Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第8章 認証および相互運用性

adcli でのマシンアカウントパスワードの更新は、ケースによっては SELinux エラーで失敗する

Red Hat Enterprise Linux 6.10 の adcli ツールを使用してマシンアカウントパスワードの更新を試みる際、System Security Services Daemon (SSSD) は、同じくマシンアカウントパスワードを含む Samba の内部データベースの更新を試みることもあります。その結果、SELinux アクセスベクターキャッシュ (AVC) は、SSSD およびそのサブプロセスが Samba の net コマンドを実行して Samba の内部データベースを更新してはならないと宣言します。
この問題を回避するには、以下のコンテンツで sssd_samba.te ファイルを作成することで、ローカルの SELinux ポリシーを追加します。
module sssd_samba 1.0;

require {
	type sssd_t;
	type samba_net_exec_t;
	class file execute;
}

#============= sssd_t ==============
allow sssd_t samba_net_exec_t:file execute;
続いて、以下のコマンドを入力します。
# yum install selinux-policy-devel
# make -f /usr/share/selinux/devel/Makefile sssd_samba.pp
# semodule -i sssd_samba.pp
この結果、adcli を備えた SSSD は、SELinux AVC エラーなしに Samba の内部データベースを更新することができます。(BZ#1558428)