Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

32.3. SELinux ユーザーおよび IdM ユーザーのマッピング

SELinux マップは、ローカルシステムの SELinux ユーザーコンテキストを、ドメイン内の IdM ユーザー、またはユーザーに関連付けます。SELinux マップは、SELinux ユーザーコンテキストと IdM ユーザーホストのペアという 3 つの部分で構成されます。IdM のユーザーホストのペアは、明示的なユーザーまたはユーザーグループ、明示的なホスト、またはホストグループに設定できます。または、ホストベースのアクセス制御ルールを使用して定義できます。

32.3.1. Web UI での設定

  1. トップメニューで Policy メインタブをクリックし、SELinux User Mappings サブタブをクリックします。
  2. マッピングのリストで Add ボタンをクリックして新規マップを作成します。
  3. マップ名と SELinux ユーザーの名前を入力します。SELinux ユーザーの形式は、IdM サーバー設定にどのように表示されるかと同じでなければなりません。SELinux ユーザーの形式は、SELinux_user:MLS[:MCS] です。
  4. Add and Edit をクリックして、IdM ユーザー情報を追加します。
  5. ホストベースのアクセス制御ルールを設定するには、設定の General エリアでドロップダウンメニューからルールを選択します。ホストベースのアクセス制御ルールを使用すると、リモートユーザーがターゲットマシンにアクセスする際に使用するホストでアクセス制御が導入されます。割り当て可能なホストベースのアクセス制御ルールは、1 つのみです。
    注記
    ホストベースのアクセス制御ルールには、サービスだけでなく、ユーザーとホストを含める必要があります。
    または、UsersHosts のエリアでスクロールダウンし、Add をクリックしてユーザー、ユーザーグループ、ホスト、またはホストグループを SELinux マップに割り当てます。
    左側のユーザー(またはホストまたはグループ)を選択し、右矢印ボタン(>>) をクリックしてProspective コラムに移動します 。Add ボタンをクリックしてルールに追加します。
    注記
    1 つのオプションのみを使用できます。ホストベースのアクセス制御ルールを指定するか、ユーザーとホストを手動で設定できます。両方のオプションを同時に使用することはできません。
  6. 上部の Update リンクをクリックして、SELinux ユーザーマップへの変更を保存します。

32.3.2. コマンドラインでの設定

SELinux マップルールには、以下の 3 つの基礎的部分があります。
  • SELinux ユーザー - --selinuxuser
  • SELinux ユーザーに関連付けられたユーザーもしくはユーザーグループ (--users または -- groups
  • SELinux ユーザーに関連付けられたホストまたはホストグループ --hosts または --hostgroups
  • または、--hbacruleのホストとユーザーの両方を指定するホストベースのアクセス制御ルールです。
ルールは、selinuxusermap-add コマンドを使用して、すべての情報を一度に作成できます。ユーザーとホストは、selinuxusermap-add-user コマンドおよび selinuxusermap-add -host コマンドを使用してルールに追加できます。

例32.3 新規 SELinux マップの作成

--selinuxuser 値は、IdM サーバー設定に表示されているとおりに SELinux ユーザー名である必要があります。SELinux ユーザーの形式は、SELinux_user:MLS[:MCS] です。
SELinux マッピングを有効にするには、ユーザー、またはユーザーグループ、およびホストグループを指定する必要があります。ユーザー、ホスト、およびグループオプションは複数回使用することも、--option={val1,val3} など、中括弧内にコンマ区切りリストで 1 回限り使用できます
[user1@server ~]$ ipa selinuxusermap-add --selinuxuser="xguest_u:s0" selinux1
[user1@server ~]$ ipa selinuxusermap-add-user --users=user1 --users=user2 --users=user3 selinux1
[user1@server ~]$ ipa selinuxusermap-add-host --hosts=server.example.com --hosts=test.example.com selinux1

例32.4 ホストベースのアクセス制御ルールでの SELinux マップの作成

--hbacrule 値は、マッピングに使用するホストベースのアクセス制御ルールを識別します。ホストベースのアクセス制御ルールを使用すると、リモートユーザーがターゲットマシンにログインした後に SELinux コンテキストが適用されます。
アクセス制御ルールでユーザーとホストの両方が適切に指定されると、SELinux マップは SELinux ユーザー、IdM ユーザー、およびホストの 3 つを構築できます。
指定可能なホストベースのアクセス制御ルールは、1 つのみです。
[user1@server ~]$ ipa selinuxusermap-add --hbacrule=webserver --selinuxuser="xguest_u:s0" selinux1
ホストベースのアクセス制御ルールは、「31章ホストベースのアクセス制御の設定」で説明しています。

例32.5 ユーザーを SELinuxマッピングに追加する

ユーザーおよびホストを既存のマップに追加できます。これは、selinuxusermap-add-user または selinuxusermap-add -host の特定コマンドを使用して行います。
[user1@server ~]$ ipa selinuxusermap-add-user --users=user1 selinux1
selinuxusermap-mod コマンドを --hbacrule オプションとともに使用して既存の SELinux マップを修正すると、新しい SELinux マップは以前の SELinux マップを上書きします。

例32.6 ユーザーを SELinuxマッピングから削除

特定のユーザーまたはホストは、selinuxusermap-remove-host コマンドまたは selinuxusermap-remove-user コマンドを使用して SELinux マップから削除できます。以下に例を示します。
[user1@server ~]$ ipa selinuxusermap-remove-user --users=user2 selinux1

このページには機械翻訳が使用されている場合があります (詳細はこちら)。