Estoy intentando iniciar un contenedor en Centos 8/RH 8 como usuario no root y simultáneamente quiero crear sobre la marcha un usuario dinámicamente para el contenedor.
Estoy usando el script de punto de entrada para hacer el siguiente ejemplo:
$ cat docker-entrypoint.sh
#!/bin/bash
set -e
if [[ "$(id -u)" -eq "0" ]] && [[ -n "${UID_ENV}" ]] && [[ -n "${USERNAME_ENV}" ]]
then
if [[ -z "$(getent passwd ${UID_ENV})" ]] && [[ -z "$(getent passwd ${USERNAME_ENV})" ]] && [[ -z "$(getent group ${UID_ENV})" ]]
then
groupadd -g ${GID_ENV} -r ${USERNAME_ENV} && \
useradd -rm -u ${UID_ENV} -g ${GID_ENV} ${USERNAME_ENV}
else
echo "User: $(getent passwd "${UID_ENV}" | cut -d: -f1) with uid: ${UID_ENV} already exists"
fi
if [[ -n "${VOLUMES_ENV})" ]]
then
for vol in ${VOLUMES_ENV}
do
echo "Chown Directory: ${vol} with parameters: ${UID_ENV}:${GID_ENV}"
chown -R ${UID_ENV}:${GID_ENV} ${vol}
done
fi
exec su-exec "${USERNAME_ENV}" "$@"
else
if ! [[ `whoami 2>/dev/null` ]]
then
echo "Do not use the 'docker run -u ...' on this image!"
exit 1
fi
exec "$@"
fi
En Dockerfile puede definir los parámetros, por ejemplo:
ENV FROM centos:7
ENV=${UID_ENV:-"12345"}
ENV GID_ENV=${GID_ENV:-"12345"}
ENV VOLUMES_ENV=""
ENV USERNAME_ENV=${USERNAME_ENV:-"test-user"}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Luego, como segundo paso, puedes construir el contenedor con podman (no es necesario pasar parámetros, usará los predeterminados):
podman build --rm -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Esto funciona perfectamente para Centos 7/RH 7 porque el demonio acoplable se ejecuta bajo la raíz.
El problema ocurre cuando en el nuevo sistema operativo Centos 8/RH 8 el usuario quiere usar podman, que se ejecuta como usuario no root.
El error (que tiene sentido) que recibo cuando ejecuto la imagen:
groupadd: /etc/group.11: lock file already used
groupadd: cannot lock /etc/group; try again later.
¿Alguna idea de cómo otorgar autorización al usuario para poder agregar usuarios como usuario no root?
Actualizar:
Una posible solución alternativa (no deseada) es pasar --build-argcomo parámetro durante el tiempo de compilación. Muestra de código/configuraciones:
ENV FROM centos:7
ARG ARG_UID=${ARG_UID:-"12345"}
ARG ARG_GID=${ARG_GID:-$ARG_UID}
ARG ARG_VOLUMES=""
ARG ARG_USERNAME=${ARG_USERNAME:-"test-user"}
ENV UID_ENV=${ARG_UID}
ENV GID_ENV=${ARG_GID}
ENV VOLUMES_ENV=${ARG_VOLUMES}
ENV USERNAME_ENV=${ARG_USERNAME}
COPY ["docker-entrypoint.sh", "/usr/local/bin/"]
ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]
Luego, durante el tiempo de compilación, deberá pasar los parámetros si decide anular:
podman build --rm --build-arg ARG_UID=54321 -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample
Pero posiblemente la solución esté incluida en RH 8.2 comoABseñaló.
Necesito realizar una prueba y la actualizaré más adelante.