13.7.3. nCipher netHSM コンテキストの再ラベル付け
nCipher netHSM ソフトウェアには独自の SELinux ポリシーが同梱されないため、例13.1「netHSM SELinux ポリシー」 にあるように、Certificate System にはデフォルトの netHSM ポリシーが含まれます。
例13.1 netHSM SELinux ポリシー
# default labeling for nCipher /opt/nfast/scripts/init.d/(.*) gen_context(system_u:object_r:initrc_exec_t,s0) /opt/nfast/sbin/init.d-ncipher gen_context(system_u:object_r:initrc_exec_t,s0) /opt/nfast(/.*)? gen_context(system_u:object_r:pki_common_t, s0) /dev/nfast(/.*)? gen_context(system_u:object_r:pki_common_dev_t,0)
他のルールを使用すると、
pki_*_t ドメインが pki_common_t と pki_common_dev_t のラベルが付いたファイルと通信できます。
(デフォルトディレクトリー
/opt/nfast であっても) nCipher 設定のいずれかを変更した場合は、restorecon を実行して、ファイルがすべて適切にラベル付けされていることを確認します。
restorecon -R /dev/nfast restorecon -R /opt/nfast
nCipher ソフトウェアが別の場所にインストールされている場合や、HSM が異なる場合は、semanage を使用してデフォルトの Certificate System HSM ポリシーを再ラベル付けする必要があります。