IdM: 特定の idrange を uid/gid に使い、かつ独自のメカニズムでオブジェクトを複数の IdM ドメインにロールアウトできますか?

Issue

• Identity Management (IdM) ユーザーに対し、特定の uid/gid 範囲を割り当て、uid/gid を手動で設定することを検討しています。この方法では、新規ユーザーの uid/gid が一意であることは「外部ソース」側に依存するため、DNA プラグインをまったく利用する必要がなくなります。これにより生じる可能性のある注意点や問題についてはすでに認識していますが、まずは技術的に可能かどうかを知りたいです。

すべての IdM システムで同じ範囲を設定したいです。以下を使用します。

    # ipa idrange-mod EXAMPLE_id_range --base-id=10000 --range-size=951790000

これは何か問題を引き起こす可能性がありますか? この手順はサポートされていますか? 異なる IdM バージョンを使用できますか?

• 以下のようなセットアップが与えられています。

  • 複数の IdM ドメイン。
  • 各 IdM ドメイン内のサーバー/レプリカは、他のドメインについて把握していません。

  • すべての IdM サーバーは、以下の同一の idrange で設定されます。

    $ ipa idrange-mod FOO.BAR_id_range --base-id=10000 --range-size=951790000

  • DNA プラグインは使用されません: すべてのレプリカ、すべての IdM サーバーにこの範囲が設定されます。

  • IdM の外部では、ユーザーなどの新しいオブジェクトに新しい UID/GID が割り当てられ、これらのオブジェクトは、各ドメインで実行される ipa user add .. などの ipa コマンドを使用してすべての IdM ドメインにロールアウトされます。ドメイン内では、レプリケーションによりすべての IdM サーバーがすべてのオブジェクトを提供することになります。
  • これはサポートされていますか? 上記は、異なる IdM バージョンでも機能しますか?