Documentation<Précédent | Table des matières | Suivant>
6.2.2. Espaces de noms d'utilisateurs
Les conteneurs non privilégiés permettent aux utilisateurs de créer et d'administrer des conteneurs sans avoir de privilège root. La fonctionnalité qui sous-tend cela s'appelle les espaces de noms d'utilisateurs. Les espaces de noms d'utilisateurs sont hiérarchiques, avec des tâches privilégiées dans un espace de noms parent pouvant mapper ses identifiants dans des espaces de noms enfants. Par défaut, chaque tâche sur l'hôte s'exécute dans l'espace de noms d'utilisateur initial, où la plage complète d'ID est mappée sur la plage complète. Cela peut être vu en regardant /proc/self/uid_map et /proc/self/gid_map, qui afficheront tous les deux " 0 0 4294967295 " lorsqu'ils seront lus à partir de l'espace de noms d'utilisateur initial. Depuis Ubuntu 14.04, lorsque de nouveaux utilisateurs sont créés, une gamme d'ID utilisateur leur est proposée par défaut. La liste des identifiants attribués est visible dans les fichiers /etc/subuid et de /etc/sous-gid Voir leurs pages de manuel respectives pour plus d'informations. Les subuids et subgids sont par convention démarrés à l'id 100000 pour éviter tout conflit avec les utilisateurs du système.
Si un utilisateur a été créé sur une version antérieure, il peut se voir attribuer une plage d'identifiants en utilisant usermod, comme suit :
sudo usermod -v 100000-200000 -w 100000-200000 utilisateur1
Les programmes nouvelle carte graphique et de nouveaugidmap sont des programmes setuid-root dans le carte utilisateur package, qui sont utilisés en interne par lxc pour mapper les subuids et subgids de l'hôte dans le conteneur non privilégié. Ils garantissent que l'utilisateur ne mappe que les identifiants autorisés par la configuration de l'hôte.