Red Hat Training

A Red Hat training course is available for Red Hat Linux

31.2. SELinux ユーザーマップの順序とデフォルト値の設定

名前が示すように、SELinux ユーザーマップは SELinux ユーザーと IdM ユーザーの関連付けを作成します。この関連付けを確立する前に、IdM サーバーは、管理対象となるサーバー上の基本的な SELinux ユーザー設定を認識する必要があります。
利用可能な システム SELinux ユーザーマップは、IdM サーバー設定の一部です。これは、制限の強さの順に並んだ SELinux ユーザーの一覧です。SELinux ユーザーエントリー自体は、以下の形式となっています。
SELinux_username:MLS[:MCS]
個別のユーザーエントリーは、ドル記号 ($) で区切ります。
ユーザーエントリーにおける SELinux マップの要件はないことから、多くのエントリーはマッピングされていません。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップ一覧すべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでさえも、実用的な SELinux コンテキストを持つことになります。

注記

この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義するものではありません。IdM ユーザーと SELinux ユーザーのマップは、「SELinux ユーザーの IdM ユーザーへのマッピング」 にあるように定義され、それからそのマップにユーザーを追加する必要があります。

31.2.1. Web UI での設定

  1. トップメニューで IPA Server メインタブをクリックし、Configuration サブタブをクリックします。
  2. SELINUX OPTIONS まで、サーバー設定エリア一覧でスクロールダウンします。
  3. SELinux ユーザー設定を行います。
    編集可能なのは、SELinux ユーザーの優先度リストと、マッピングされていない IdM ユーザーに使用するデフォルト SELinux ユーザーの 2 つのエリアです。
    SELinux user map order では、ローカルの Linux システムで定義された SELinux ユーザー一覧を提供します。この一覧は、マッピングルールの設定に使用可能です。これは制限の高いものから低いものの順に並んだ優先度の一覧です。各 SELinux ユーザーは、SELinux_user:MLS という形式になります。
    Default SELinux user フィールドでは、マッピングされていない IdM ユーザーが使用する SELinux ユーザーを設定します。
  4. ページ上部にある Update をクリックして変更を保存します。

31.2.2. コマンドラインでの設定

SELinux マッピングルールを作成する前に、マッピングに利用可能となる SELinux ユーザーの定義済みかつ汎用の一覧が必要になります。これは、IdM サーバー設定で設定されます。
[jsmith@server ~]$ ipa config-show
...				
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 
Default SELinux user: unconfined_u:s0-s0:c0.c1023
SELinux ユーザーの設定は、config-mod コマンドで編集できます。

例31.1 SELinux ユーザーの一覧

--ipaselinuxusermaporder オプションで、SELinux ユーザーの完全一覧を渡します。この一覧では、ユーザーを制限の高い方から低い方の順序で、優先度の順序を設定します。
SELinux ユーザーエントリー自体は、以下の形式となります。
SELinux_user:MLS:MCS
個別のユーザーエントリーは、ドル記号 ($) で区切ります。
例を示します。
[jsmith@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"

注記

マッピングされていないエントリーに使用するデフォルトの SELinux ユーザーをユーザーマップ一覧に含めないと、編集操作は失敗します。同様に、デフォルトを編集する際は、SELinux マップ一覧にあるユーザーに変更する必要があり、そうでない場合はマップ一覧を先に更新する必要があります。

例31.2 デフォルトの SELinux ユーザー

IdM ユーザーは、特定の SELinux ユーザーを自分のアカウントにマッピングする必要はありません。ただし、ローカルシステムは、IdM ユーザーアカウントに使用する SELinux ユーザーの IdM エントリーをチェックします。デフォルトの SELinux ユーザーは、マッピングされていない IdM ユーザーエントリーに使用するフォールバックユーザーを設定します。これはデフォルトで、Red Hat Enterprise Linux 上のシステムユーザーのデフォルトの SELinux ユーザーである unconfined_u です。
このデフォルトユーザーは、--ipaselinuxusermapdefault で変更できます。例を示します。
[jsmith@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"