24.2.2. コマンドラインでの設定
SELinux マッピングルールを作成する前に、マッピングできる SELinux ユーザーの定義済みリストと汎用リストが必要です。これは、IdM サーバー設定で設定されます。
[jsmith@server ~]$ ipa config-show ... SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 Default SELinux user: unconfined_u:s0-s0:c0.c1023
SELinux のユーザー設定は、config-mod コマンドを使用して編集できます。
例24.1 SELinux ユーザーの一覧
SELinux ユーザーの完全なリストは、
--ipaselinuxusermaporder
オプションで渡されます。この一覧は、最も制限のあるユーザーから優先順位を設定します。
SELinux ユーザーエントリには、以下の形式が使われます。
SELinux_user:MLS:MCS
個別のユーザーエントリーは、ドル記号 ($) で区切ります。
以下に例を示します。
[jsmith@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"
注記
マッピングされていないエントリーに使用するデフォルトの SELinux ユーザーをユーザーマップ一覧に含めないと、編集操作は失敗します。同様に、デフォルトを編集する際は、SELinux マップ一覧にあるユーザーに変更する必要があり、そうでない場合はマップ一覧を先に更新する必要があります。
例24.2 デフォルトの SELinux ユーザー
IdM ユーザーは特定の SELinux ユーザーをアカウントにマッピングさせる必要はありません。ただし、ローカルシステムは、IdM ユーザーアカウントに使用する SELinux ユーザーの IdM エントリーを確認します。デフォルトの SELinux ユーザーは、マッピングされていない IdM ユーザーエントリーに使用するフォールバックユーザーを設定します。デフォルトでは、Red Hat Enterprise Linux のシステムユーザーのデフォルトの SELinux ユーザー
unconfined_u
になります。
このデフォルトユーザーは、
--ipaselinuxusermapdefault
で変更できます。たとえば、以下のようになります。
[jsmith@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"