Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

32.2. SELinux ユーザーマップの順序とデフォルト値の設定

SELinux ユーザーマップは、クライアント上の SELinux ユーザーと、IdM ユーザーの間の関連付けです。
利用可能な SELinux ユーザーマップの順序は、IdM サーバー設定の一部です。SELinux のユーザーマップの順序は、SELinux のユーザーのリストで、最も限定されているものから最も限定されていないものの順になります。SELinux ユーザーエントリーには、以下の形式が使われます。
SELinux_user:MLS[:MCS]
個別のユーザーエントリーは、ドル記号 ($) で区切ります。
SELinux マップを持つユーザーエントリーはないため、多くのエントリーをマッピングできない場合があります。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップリストすべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでも、SELinux コンテキストが機能します。マッピングされていない IdM ユーザーエントリーのデフォルトの SELinux ユーザーは unconfined_u (Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザー) です。
この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義しません。IdM ユーザーと SELinux ユーザーのマップを定義し、それからそのマップにユーザーを追加する必要があります。詳細は、「SELinux ユーザーおよび IdM ユーザーのマッピング」を参照してください。

32.2.1. Web UI での設定

  1. トップメニューで IPA Server メインタブをクリックし、Configuration サブタブをクリックします。
  2. SELINUX OPTIONS まで、サーバー設定エリアリストでスクロールダウンします。
  3. SELinux ユーザー設定、SELinux ユーザーマップの順序デフォルトの SELinux ユーザー、またはその両方を編集します。
  4. 変更を保存するには、ページの上部にある Update リンクをクリックします。

32.2.2. コマンドラインでの設定

SELinux ユーザーのリストを表示するには、IdM サーバー設定で指定した、マッピング可能なユーザーのリストを表示します。
[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023
SELinux ユーザー設定を編集するには、config-mod コマンドを使用します。

例32.1 SELinux ユーザーのリスト

マッピングに使用できる SELinux ユーザーのリストを変更する場合は、--ipaselinuxusermaporder を使用します。以下のように、このリストでは、SELinux ユーザーの順序は、最も高いものから、最も低いものへと振り分けられています。
[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"
注記
マッピングされていないエントリーに使用するデフォルトの SELinux ユーザーをユーザーマップリストに含めないと、編集操作は失敗します。同様に、デフォルトを編集する際は、SELinux マップリストにあるユーザーに変更する必要があり、そうでない場合はマップリストを先に更新する必要があります。

例32.2 デフォルトの SELinux ユーザー

IdM ユーザーは特定の SELinux ユーザーをアカウントにマッピングさせる必要はありません。ただし、ローカルシステムは、IdM ユーザーアカウントに使用する SELinux ユーザーの IdM エントリーを確認します。
デフォルトの SELinux ユーザーを変更するには、--ipaselinuxusermapdefault を使用します。以下に例を示します。
[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"