32.2. 配置 SELinux 用户映射顺序和默认值
SELinux 用户映射是客户端 SELinux 用户和 IdM 用户之间的关联。
可用的 SELinux 用户映射顺序是 IdM 服务器配置的一部分。SELinux 用户映射顺序是 SELinux 用户的列表,按照从最多到最少限制的顺序的顺序。SELinux 用户条目本身具有以下格式:
SELinux_user:MLS[:MCS]
单个用户条目用美元符号($)分隔。
由于用户条目不需要具有 SELinux 映射,因此可能会取消映射许多条目。IdM 服务器配置会设置默认 SELinux 用户,这是整个 SELinux 映射列表中的一个用户,用于未映射的 IdM 用户条目。这样,即使未映射的 IdM 用户也具有正常运行的 SELinux 上下文。未映射 IdM 用户条目的默认 SELinux 用户是
unconfined_u
,这是 Red Hat Enterprise Linux 上系统用户的默认 SELinux 用户。
此配置定义可用系统 SELinux 用户的映射顺序。这不定义任何 IdM 用户 SELinux 策略。必须定义 IdM 用户 - SELinux 用户映射,然后用户被添加到映射中。详情请查看 第 32.3 节 “映射 SELinux 用户和 IdM 用户”。
32.2.1. 在 Web UI 中
- 在顶部菜单中,点 IPA Server main 选项卡和 Configuration 子选项卡。
- 滚动到服务器配置区域列表的底部,以 SELINUX OPTIONS。
- 编辑 SELinux 用户配置、SELinux 用户映射顺序、默认 SELinux 用户 或两者。
- 单击页面顶部的 Update 链接,以保存更改。
32.2.2. 在 CLI 中
要查看 SELinux 用户列表,请在 IdM 服务器配置中设置,这些用户可以被映射:
[user1]@server ~]$ ipa config-show ... SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023 Default SELinux user: unconfined_u:s0-s0:c0.c1023
要编辑 SELinux 用户设置,请使用 config-mod 命令:
例 32.1. SELinux 用户列表
要编辑可用于映射的 SELinux 用户列表,请使用
--ipaselinuxusermaporder
选项。该列表将 SELinux 用户从最多排序到限制最低级别,例如:
[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"
注意
用于取消映射条目的默认 SELinux 用户必须包含在用户映射列表中,否则编辑操作失败。类似地,如果编辑了默认设置,则必须将其更改为 SELinux 映射列表中的用户,或者必须首先更新映射列表。
例 32.2. 默认 SELinux 用户
IdM 用户不需要将特定的 SELinux 用户映射到其帐户。但是,本地系统仍然检查用于 IdM 用户帐户的 SELinux 用户的 IdM 条目。
要修改默认 SELinux 用户,请使用
--ipaselinuxusermapdefault
选项。例如:
[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"