Глава 17. Идентификация и функциональная совместимость

Отключите строгий режим SELinux при предоставлении общего доступа к корневому каталогу

Если SElinux работает в строгом режиме, то для предоставления общего доступа к каталогу необходимо присвоить ему контекст samba_share_t. Если же вы хотите предоставить доступ к корневому каталогу целиком, добавив его путь path = / в файл /etc/samba/smb.conf, то попытка присвоения samba_share_t приведет к критическим ошибкам.
Red Hat настоятельно рекомендует воздержаться от присвоения корневому каталогу контекста samba_share_t, поэтому не используйте строгий режим SELinux для Samba, если вы планируете открыть доступ к корневому каталогу.

SSSD не поддерживает атрибут LDAP externalUser

Системный демон SSSD (System Security Services Daemon) не предусматривает поддержку атрибута LDAP externalUser из схемы IdM (Identity Management). Как следствие, попытка настройки правил sudo для локальных учетных записей — например, указанных в файле /etc/passwd — завершится неудачей. Эта проблема актуальна только для учетных записей, находящихся за пределами доменов IdM и доверенных доменов Active Directory (AD).
Чтобы избежать этой проблемы, в секции [domain] файла /etc/sssd/sssd.conf настройте базу поиска правил sudo для LDAP:
ldap_sudo_search_base = ou=sudoers,dc=example,dc=com
Эта директива поможет SSSD обработать данные пользователей из externalUser.