第 38 章 手动管理 subID 范围

在容器化环境中,有时 IdM 用户需要手动分配 subID 范围。以下说明帮助您管理 subID 范围。

38.1. 使用 IdM CLI 生成子 subID 范围

您可以生成一个 subID 范围,并手动将其分配给用户。假设 ipa 服务器上存在用户 jsmith

先决条件

流程

  1. 检查现有的 subID 范围:

    # ipa subid-find

  2. 如果 subID 范围不存在,请输入以下命令来生成并将新的 subID 范围分配给用户:

    # ipa subid-generate --owner=jsmith
    
    Added subordinate id "359dfcef-6b76-4911-bd37-bb5b66b8c418"
    
      Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
      Description: auto-assigned subid
      Owner: jsmith
      SubUID range start: 2147483648
      SubUID range size: 65536
      SubGID range start: 2147483648
      SubGID range size: 65536
  3. 或者,生成并将新的 subID 范围分配给所有用户:

    # /usr/libexec/ipa/ipa-subids --all-users
    
    Found 2 user(s) without subordinate ids
      Processing user 'user4' (1/2)
      Processing user 'user5' (2/2)
    Updated 2 user(s)
    The ipa-subids command was successful

请注意,要默认将 subID 范围分配给新的 IdM 用户,请启用以下选项:

# ipa config-mod --user-default-subid=True

验证

  1. 要验证用户是否分配了 subID 范围,请输入以下命令:

    # ipa subid-find --owner=jsmith
    
    1 subordinate id matched
    
      Unique ID: 359dfcef-6b76-4911-bd37-bb5b66b8c418
      Owner: jsmith
      SubUID range start: 2147483648
      SubUID range size: 65536
      SubGID range start: 2147483648
      SubGID range size: 65536
    
    Number of entries returned 1