Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第10章 認証および相互運用性

SELinux エラーで、adcli を使用したマシンアカウントのパスワードの更新に失敗する場合がある

Red Hat Enterprise Linux 6.10 の adcli ツールを使用してマシンアカウントのパスワードを更新しようとすると、SSSD (システムセキュリティーサービスデーモン)が、マシンアカウントのパスワードも含む内部 Samba データベースの更新を試みることがあります。その結果、SELinux アクセスベクターキャッシュ(AVC)には、SSSD とそのサブプロセスが、Samba の net コマンドを実行して内部 Samba データベースを更新できないと記載されています。
この問題を回避するには、以下の内容で sssd_samba.te ファイルを作成して、ローカルの SELinux ポリシーを追加します。
Copy to Clipboard Toggle word wrap 
module sssd_samba 1.0;

require {
	type sssd_t;
	type samba_net_exec_t;
	class file execute;
}

#============= sssd_t ==============
allow sssd_t samba_net_exec_t:file execute;
以下のコマンドを入力します。
Copy to Clipboard Toggle word wrap 
# yum install selinux-policy-devel
# make -f /usr/share/selinux/devel/Makefile sssd_samba.pp
# semodule -i sssd_samba.pp
その結果、adcli を使用する SSSD は、SELinux AVC エラーなしで Samba の内部データベースを更新できます。(BZ#1558428)

default_domain_suffix が設定されている場合、AD ユーザーは IdM ホストで sudo を使用できません。

Identity Management (IdM)と Active Directory (AD)との間の信頼では、/etc/sssd/sssd.conf ファイルの default_domain_suffix パラメーターが AD ドメインに設定されている場合、AD ユーザーは IdM ホストで sudo コマンドを実行できません。この問題を回避するには、/etc/sssd/sssd.conf ファイルから default_domain_suffix パラメーターを削除します。その結果、AD ユーザーと IdM ユーザーの両方で、sudo ポリシーが期待どおりに機能します。
default_domain_suffix パラメーターを削除した後、AD ユーザーは、ログインにユーザー名の短いバージョンの代わりに user_name@domain_name を使用する必要があります。(BZ#1550192)
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.