Tôi đã thiết lập xác thực người dùng FreeIPA. Đã có nhiều người dùng trong hệ thống, cùng với nhiều hệ thống chủ (máy khách IPA được cấu hình). Tôi muốn thiết lập các giới hạn cgroup đối với các tác vụ mà những người dùng này đang thực hiện (cụ thể là đối với CPU và bộ nhớ / RAM). Tôi có thể kiểm tra nó trên một máy chủ duy nhất bằng cách sử dụng một người dùng thử nghiệm (sử dụng các bước sau ). Tuy nhiên, điều này liên quan đến việc liệt kê tất cả người dùng trong mỗi máy chủ lưu trữ và rất khó quản lý và mở rộng quy mô.

Tôi đã nghĩ đến việc thêm tất cả người dùng IPA vào một hệ thống / nhóm người dùng trên các máy tính chủ này và thêm một cgrulecho nhóm này. Tuy nhiên, điều này có thể yêu cầu tôi thêm từng người dùng IPA vào một nhóm trên mỗi máy chủ lưu trữ (tạo ra một vấn đề mở rộng quy mô khác). Có cách nào để đồng bộ hóa các nhóm người dùng cho cài đặt cụ thể này không?

Tôi có thể tìm thấy thứ gì đó trên Hợp nhất nhóm nhưng không thể tìm ra cách làm cho nó hoạt động.

Máy chủ FreeIPA chạy Fedora và máy chủ chạy Ubuntu (18.04 và 20.04). Các máy chủ là máy chủ mô phỏng, vì vậy cần có quyền truy cập GUI đối với người dùng IPA. Giới cgrouphạn phải có đối với các tác vụ do tất cả những người dùng này thực hiện. Tốt nhất, tôi muốn thêm người dùng IPA vào nhóm người dùng linux trên máy chủ FreeIPA (khi thêm người dùng vào IPA) và đồng bộ hóa điều đó trên tất cả các máy chủ. Sau đó, tôi sẽ đặt một cgrulecho nhóm này. Một điều như vậy là có thể? Nó sẽ giúp tôi thiết lập quyền truy cập thậm chí cả docker cho người dùng (thêm họ vào dockernhóm).

answer

Hóa ra tất cả điều này là không cần thiết. Các nhóm được tạo trong máy chủ FreeIPA được đồng bộ hóa giữa các máy khách mà không cần hợp nhất nhóm. Tôi đã tạo một nhóm trên cổng máy chủ và thêm người dùng vào đó. Sau đó, trên mỗi máy chủ lưu trữ, tôi đặt giới hạn cho nhóm này.

Một số liên kết tham khảo