第10章 認証および相互運用性
場合によっては、adcli
でマシンアカウントのパスワードを更新すると、SELinux エラーで失敗することがあります。
Red Hat Enterprise Linux 6.10 の
adcli
ツールを使用してマシンアカウントのパスワードを更新しようとすると、システムセキュリティーサービスデーモン(SSSD)が、マシンアカウントのパスワードを含む内部の Samba データベースの更新を試みることがあります。そのため、SELinux アクセスベクトルキャッシュ(AVC)は、SSSD とそのサブプロセスが内部の Samba データベースを更新するために Samba の net
コマンドを実行できないことを示しています。
この問題を回避するには、以下の内容で
sssd_samba.te
ファイルを作成して、ローカルの SELinux ポリシーを追加します。
module sssd_samba 1.0; require { type sssd_t; type samba_net_exec_t; class file execute; } #============= sssd_t ============== allow sssd_t samba_net_exec_t:file execute;
次に、以下のコマンドを入力します。
# yum install selinux-policy-devel # make -f /usr/share/selinux/devel/Makefile sssd_samba.pp # semodule -i sssd_samba.pp
これにより、
adcli
のある SSSD は、SELinux AVC エラーなしに Samba の内部データベースを更新できます。(BZ#1558428)
default_domain_suffix
が設定されている場合、AD ユーザーが IdM ホストで sudo
を使用できない
Identity Management(IdM)と Active Directory(AD)間の信頼では、
/etc/sssd/sssd.conf
ファイルの default_domain_suffix
パラメーターが AD ドメインに設定されていると、AD ユーザーは IdM ホストで sudo
コマンドを実行できません。この問題を回避するには、/etc/sssd/sssd.conf
ファイルから default_domain_suffix
パラメーターを削除します。これにより、sudo
ポリシーは、AD ユーザーと IdM ユーザーの両方で想定通りに機能します。
default_domain_suffix
パラメーターを削除した後に、AD ユーザーはユーザー名の短縮バージョンの代わりに user_name@domain_name を使用してログインする必要があります。(BZ#1550192)