第39章 subID 範囲の手動管理

コンテナー化環境では、IdM ユーザーが subID 範囲を手動で割り当てる必要がある場合があります。以下の手順では、subID 範囲を管理するのに役立ちます。

39.1. IdM CLI を使用した subID 範囲の生成

Identity Management (IdM)管理者は、subID 範囲を生成し、IdM ユーザーに割り当てることができます。

前提条件

  • IdM ユーザーが存在する。
  • IdM admin Ticket-Granting Ticket (TGT) を取得している詳細は、kinit を使用した IdM への手動ログイン を 参照してください。
  • 手順を実行している IdM ホストへの root アクセス権がある。

手順

  1. 既存のサブ ID 範囲を確認します。 

    # ipa subid-find

  2. subID 範囲が存在しない場合は、以下のオプションのいずれかを選択します。

    • subID 範囲を生成して、IdM ユーザーに割り当てます。 

      # ipa subid-generate --owner=idmuser

Added subordinate id "359dfcef-6b76-4911-bd37-bb5b66b8c418"

  Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
  Description: auto-assigned subid
  Owner: idmuser
  SubUID range start: 2147483648
  SubUID range size: 65536
  SubGID range start: 2147483648
  SubGID range size: 65536

    • すべての IdM ユーザーに subID 範囲を生成して割り当てます。 

      # /usr/libexec/ipa/ipa-subids --all-users

Found 2 user(s) without subordinate ids
  Processing user 'user4' (1/2)
  Processing user 'user5' (2/2)
Updated 2 user(s)
The ipa-subids command was successful

  3. (必要に応じて)デフォルトで新しい IdM ユーザーに subID 範囲を割り当てます。 

    # ipa config-mod --user-default-subid=True

検証

  1. ユーザーに subID 範囲が割り当てられていることを確認します。 

    # ipa subid-find --owner=idmuser

1 subordinate id matched

  Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
  Owner: idmuser
  SubUID range start: 2147483648
  SubUID range size: 65536
  SubGID range start: 2147483648
  SubGID range size: 65536

Number of entries returned 1