Глава 17. Идентификация и функциональная совместимость

Если SElinux работает в строгом режиме, то для предоставления общего доступа к каталогу необходимо присвоить ему контекст samba_share_t. Если же вы хотите предоставить доступ к корневому каталогу целиком, добавив его путь path = / в файл /etc/samba/smb.conf, то попытка присвоения samba_share_t приведет к критическим ошибкам.

Red Hat настоятельно рекомендует воздержаться от присвоения корневому каталогу контекста samba_share_t, поэтому не используйте строгий режим SELinux для Samba, если вы планируете открыть доступ к корневому каталогу.

Системный демон SSSD (System Security Services Daemon) не предусматривает поддержку атрибута LDAP externalUser из схемы IdM (Identity Management). Как следствие, попытка настройки правил sudo для локальных учетных записей — например, указанных в файле /etc/passwd — завершится неудачей. Эта проблема актуальна только для учетных записей, находящихся за пределами доменов IdM и доверенных доменов Active Directory (AD).

Чтобы избежать этой проблемы, в секции [domain] файла /etc/sssd/sssd.conf настройте базу поиска правил sudo для LDAP:

ldap_sudo_search_base = ou=sudoers,dc=example,dc=com

Эта директива поможет SSSD обработать данные пользователей из externalUser.