32.2. SELinux ユーザーマップの順序とデフォルト値の設定

SELinuxユーザーマップは、クライアントと IdM ユーザー間のtつながりです。
利用可能な SELinux ユーザーマップの順序は、IdM サーバー設定の一部です。SELinux ユーザーマップの順序は、制御の強さの順に並んだ SELinux ユーザーのリストです。SELinux ユーザーエントリには、以下の形式が使われます。
SELinux_user:MLS[:MCS]
個別のユーザーエントリーは、ドル記号 ($) で区切ります。
ユーザーエントリーにおける SELinux マップの要件はないことから、多くのエントリーはマッピングされていません。IdM サーバー設定では、デフォルトの SELinux ユーザー (SELinux マップ一覧すべてのユーザーの 1 人) がマッピングされていない IdM ユーザーエントリーを使用するよう設定します。これにより、マッピングされていない IdM ユーザーでさえも、実用的な SELinux コンテキストを持つことになります。マッピングしていない IdM ユーザーエントリのデフォルトの SELinux ユーザーは、Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザーである unconfined_u です。
この設定は、利用可能なシステム SELinux ユーザーのマップ順序を定義します。これは、IdM ユーザーの SELinux ポリシーを定義するものではありません。IdM ユーザーと SELinux ユーザーのマップは定義され、それからそのマップにユーザーを追加する必要があります。詳細は、「SELinux ユーザーの IdM ユーザーへのマッピング」を参照してください。

32.2.1. Web UI での設定

  1. トップメニューで IPA Server メインタブをクリックし、Configuration サブタブをクリックします。
  2. SELINUX OPTIONS まで、サーバー設定エリア一覧でスクロールダウンします。
  3. SELinuxユーザー設定、SELinux user map orderDefault SELinux user、または両方を編集します。
  4. 変更を保存するには、ページの上部にある Update リンクをクリックします。

32.2.2. コマンドラインでの設定

SELinux ユーザーのリストを表示するには、マップできる、IdM サーバー設定で設定する必要があります。
[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023
SELinux ユーザー設定を編集するには、config-mod コマンドを使用します。

例32.1 SELinux ユーザーの一覧

マッピングできる SELinux ユーザーのリストを編集するには、--ipaselinuxusermaporder オプションを使用します。このリストでは、制御の強さ順に SELinux ユーザーを並べます。例:
[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"

注記

マッピングされていないエントリーに使用するデフォルトの SELinux ユーザーをユーザーマップ一覧に含めないと、編集操作は失敗します。同様に、デフォルトを編集する際は、SELinux マップ一覧にあるユーザーに変更する必要があり、そうでない場合はマップ一覧を先に更新する必要があります。

例32.2 デフォルトの SELinux ユーザー

IdM ユーザーは特定の SELinux ユーザーをアカウントにマッピングさせる必要はありません。ただし、ローカルシステムは依然として、IdM ユーザーアカウントに使用する SELinux ユーザーに対して IdM エントリをチェックします。
デフォルトの SELinux ユーザーを変更するには、--ipaselinuxusermapdefault オプションを使用します。例:
[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"