Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

32.3.2. コマンドラインでの設定

SELinux マップルールには、以下の 3 つの基礎的部分があります。
  • SELinux ユーザー (--selinuxuser)
  • SELinux ユーザーに関連付けられたユーザーもしくはユーザーグループ (--users または --groups)
  • SELinux ユーザーと関連づけられたホストまたはホストグループ (--hosts または --hostgroups)
  • 代替方法として、ホストおよびユーザーを指定しているホストベースのアクセス制御ルール (--hbacrule):
ルールは、selinuxusermap-add コマンドを使用して、すべての情報を一度に追加できます。ユーザーとホストは、selinuxusermap-add-user および selinuxusermap-add-host コマンドを使用してそれぞれ作成した後にルールに追加できます。

例32.3 新規 SELinux マップの作成

この --selinuxuser 値は、IdM サーバー設定に表示されているとおりに SELinux ユーザー名である必要があります。SELinux ユーザーの形式は、SELinux_user:MLS[:MCS] です。
SELinux マッピングを有効にするには、ユーザー、またはユーザーグループ、およびホスト、またはホストグループを指定する必要があります。ユーザー、ホスト、およびグループオプションは複数回使用できるか、または --option={val1,val2,val3} のように、中括弧内にコンマ区切りリストで 1 回使用できます。
[user1@server ~]$ ipa selinuxusermap-add --selinuxuser="xguest_u:s0" selinux1
[user1@server ~]$ ipa selinuxusermap-add-user --users=user1 --users=user2 --users=user3 selinux1
[user1@server ~]$ ipa selinuxusermap-add-host --hosts=server.example.com --hosts=test.example.com selinux1

例32.4 ホストベースのアクセス制御ルールでの SELinux マップ作成

--hbacrule 値は、マッピングに使用するホストベースのアクセス制御ルールを識別します。また、リモートユーザーがターゲットマシンにログインすると、SELinux コンテキストが適用されます。
アクセス制御ルールでユーザーとホストの両方が適切に指定されると、SELinux マップは SELinux ユーザー、IdM ユーザー、およびホストの 3 つを構築できます。
指定可能なホストベースのアクセス制御ルールは、1 つのみです。
[user1@server ~]$ ipa selinuxusermap-add --hbacrule=webserver --selinuxuser="xguest_u:s0" selinux1
ホストベースのアクセス制御ルールは、「31章ホストベースのアクセス制御の設定」で説明しています。

例32.5 ユーザーを SELinuxマッピングに追加する

ユーザーとホストは、既存のマップに追加できます。これは、selinuxusermap-add-user または selinuxusermap-add-host など、特定のコマンドを使用して行われます。
[user1@server ~]$ ipa selinuxusermap-add-user --users=user1 selinux1
既存の SELinux マップを変更するために --hbacrule オプションを指定して selinuxusermap-mod コマンドを使用すると、新しい SELinux マップは以前の SELinux マップを上書きします。

例32.6 ユーザーの SELinuxマッピングからの削除

特定のユーザーまたはホストは、selinuxusermap-remove-host または selinuxusermap-remove-user コマンドを使用して SELinux マップから削除できます。以下は例になります。
[user1@server ~]$ ipa selinuxusermap-remove-user --users=user2 selinux1