При попытке добавить правило сопоставления IPA-пользователя с SELinux-пользователем содержащим цифру (например с generic3_u) IPA выдает ошибку: IPA Error 3009: ValidationError неправильное 'selinuxuser': Invalid SELinux user name, only a-Z and _ are allowed Как воспроизвести: 1. Установить FreeIPA сервер 2. Перейти в web-интерфейсе на вкладку Policy->SELinux User Maps 3. Нажать 'Добавить' 4. В поле SELinux User ввести 'generic3_u:s3-s3:c0.c15' Версия: freeipa-server-4.3.3-alt7
Ясно же сказано only a-Z and _ are allowed Так и задумано - не надо заводить таких пользователей Selinux.
В настройках IPA Server -> Настройка -> SELinux Options Поле SELinux user map order имеет значение: officer_u:s0-s3:c0.c15$generic3_u:s3-s3:c0.c15$generic_u2:s2-s3:c0.c15$generic_u1:s1-s3:c0.c15$generic_u:s0-s3:c0.c15 Видимо такие пользователи в нашем SELinux.
Надо или поменять дефолты в freeipa, или поменять дефолты в политике. В политике что-то меня уже врятли получится.
А зачем вы вообще используете generics_u2? Это же не user, это template! Создайте _нормально названного, без номеров_ user-a (при помощи alterator, например)и пользуйтесь на здоровье!
В смысле ? никто ничего специально не делал. Дефолтная установка СП 8
Вот именно. Надо _специально завести_ пользователя (или пользователей) selinux для freeipa и отображать доменных пользователей на них, а не на generic templates, которые, по хорошему, вообще надо выкинуть кроме самого младшего generic.
Тебе и карты в руки.
Давайте разберёмся отдельно, баг это или нет. По факту сейчас нашу FreeIPA с СП-8 использовать не получается.
Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное административное действие. Поэтому и выставил notabug, это нормальное поведение системы, которая желает некоторой настройки.
не по этой причине, вот №33840 серьезнее.
(В ответ на комментарий №9) > Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное > административное действие. Поэтому и выставил notabug, это нормальное поведение > системы, которая желает некоторой настройки. Эта особенность документирована, потому не бага. Но так как может ввести в заблуждение, то стоит подумать, как его предупредить и сформулировать FR.
Документирована где ? У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux.
(В ответ на комментарий №12) > Документирована где ? См. первый комментарий. > > У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux. Вот об этом и вешай баги.
Алексей, текущее поведение FreeIPA расходится с нашим дефолтным поведением SELinux. А сообщение об ошибки документацией не считается и невозможно использовать при проектировании системы.
Это баг, конечно. Очень жаль, что пользователи с цифрами в имени вообще есть в selinux-policy-alt, но раз они есть, то freeipa должен это уметь.
http://git.altlinux.org/people/sem/packages/freeipa.git?p=freeipa.git;a=commit;h=1c4332734ea3aca32572415630173e9f009339d2
Миша, спасибо. Проверим. Стас, забери пожалуйста в сборку 4.4
freeipa-4.3.3-alt9 -> sisyphus: Thu Oct 05 2017 Mikhail Efremov <sem@altlinux.org> 4.3.3-alt9 - selinux: Allow digits in SELinux user names (closes: #33838). - Require zip.
