Запустите привилегированный podman без sudo (и без пространства имен пользователя)

Question

Я установил podman на RHEL 7.6 и могу запустить обычную команду docker с sudo

sudo podman run hello-world

Есть ли способ запустить его без sudo, без использования пространства имен пользователя (аналогично добавлению вашего пользователя в dockergroup при использовании обычной команды docker)?

Я понимаю, что при запуске от имени пользователя без полномочий root podman использует пространство имен пользователя.Но я не могу включить / настроить suid на компьютере (LDAP и т. Д.)

В настоящее время при запуске от имени пользователя без полномочий root я получаю

user namespaces are not enabled in /proc/sys/user/max_user_namespaces
ERRO[0000] cannot re-exec process

Answer 1

Если вы работаете с Podman, и вы не являетесь пользователем root и не используете sudo, то есть «без рута», то вы или ваш администратор должны включить пространства имен пользователя в системе, чтобы она работала полностью,Только очень немногие команды, такие как «версия podman», будут работать в среде без root без настройки пространств имен пользователей.

Об ошибке, с которой вы столкнетесь, должен позаботиться кто-то, имеющий права администраторакоманда типа sysctl user.max_user_namespaces=15000, которая включит 15 000 пространств имен пользователей в системе.Кроме того, в системе должен быть установлен пакет shadows-utils, а файлы / etc / subuid и / etc / subgid должны содержать следующие записи:

имя пользователя: 100000: 65536

в каждом для каждого пользователя, который хочет иметь для него пространство имен пользователя.