32.2. SELinux ユーザーマップの順序とデフォルト値の設定

SELinux ユーザーマップは、クライアント上の SELinux ユーザーと、IdM ユーザーの間の関連付けです。

利用可能な SELinux ユーザーマップの順序は、IdM サーバー設定の一部です。SELinux のユーザーマップの順序は、SELinux のユーザーのリストで、最も限定されているものから最も限定されていないものの順になります。SELinux ユーザーエントリーには、以下の形式が使われます。

SELinux_user:MLS[:MCS]

個別のユーザーエントリーは、ドル記号 ($) で区切ります。

SELinux マップを持つユーザーエントリーはないため、多くのエントリーをマッピングできない場合があります。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップリストすべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでも、SELinux コンテキストが機能します。マッピングされていない IdM ユーザーエントリーのデフォルトの SELinux ユーザーは unconfined_u (Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザー) です。

この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義しません。IdM ユーザーと SELinux ユーザーのマップを定義し、それからそのマップにユーザーを追加する必要があります。詳細は、「SELinux ユーザーおよび IdM ユーザーのマッピング」を参照してください。

[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023

[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"

[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"