FreeIPA Server/Client不同版本组合,对podman rootless container的支持
根据实验,
CentOS 7.9 yum仓库自带的FreeIPA Server 4.6.8,
| ipa client版本 | 支持 |
|---|---|
| CentOS 7.9 yum仓库自带的FreeIPA Client 4.6.8 | 不支持subids,podman调用chmod时报错。 |
RHEL 9.2 yum仓库自带的FreeIPA Server 4.10.1,
| ipa client版本 | 支持 |
|---|---|
| CentOS 7.9 yum仓库自带的FreeIPA Client 4.6.8 | 不支持subids,podman调用chmod时报错。通过ipa user-show 能查到Subordinate ids |
| RHEL 9.2 yum仓库自带的FreeIPA Client 4.10.1 | 支持subids,podman调用chmod时报错。通过ipa user-show 能查到Subordinate ids。 |
注:加入了FreeIPA的主机,即使手动修改/etc/nsswitch.conf文件,添加subid: file也不能使用到/etc/subuid, /etc/subgid。
附:
podman调用chmod报错截图,
参考资料
- https://www.redhat.com/sysadmin/controlling-access-rootless-podman-users 控制rootless容器的权限。
- https://docs.podman.io/en/latest/markdown/podman-unshare.1.html podman unshare。
- https://access.redhat.com/solutions/6961540 在/etc/nsswitch.conf文件,subid: sss或subid: file只能有一种。而且根据实验,来自于LDAP的用户,在文件中指定它的subid(subid: file)是无效的。
- https://access.redhat.com/solutions/6161832 podman因subid映射不正确导致的问题。
- RHEL 8.8的FreeIPA是 4.9.11 版本,也是支持subid的。
