Red Hat Training

A Red Hat training course is available for RHEL 8

第38章 subID 範囲の手動管理

コンテナー化環境では、IdM ユーザーが subID 範囲を手動で割り当てる必要がある場合があります。以下の手順では、subID 範囲を管理するのに役立ちます。

38.1. IdM CLI を使用した subID 範囲の生成

アイデンティティー管理 (IdM) 管理者は、サブ ID 範囲を生成し、それを IdM ユーザーに割り当てることができます。

前提条件

  • IdM ユーザーが存在します。
  • IdM admin Ticket-Granting Ticket (TGT) を取得している詳細は、kinit を使用して IdM に手動でログインするを 参照してください。
  • 手順を実行している IdM ホストへの ルート アクセス権を持っていること。

手順

  1. 既存のサブ ID 範囲を確認します。

    # ipa subid-find
  2. サブ ID 範囲が存在しない場合は、次のいずれかのオプションを選択します。

    • サブ ID 範囲を生成し、IdM ユーザーに割り当てます。

      # ipa subid-generate --owner=idmuser
      
      Added subordinate id "359dfcef-6b76-4911-bd37-bb5b66b8c418"
      
        Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
        Description: auto-assigned subid
        Owner: idmuser
        SubUID range start: 2147483648
        SubUID range size: 65536
        SubGID range start: 2147483648
        SubGID range size: 65536
    • すべての IdM ユーザーにサブ ID 範囲を生成して割り当てます。

      # /usr/libexec/ipa/ipa-subids --all-users
      
      Found 2 user(s) without subordinate ids
        Processing user 'user4' (1/2)
        Processing user 'user5' (2/2)
      Updated 2 user(s)
      The ipa-subids command was successful
  3. [オプション] デフォルトで新しい IdM ユーザーにサブ ID 範囲を割り当てます。

    # ipa config-mod --user-default-subid=True

検証

  1. ユーザーにサブ ID 範囲が割り当てられていることを確認します。

    # ipa subid-find --owner=idmuser
    
    1 subordinate id matched
    
      Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
      Owner: idmuser
      SubUID range start: 2147483648
      SubUID range size: 65536
      SubGID range start: 2147483648
      SubGID range size: 65536
    
    Number of entries returned 1