24.3.2. コマンドラインでの設定
SELinux マップルールには、以下の 3 つの基礎的部分があります。
- SELinux ユーザー (
--selinuxuser) - SELinux ユーザーに関連付けられたユーザーもしくはユーザーグループ (
--usersまたは--groups) - SELinux ユーザーと関連づけられたホストまたはホストグループ (
--hostsまたは--hostgroups) - 代替方法として、ホストおよびユーザーを指定しているホストベースのアクセス制御ルール (
--hbacrule):
ルールは、selinuxusermap-add コマンドを使用して、すべての情報を一度に追加できます。ユーザーとホストは、selinuxusermap-add-user および selinuxusermap-add-host コマンドを使用してそれぞれ作成した後にルールに追加できます。
例24.3 新規 SELinux マップの作成
この
--selinuxuser 値は、IdM サーバー設定に表示されているとおりに SELinux ユーザー名である必要があります。SELinux ユーザーの形式は、SELinux_username:MLS[:MCS] です。
SELinux マッピングを有効にするには、ユーザーとホストの両方 (または適切なグループ) を指定する必要があります。ユーザー、ホスト、またはグループはコンマ区切りの一覧で指定できます。
[jsmith@server ~]$ ipa selinuxusermap-add --users=jsmith,bjensen,jrockford --hosts=server.example.com,test.example.com --selinuxuser="xguest_u:s0" selinux1
例24.4 ホストベースのアクセス制御ルールでの SELinux マップ作成
--hbacrule 値は、マッピングに使用するホストベースのアクセス制御ルールを識別します。また、リモートユーザーがターゲットマシンにログインすると、SELinux コンテキストが適用されます。
アクセス制御ルールでユーザーとホストの両方が適切に指定されると、SELinux マップは SELinux ユーザー、IdM ユーザー、およびホストの 3 つを構築できます。
指定可能なホストベースのアクセス制御ルールは、1 つのみです。
[jsmith@server ~]$ ipa selinuxusermap-add --hbacrule=webserver --selinuxuser="xguest_u:s0" selinux1
ホストベースのアクセス制御ルールは、「22章ポリシー: ホストベースのアクセス制御の設定」で説明しています。
例24.5 ユーザーを SELinuxマッピングに追加する
すべてのユーザーとホストは作成時にマップに追加できますが、ルールの作成後にユーザーとホストを追加することもできます。これは、selinuxusermap-add-user または selinuxusermap-add-host など、特定のコマンドを使用して行われます。
[jsmith@server ~]$ ipa selinuxusermap-add-user --users=jsmith selinux1
ルールは 1 つしかないため、別のコマンドを使用してホストベースのアクセス制御ルールを追加する必要はありません。selinuxusermap-mod コマンドを
--hbacrule オプションとともに使用する場合は、ホストベースのアクセス制御ルールを追加するか、以前のアクセス制御ルールを上書きします。
例24.6 ユーザーの SELinuxマッピングからの削除
特定のユーザーまたはホストは、selinuxusermap-remove-host または selinuxusermap-remove-user コマンドを使用して SELinux マップから削除できます。たとえば、以下のようになります。
[jsmith@server ~]$ ipa selinuxusermap-remove-user --users=jsmith selinux1
