第 10 章认证和互操作性

在某些情况下，使用 `adcli` 更新机器帐户密码会失败，并显示 SELinux 错误

当尝试使用 Red Hat Enterprise Linux 6.10 中的 adcli 工具更新机器帐户密码时，系统安全服务守护进程(SSSD)有时会尝试更新包含机器帐户密码的内部 Samba 数据库。因此，SELinux 访问向量缓存(AVC)表示 SSSD 及其子进程不允许运行 Samba 的 net 命令来更新内部 Samba 数据库。

要临时解决这个问题，您可以通过创建一个包含以下内容的 sssd_samba.te 文件来添加本地 SELinux 策略：

module sssd_samba 1.0;

require {
	type sssd_t;
	type samba_net_exec_t;
	class file execute;
}

#============= sssd_t ==============
allow sssd_t samba_net_exec_t:file execute;

module sssd_samba 1.0;

require {
	type sssd_t;
	type samba_net_exec_t;
	class file execute;
}

#============= sssd_t ==============
allow sssd_t samba_net_exec_t:file execute;

Copy to Clipboard

Toggle word wrap

然后输入以下命令：

yum install selinux-policy-devel
make -f /usr/share/selinux/devel/Makefile sssd_samba.pp
semodule -i sssd_samba.pp

# yum install selinux-policy-devel
# make -f /usr/share/selinux/devel/Makefile sssd_samba.pp
# semodule -i sssd_samba.pp

Copy to Clipboard

Toggle word wrap

因此，带有 adcli 的 SSSD 可以更新 Samba 的内部数据库，且没有 SELinux AVC 错误。(BZ#1558428)

如果设置了 `default_domain_suffix`，AD 用户无法在 IdM 主机上使用 `sudo`

在身份管理(IdM)和活动目录(AD)之间的信任中，如果 /etc/sssd/sssd.conf 文件中的 default_domain_suffix 参数被设置为 AD 域，则 AD 用户无法在 IdM 主机上运行 sudo 命令。要临时解决这个问题，请从 /etc/sssd/sssd.conf 文件中删除 default_domain_suffix 参数。因此，sudo 策略对于 AD 和 IdM 用户可以正常工作。

请注意，在删除 default_domain_suffix 参数后，AD 用户必须使用 user_name@domain_name，而不是其用户名的简短版本才能登录。(BZ#1550192)

第 10 章认证和互操作性

在某些情况下，使用 `adcli` 更新机器帐户密码会失败，并显示 SELinux 错误

如果设置了 `default_domain_suffix`，AD 用户无法在 IdM 主机上使用 `sudo`

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 10 章 认证和互操作性

在某些情况下，使用 adcli 更新机器帐户密码会失败，并显示 SELinux 错误

如果设置了 default_domain_suffix，AD 用户无法在 IdM 主机上使用 sudo

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 10 章认证和互操作性

在某些情况下，使用 `adcli` 更新机器帐户密码会失败，并显示 SELinux 错误

如果设置了 `default_domain_suffix`，AD 用户无法在 IdM 主机上使用 `sudo`