SELinuxユーザーマップは、クライアントと IdM ユーザー間のtつながりです。

利用可能な SELinux ユーザーマップの順序は、IdM サーバー設定の一部です。SELinux ユーザーマップの順序は、制御の強さの順に並んだ SELinux ユーザーのリストです。SELinux ユーザーエントリには、以下の形式が使われます。

SELinux_user:MLS[:MCS]

個別のユーザーエントリーは、ドル記号 ($) で区切ります。

ユーザーエントリーにおける SELinux マップの要件はないことから、多くのエントリーはマッピングされていません。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップ一覧すべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでさえも、実用的な SELinux コンテキストを持つことになります。マッピングしていない IdM ユーザーエントリのデフォルトの SELinux ユーザーは、Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザーである unconfined_u です。

この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義するものではありません。IdM ユーザーと SELinux ユーザーのマップは定義され、それからそのマップにユーザーを追加する必要があります。詳細は、「SELinux ユーザーの IdM ユーザーへのマッピング」を参照してください。

[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023

[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"

[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"