32.2. 配置 SELinux 用户映射顺序和默认值


SELinux 用户映射是客户端 SELinux 用户和 IdM 用户之间的关联。
可用的 SELinux 用户映射顺序是 IdM 服务器配置的一部分。SELinux 用户映射顺序是 SELinux 用户的列表,按照从最多到最少限制的顺序的顺序。SELinux 用户条目本身具有以下格式:
SELinux_user:MLS[:MCS]
单个用户条目用美元符号($)分隔。
由于用户条目不需要具有 SELinux 映射,因此可能会取消映射许多条目。IdM 服务器配置会设置默认 SELinux 用户,这是整个 SELinux 映射列表中的一个用户,用于未映射的 IdM 用户条目。这样,即使未映射的 IdM 用户也具有正常运行的 SELinux 上下文。未映射 IdM 用户条目的默认 SELinux 用户是 unconfined_u,这是 Red Hat Enterprise Linux 上系统用户的默认 SELinux 用户。
此配置定义可用系统 SELinux 用户的映射顺序。这不定义任何 IdM 用户 SELinux 策略。必须定义 IdM 用户 - SELinux 用户映射,然后用户被添加到映射中。详情请查看 第 32.3 节 “映射 SELinux 用户和 IdM 用户”

32.2.1. 在 Web UI 中

  1. 在顶部菜单中,点 IPA Server main 选项卡和 Configuration 子选项卡。
  2. 滚动到服务器配置区域列表的底部,以 SELINUX OPTIONS
  3. 编辑 SELinux 用户配置、SELinux 用户映射顺序默认 SELinux 用户 或两者。
  4. 单击页面顶部的 Update 链接,以保存更改。

32.2.2. 在 CLI 中

要查看 SELinux 用户列表,请在 IdM 服务器配置中设置,这些用户可以被映射:
[user1]@server ~]$ ipa config-show
...
SELinux user map order: guest_u:s0$xguest_u:s0$user_u:s0$staff_u:s0-s0:c0.c1023$unconfined_u:s0-s0:c0.c1023
Default SELinux user: unconfined_u:s0-s0:c0.c1023
要编辑 SELinux 用户设置,请使用 config-mod 命令:

例 32.1. SELinux 用户列表

要编辑可用于映射的 SELinux 用户列表,请使用 --ipaselinuxusermaporder 选项。该列表将 SELinux 用户从最多排序到限制最低级别,例如:
[user1@server ~]$ ipa config-mod --ipaselinuxusermaporder="unconfined_u:s0-s0:c0.c1023$guest_u:s0$xguest_u:s0$user_u:s0-s0:c0.c1023$staff_u:s0-s0:c0.c1023"
注意
用于取消映射条目的默认 SELinux 用户必须包含在用户映射列表中,否则编辑操作失败。类似地,如果编辑了默认设置,则必须将其更改为 SELinux 映射列表中的用户,或者必须首先更新映射列表。

例 32.2. 默认 SELinux 用户

IdM 用户不需要将特定的 SELinux 用户映射到其帐户。但是,本地系统仍然检查用于 IdM 用户帐户的 SELinux 用户的 IdM 条目。
要修改默认 SELinux 用户,请使用 --ipaselinuxusermapdefault 选项。例如:
[user1@server ~]$ ipa config-mod --ipaselinuxusermapdefault="guest_u:s0"
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.