第10章 認証および相互運用性
場合によっては、adcli でマシンアカウントのパスワードを更新すると、SELinux エラーで失敗することがあります。
Red Hat Enterprise Linux 6.10 の
adcli ツールを使用してマシンアカウントのパスワードを更新しようとすると、システムセキュリティーサービスデーモン(SSSD)が、マシンアカウントのパスワードを含む内部の Samba データベースの更新を試みることがあります。そのため、SELinux アクセスベクトルキャッシュ(AVC)は、SSSD とそのサブプロセスが内部の Samba データベースを更新するために Samba の net コマンドを実行できないことを示しています。
この問題を回避するには、以下の内容で
sssd_samba.te ファイルを作成して、ローカルの SELinux ポリシーを追加します。
module sssd_samba 1.0;
require {
type sssd_t;
type samba_net_exec_t;
class file execute;
}
#============= sssd_t ==============
allow sssd_t samba_net_exec_t:file execute;
次に、以下のコマンドを入力します。
# yum install selinux-policy-devel # make -f /usr/share/selinux/devel/Makefile sssd_samba.pp # semodule -i sssd_samba.pp
これにより、
adcli のある SSSD は、SELinux AVC エラーなしに Samba の内部データベースを更新できます。(BZ#1558428)
default_domain_suffix が設定されている場合、AD ユーザーが IdM ホストで sudo を使用できない
Identity Management(IdM)と Active Directory(AD)間の信頼では、
/etc/sssd/sssd.conf ファイルの default_domain_suffix パラメーターが AD ドメインに設定されていると、AD ユーザーは IdM ホストで sudo コマンドを実行できません。この問題を回避するには、/etc/sssd/sssd.conf ファイルから default_domain_suffix パラメーターを削除します。これにより、sudo ポリシーは、AD ユーザーと IdM ユーザーの両方で想定通りに機能します。
default_domain_suffix パラメーターを削除した後に、AD ユーザーはユーザー名の短縮バージョンの代わりに user_name@domain_name を使用してログインする必要があります。(BZ#1550192)
