sssdが起動した後、UDEVはAD / LDAPユーザーとグループを介してデバイスの所有権を設定する必要があります。

Question

実装パッチワーク

AD / LDAPに到達できるようになったら、udevにルールを再評価する必要がある回避策が本当に必要な場合は、専用サービスデバイスを使用してこれらのコマンドをudevadm実行することをお勧めします。

動作するようにデバイスを適切に注文してください。後ろに sssd.serviceこれが始まりました（これはAD / LDAPバックエンドがクエリされる理由です）。後ろに network-online.target（アクセス可能にするには、sssdにそのユーザー/グループのキャッシュがまだないとします）今後これらのデバイスのサービスが必要です。（説明の便宜のために名前をと仮定しますoracle-asm.service。）

これを行うには、/etc/systemd/system/asm-device-ownership.service次のコンテンツで新しいサービスユニットを作成します。

[単位]
説明=Oracle ASMデバイスの所有権の更新
以降=sssd.service network-online.target
前=oracle-asm.service

[提供する]
種類=使い捨て
ExecStart=/bin/udevadm コントロール --reload
ExecStart=/bin/udevadm トリガー --settle...（ここにデバイスがあります）...

[インストールする]
WantedBy =マルチユーザー。ターゲット

デバイスがインストールされたら、コマンドを使用してsystemdに通知し、を使用してsudo systemctl daemon-reload有効にしますsudo systemctl enable asm-device-ownership.service。

また、このコマンドを同期化するには、を使用することをお勧めします。 systemdの順序付けは、サービスユニット（これらのデバイスの所有権を設定する）が依存するサービスユニット（ASMデバイスを使用するサービスユニット）が開始する前に完了することを保証するため、この操作を待つ必要があります。udevadm trigger --settle

これしなければならないこれはうまくいきますが、udevを早期に再起動して再ロードするときに移動する部分が多く、途中でルールを再起動することが問題になる可能性があります。してください。信頼できる。

しかし、このパッチワークを使用しないことをお勧めします。

代わりに、次の代替ソリューションの1つを検討してください。

ユーザー/グループをローカルにコピー

コメントでは、私は前述のように同じユーザーをローカルに作成することを提案しました。Arch Linux Wikiのこの記事。

AD / LDAPの定義を考慮すると、/etc/passwdローカルとAD / LDAPの両方にユーザーを置くことに大きな問題はありません。/etc/group変わらないだろう（しかし、変更すると、とにかく問題が発生する可能性があります。特に、すでに実行されているシステムではさらにそうです。）

AD / LDAPでグループメンバーシップを管理したい場合は、asmadminその情報が実際に変更される可能性があるため、ローカルコピーに問題があることがわかります（したがってローカルに複製するのは/etc/group問題です）。

glibc 2.24では、エントリが次のようになることを指定してソリューションがあることがわかりました。マージ存在する/etc/nsswitch.conf：

passwd: files sssd
group:  files [SUCCESS=merge] sssd

（よりnsswitch.conf のマニュアルページ詳細[SUCCESS=merge]。 )

ただし、このオプションにはいくつかの欠点があります。

エントリをマージするオプションは、nsswitch.confかなり新しいglibc 2.24以降でのみ利用可能です。たとえば、RHEL 7 はバージョン 2.17 に付属しているため、そのバージョンは使用できません。
「マージ」機能は完璧ではありません。たとえば、マニュアルページでは、getgrentすべてのグループを一覧表示するために使用される機能とどのように機能しないかを説明します。
「マージ」を使用すると、sssdローカルファイルに存在するグループについても解析が試みられます。これは、SSDが実際に起動する前に初期起動時に遅延が長くなる可能性があることを意味します。解決しようとしています。）

したがって、より良い解決策は次のとおりです。

代わりに、udev設定で数値UID / GIDをエンコードしてください。

前述のように、ユーザーは時間が経っても変更されない固定UIDを持つことが予想されますgrid（システムの動作中にこれを変更すると、より多くの問題が発生する可能性があるため）。 .gidのGIDも同じですasmadmin。

この場合、固定 UID とプライベート UID と GID を使用できる場合は、OWNER フィールドと GROUP フィールドで数値 UID と GID を使用できる udev ルールにエンコードすることを検討してください。

たとえば、gridUID 501とasmadminGID 601の場合は、次の規則を使用します。

ENV{DM_UUID}=="<dm_uuid>", SYMLINK+="oracleasm/asmsysdga", OWNER="501", GROUP="601", MODE="0660"

これにより、udevがこれらのデバイスを設定したときに起動時にユーザー/グループの確認が不要になりますが、AD/LDAPでユーザー/グループの確認が完了した場合はい使用可能な場合、ASM をこれらのデバイスで使用できるように所有権が正しく設定されます。

これはおそらくこの問題に対する最善の解決策であり、実際には明らかな欠点はありません。

Answer 1

実装パッチワーク

AD / LDAPに到達できるようになったら、udevにルールを再評価する必要がある回避策が本当に必要な場合は、専用サービスデバイスを使用してこれらのコマンドをudevadm実行することをお勧めします。

動作するようにデバイスを適切に注文してください。後ろに sssd.serviceこれが始まりました（これはAD / LDAPバックエンドがクエリされる理由です）。後ろに network-online.target（アクセス可能にするには、sssdにそのユーザー/グループのキャッシュがまだないとします）今後これらのデバイスのサービスが必要です。（説明の便宜のために名前をと仮定しますoracle-asm.service。）

これを行うには、/etc/systemd/system/asm-device-ownership.service次のコンテンツで新しいサービスユニットを作成します。

[単位]
説明=Oracle ASMデバイスの所有権の更新
以降=sssd.service network-online.target
前=oracle-asm.service

[提供する]
種類=使い捨て
ExecStart=/bin/udevadm コントロール --reload
ExecStart=/bin/udevadm トリガー --settle...（ここにデバイスがあります）...

[インストールする]
WantedBy =マルチユーザー。ターゲット

デバイスがインストールされたら、コマンドを使用してsystemdに通知し、を使用してsudo systemctl daemon-reload有効にしますsudo systemctl enable asm-device-ownership.service。

また、このコマンドを同期化するには、を使用することをお勧めします。 systemdの順序付けは、サービスユニット（これらのデバイスの所有権を設定する）が依存するサービスユニット（ASMデバイスを使用するサービスユニット）が開始する前に完了することを保証するため、この操作を待つ必要があります。udevadm trigger --settle

これしなければならないこれはうまくいきますが、udevを早期に再起動して再ロードするときに移動する部分が多く、途中でルールを再起動することが問題になる可能性があります。してください。信頼できる。

しかし、このパッチワークを使用しないことをお勧めします。

代わりに、次の代替ソリューションの1つを検討してください。

ユーザー/グループをローカルにコピー

コメントでは、私は前述のように同じユーザーをローカルに作成することを提案しました。Arch Linux Wikiのこの記事。

AD / LDAPの定義を考慮すると、/etc/passwdローカルとAD / LDAPの両方にユーザーを置くことに大きな問題はありません。/etc/group変わらないだろう（しかし、変更すると、とにかく問題が発生する可能性があります。特に、すでに実行されているシステムではさらにそうです。）

AD / LDAPでグループメンバーシップを管理したい場合は、asmadminその情報が実際に変更される可能性があるため、ローカルコピーに問題があることがわかります（したがってローカルに複製するのは/etc/group問題です）。

glibc 2.24では、エントリが次のようになることを指定してソリューションがあることがわかりました。マージ存在する/etc/nsswitch.conf：

passwd: files sssd
group:  files [SUCCESS=merge] sssd

（よりnsswitch.conf のマニュアルページ詳細[SUCCESS=merge]。 )

ただし、このオプションにはいくつかの欠点があります。

エントリをマージするオプションは、nsswitch.confかなり新しいglibc 2.24以降でのみ利用可能です。たとえば、RHEL 7 はバージョン 2.17 に付属しているため、そのバージョンは使用できません。
「マージ」機能は完璧ではありません。たとえば、マニュアルページでは、getgrentすべてのグループを一覧表示するために使用される機能とどのように機能しないかを説明します。
「マージ」を使用すると、sssdローカルファイルに存在するグループについても解析が試みられます。これは、SSDが実際に起動する前に初期起動時に遅延が長くなる可能性があることを意味します。解決しようとしています。）

したがって、より良い解決策は次のとおりです。

代わりに、udev設定で数値UID / GIDをエンコードしてください。

前述のように、ユーザーは時間が経っても変更されない固定UIDを持つことが予想されますgrid（システムの動作中にこれを変更すると、より多くの問題が発生する可能性があるため）。 .gidのGIDも同じですasmadmin。

この場合、固定 UID とプライベート UID と GID を使用できる場合は、OWNER フィールドと GROUP フィールドで数値 UID と GID を使用できる udev ルールにエンコードすることを検討してください。

たとえば、gridUID 501とasmadminGID 601の場合は、次の規則を使用します。

ENV{DM_UUID}=="<dm_uuid>", SYMLINK+="oracleasm/asmsysdga", OWNER="501", GROUP="601", MODE="0660"

これにより、udevがこれらのデバイスを設定したときに起動時にユーザー/グループの確認が不要になりますが、AD/LDAPでユーザー/グループの確認が完了した場合はい使用可能な場合、ASM をこれらのデバイスで使用できるように所有権が正しく設定されます。

これはおそらくこの問題に対する最善の解決策であり、実際には明らかな欠点はありません。

sssdが起動した後、UDEVはAD / LDAPユーザーとグループを介してデバイスの所有権を設定する必要があります。

ベストアンサー1

実装パッチワーク

ユーザー/グループをローカルにコピー

代わりに、udev設定で数値UID / GIDをエンコードしてください。

おすすめ記事