ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Проблема с SELinux User Map | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Sergey Novikov <sotor> |
| Component: | freeipa-server | Assignee: | Stanislav Levin <slev> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P3 | CC: | aen, nbr, rider, sem, sin, slev |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
|
Description
Sergey Novikov
2017-09-01 16:49:05 MSK
Ясно же сказано only a-Z and _ are allowed Так и задумано - не надо заводить таких пользователей Selinux. В настройках IPA Server -> Настройка -> SELinux Options Поле SELinux user map order имеет значение: officer_u:s0-s3:c0.c15$generic3_u:s3-s3:c0.c15$generic_u2:s2-s3:c0.c15$generic_u1:s1-s3:c0.c15$generic_u:s0-s3:c0.c15 Видимо такие пользователи в нашем SELinux. Надо или поменять дефолты в freeipa, или поменять дефолты в политике. В политике что-то меня уже врятли получится. А зачем вы вообще используете generics_u2? Это же не user, это template! Создайте _нормально названного, без номеров_ user-a (при помощи alterator, например)и пользуйтесь на здоровье! В смысле ? никто ничего специально не делал. Дефолтная установка СП 8 Вот именно. Надо _специально завести_ пользователя (или пользователей) selinux для freeipa и отображать доменных пользователей на них, а не на generic templates, которые, по хорошему, вообще надо выкинуть кроме самого младшего generic. Тебе и карты в руки. Давайте разберёмся отдельно, баг это или нет. По факту сейчас нашу FreeIPA с СП-8 использовать не получается. Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное административное действие. Поэтому и выставил notabug, это нормальное поведение системы, которая желает некоторой настройки. не по этой причине, вот №33840 серьезнее. (В ответ на комментарий №9) > Я-то тут причем? Это задача сисадмина, который настраивает домен. Обычное > административное действие. Поэтому и выставил notabug, это нормальное поведение > системы, которая желает некоторой настройки. Эта особенность документирована, потому не бага. Но так как может ввести в заблуждение, то стоит подумать, как его предупредить и сформулировать FR. Документирована где ? У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux. (В ответ на комментарий №12) > Документирована где ? См. первый комментарий. > > У нас вообще нет документации по развертыванию FreeIPA на ALT + Selinux. Вот об этом и вешай баги. Алексей, текущее поведение FreeIPA расходится с нашим дефолтным поведением SELinux. А сообщение об ошибки документацией не считается и невозможно использовать при проектировании системы. Это баг, конечно. Очень жаль, что пользователи с цифрами в имени вообще есть в selinux-policy-alt, но раз они есть, то freeipa должен это уметь. Миша, спасибо. Проверим. Стас, забери пожалуйста в сборку 4.4 freeipa-4.3.3-alt9 -> sisyphus: Thu Oct 05 2017 Mikhail Efremov <sem@altlinux.org> 4.3.3-alt9 - selinux: Allow digits in SELinux user names (closes: #33838). - Require zip. |
