3-525400f6f085
   objectclass: ipaIdRange, top
   
   dn: cn=IDM.EXAMPLE.COM_new_id_range,cn=ranges,cn=accounts,dc=example,dc=com
   Range name: IDM.EXAMPLE.COM_new_id_range
   First Posix ID of the range: 12000000
   Number of IDs in the range: 200000
   First RID of the corresponding RID range: 10000
   First RID of the secondary RID range: 20000000
   Range type: local domain range
   ipaUniqueID: 7a2b3c4d-e5f6-7890-a1b2-c3d4e5f67890
   objectclass: ipaIdRange, top
   ----------------------------
   Number of entries returned 2
   ----------------------------

   Copy to Clipboard Toggle word wrap