32.2. SELinux ユーザーマップの順序とデフォルト値の設定

SELinuxユーザーマップは、クライアントと IdM ユーザー間のtつながりです。

利用可能な SELinux ユーザーマップの順序は、IdM サーバー設定の一部です。SELinux ユーザーマップの順序は、制御の強さの順に並んだ SELinux ユーザーのリストです。SELinux ユーザーエントリには、以下の形式が使われます。

SELinux_user:MLS[:MCS]

個別のユーザーエントリーは、ドル記号 ($) で区切ります。

ユーザーエントリーにおける SELinux マップの要件はないことから、多くのエントリーはマッピングされていません。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップ一覧すべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでさえも、実用的な SELinux コンテキストを持つことになります。マッピングしていない IdM ユーザーエントリのデフォルトの SELinux ユーザーは、Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザーである unconfined_u です。

この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義するものではありません。IdM ユーザーと SELinux ユーザーのマップは定義され、それからそのマップにユーザーを追加する必要があります。詳細は、「SELinux ユーザーの IdM ユーザーへのマッピング」を参照してください。

32.2.1. Web UI での設定

トップメニューで IPA Server メインタブをクリックし、Configuration サブタブをクリックします。
SELINUX OPTIONS まで、サーバー設定エリア一覧でスクロールダウンします。
SELinuxユーザー設定、SELinux user map order、Default SELinux user、または両方を編集します。
変更を保存するには、ページの上部にある Update リンクをクリックします。

32.2.2. コマンドラインでの設定

SELinux ユーザーのリストを表示するには、マップできる、IdM サーバー設定で設定する必要があります。

[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023

SELinux ユーザー設定を編集するには、config-mod コマンドを使用します。

例32.1 SELinux ユーザーの一覧

マッピングできる SELinux ユーザーのリストを編集するには、--ipaselinuxusermaporder オプションを使用します。このリストでは、制御の強さ順に SELinux ユーザーを並べます。例:

[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"

注記

マッピングされていないエントリーに使用するデフォルトの SELinux ユーザーをユーザーマップ一覧に含めないと、編集操作は失敗します。同様に、デフォルトを編集する際は、SELinux マップ一覧にあるユーザーに変更する必要があり、そうでない場合はマップ一覧を先に更新する必要があります。

例32.2 デフォルトの SELinux ユーザー

IdM ユーザーは特定の SELinux ユーザーをアカウントにマッピングさせる必要はありません。ただし、ローカルシステムは依然として、IdM ユーザーアカウントに使用する SELinux ユーザーに対して IdM エントリをチェックします。

デフォルトの SELinux ユーザーを変更するには、--ipaselinuxusermapdefault オプションを使用します。例:

[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

32.2. SELinux ユーザーマップの順序とデフォルト値の設定

32.2.1. Web UI での設定

32.2.2. コマンドラインでの設定

Where did the comment section go?