33838 2017-09-01 16:49:05 +0300 Проблема с SELinux User Map 2017-10-05 16:50:08 +0300 1 1 4 Development Sisyphus freeipa-server unstable all Linux CLOSED FIXED P3 normal --- 1 sotor slev aen nbr rider sem sin slev qa-sisyphus oldest_to_newest 165533 0 sotor 2017-09-01 16:49:05 +0300 При попытке добавить правило сопоставления IPA-пользователя с SELinux-пользователем содержащим цифру (например с generic3_u) IPA выдает ошибку: IPA Error 3009: ValidationError неправильное 'selinuxuser': Invalid SELinux user name, only a-Z and _ are allowed Как воспроизвести: 1. Установить FreeIPA сервер 2. Перейти в web-интерфейсе на вкладку Policy->SELinux User Maps 3. Нажать 'Добавить' 4. В поле SELinux User ввести 'generic3_u:s3-s3:c0.c15' Версия: freeipa-server-4.3.3-alt7 166110 1 nbr 2017-10-04 11:32:22 +0300 Ясно же сказано only a-Z and _ are allowed Так и задумано - не надо заводить таких пользователей Selinux. 166112 2 sotor 2017-10-04 11:41:59 +0300 В настройках IPA Server -> Настройка -> SELinux Options Поле SELinux user map order имеет значение: officer_u:s0-s3:c0.c15$generic3_u:s3-s3:c0.c15$generic_u2:s2-s3:c0.c15$generic_u1:s1-s3:c0.c15$generic_u:s0-s3:c0.c15 Видимо такие пользователи в нашем SELinux. 166116 3 rider 2017-10-04 12:06:10 +0300 Надо или поменять дефолты в freeipa, или поменять дефолты в политике. В политике что-то меня уже врятли получится. 166117 4 nbr 2017-10-04 12:12:15 +0300 А зачем вы вообще используете generics_u2? Это же не user, это template! Создайте _нормально названного, без номеров_ user-a (при помощи alterator, например)и пользуйтесь на здоровье! 166118 5 rider 2017-10-04 12:19:37 +0300 В смысле ? никто ничего специально не делал. Дефолтная установка СП 8 166119 6 nbr 2017-10-04 12:22:01 +0300 Вот именно. Надо _специально завести_ пользователя (или пользователей) selinux для freeipa и отображать доменных пользователей на них, а не на generic templates, которые, по хорошему, вообще надо выкинуть кроме самого младшего generic. 166121 7 rider 2017-10-04 12:22:51 +0300 Тебе и карты в руки. 166122 8 rider 2017-10-04 12:30:27 +0300 Давайте разберёмся отдельно, баг это или нет. По факту сейчас нашу FreeIPA с СП-8 использовать не получается. 166123 9 nbr 2017-10-04 12:31:26 +0300 Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное административное действие. Поэтому и выставил notabug, это нормальное поведение системы, которая желает некоторой настройки. 166124 10 nbr 2017-10-04 12:31:59 +0300 не по этой причине, вот №33840 серьезнее. 166125 11 aen 2017-10-04 12:39:27 +0300 (В ответ на комментарий №9) > Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное > административное действие. Поэтому и выставил notabug, это нормальное поведение > системы, которая желает некоторой настройки. Эта особенность документирована, потому не бага. Но так как может ввести в заблуждение, то стоит подумать, как его предупредить и сформулировать FR. 166128 12 rider 2017-10-04 13:47:53 +0300 Документирована где ? У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux. 166129 13 aen 2017-10-04 14:06:16 +0300 (В ответ на комментарий №12) > Документирована где ? См. первый комментарий. > > У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux. Вот об этом и вешай баги. 166131 14 rider 2017-10-04 14:08:45 +0300 Алексей, текущее поведение FreeIPA расходится с нашим дефолтным поведением SELinux. А сообщение об ошибки документацией не считается и невозможно использовать при проектировании системы. 166137 15 sem 2017-10-04 15:25:27 +0300 Это баг, конечно. Очень жаль, что пользователи с цифрами в имени вообще есть в selinux-policy-alt, но раз они есть, то freeipa должен это уметь. 166151 16 sem 2017-10-04 21:08:21 +0300 http://git.altlinux.org/people/sem/packages/freeipa.git?p=freeipa.git;a=commit;h=1c4332734ea3aca32572415630173e9f009339d2 166156 17 rider 2017-10-05 07:55:44 +0300 Миша, спасибо. Проверим. Стас, забери пожалуйста в сборку 4.4 166170 18 repository-robot 2017-10-05 16:50:08 +0300 freeipa-4.3.3-alt9 -> sisyphus: Thu Oct 05 2017 Mikhail Efremov <sem@altlinux.org> 4.3.3-alt9 - selinux: Allow digits in SELinux user names (closes: #33838). - Require zip.