Этот вопрос может звучать глупым, и возможно немного безумным, но - там какой-либо способ выполнить процесс на машине, не соединенной с доменом с помощью учетных данных от пользователя в том домене?
Единственный способ сделать, который должен соединить рабочую станцию с доменом. Это сцепляет его в большую платформу доверия Active Directory. Односторонние тресты относятся к доменам, не рабочим станциям. Который должен сказать, domained рабочая станция доверяет домену для Автора, но домен не доверяет Рабочей станции для автора.
Если вы отфильтруете журналы аудита с помощью audit2allow (1)
и audit2why
, вы получите приблизительное представление о том, что происходит:
#============= slapd_t ==============
allow slapd_t self:capability sys_nice;
allow slapd_t var_log_t:file { write read };
------------------------------------
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
type=AVC msg=audit(1372888328.408:3263): avc: denied { sys_nice } for pid=1492 comm=slapd capability=23 scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:system_r:slapd_t:s0 tclass=capability
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
type=AVC msg=audit(1372888328.424:3264): avc: denied { read } for pid=1493 comm=slapd name=log.0000000001 dev=dm-0 ino=263969 scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=file
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
Маловероятно, что восстановление метки помешает вам запустить службу , если SELinux находится в разрешающем режиме . Кроме того, зачем нужен переключатель -F
?
Чтобы узнать, нужно ли восстанавливать метку каталога или файла, сначала выясните, какой контекст должен иметь файл или каталог:
# matchpathcon /etc/openldap/
/etc/openldap system_u:object_r:etc_t:s0
Затем перечислите его контекст безопасности:
# ls -ldZ /etc/openldap/
drwxr-xr-x. root root system_u:object_r:etc_t:s0 /etc/openldap//
В этом примере никаких дополнительных действий не требуется.
Что касается вашей проблемы, проблема заключается не в маркировке как таковой , а в отсутствии принудительного применения типа
, то есть правило, которое позволяет помеченному процессу переходить из одного ограниченного домена в другой, или, например, для чтения файлов с определенной меткой.
Вы можете попытаться создать модуль, который позволяет slapd_t
выполнять операции, указанные в audit.log
. Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow
и make
. Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt
):
audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load
Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.
Вы можете попытаться создать модуль, который позволяет slapd_t
выполнять операции, указанные в audit.log
. Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow
и make
. Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt
):
audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load
Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.
Вы можете попытаться создать модуль, который позволяет slapd_t
выполнять операции, указанные в audit.log
. Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow
и make
. Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt
):
audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load
Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.