<הקודם | תוכן | הבא>

6.2.2. מרחבי שמות משתמשים

קונטיינרים ללא הרשאות מאפשרים למשתמשים ליצור ולנהל קונטיינרים ללא הרשאות שורש. התכונה העומדת בבסיסה נקראת מרחבי שמות משתמשים. מרחבי שמות משתמשים הינם היררכיים, כאשר משימות מורשות במרחב שמות אב מסוגלות למפות את המזהים שלו למרחבי שמות צאצאים. כברירת מחדל, כל משימה במארח פועלת במרחב השמות הראשוני של המשתמש, שבו כל הטווח של המזהים ממופה על הטווח המלא. ניתן לראות זאת על ידי התבוננות ב-/proc/self/uid_map ו-/proc/self/gid_map, ששניהם יציגו "0 0 4294967295" כשהם נקראים ממרחב השמות הראשוני של המשתמש. החל מ-Ubuntu 14.04, כאשר משתמשים חדשים נוצרים הם מוצעים כברירת מחדל במגוון של זיהויי משתמש. ניתן לראות את רשימת המזהים שהוקצו בקבצים /etc/subuid ו /etc/subgid למידע נוסף, עיין בדפי היד המתאימים שלהם. Subuids ותת-מדריך מתחילים לפי מוסכמה ב-id 100000 כדי למנוע התנגשות עם משתמשי מערכת.

אם משתמש נוצר במהדורה קודמת, ניתן להעניק לו מגוון מזהים באמצעות רגיל, כדלהלן:

sudo usermod -v 100000-200000 -w 100000-200000 user1

התוכניות newuidmap ו newgidmap הן תוכניות שורש של setuid ב- uidmap חבילה, המשמשות את lxc באופן פנימי למיפוי subuids ו-subgids מהמארח לתוך הקונטיינר חסר הרשאות. הם מבטיחים שהמשתמש ממפה רק מזהים המורשים על ידי תצורת המארח.

<הקודם | תוכן | הבא>