我已设置 FreeIPA 用户身份验证。系统中已有许多用户,以及许多主机系统(已配置 IPA 客户端)。我想对这些用户正在执行的任务设置 cgroup 限制(具体来说,针对 CPU 和内存/RAM)。我可以使用单个测试用户在单个主机上进行测试(使用这些步骤)。但是,这涉及列出每个主机上的所有用户,并且管理和扩展都很困难。
我考虑过将所有 IPA 用户添加到这些主机 PC 上的系统/用户组,并cgrule为该组添加。但是,这可能需要我将每个 IPA 用户添加到每个主机上的一个组中(这又带来了另一个扩展问题)。有没有办法同步此特定设置的用户组?
我可以找到一些东西群组合并但不知道如何让它工作。
FreeIPA 服务器运行 Fedora,主机运行 Ubuntu(18.04 和 20.04)。主机是模拟服务器,因此需要对 IPA 用户的 GUI 访问。限制cgroup应该在所有这些用户运行的任务上。理想情况下,我更愿意将 IPA 用户添加到 FreeIPA 服务器上的 Linux 用户组(将用户添加到 IPA 时),并在所有主机上同步。然后我会cgrule为这个组设置一个。这样的事情可能吗?这将极大地帮助我为用户设置 docker 访问权限(将他们添加到docker组)。
答案1
事实证明,这一切都没有必要。在 FreeIPA 服务器中创建的组在客户端之间同步,无需组合并。我在服务器门户上创建了一个组并向其中添加了用户。然后,在每个主机上,我为该组设置了一个限制。
一些参考链接