SElinux a LDAP over SSL a nscd
Pavel Lisy
pali na tmapy.cz
Středa Duben 27 18:02:01 CEST 2005
Dobrý den
narazil jsem na problém s instalací RHEL-4 (resp. CentOS-4). Mám
uživatele ověřované proti LDAP serveru. Přenos je kryptován pomocí SSL.
Problém spočívá v tom, že kešovací daemon nscd nemá právo číst soubor
/usr/share/ssl/certs/ca-bundle.crt, ve kterém je uložený Root CA
potřebný pro SSL.
výpis z /var/log/messages
audit(1114526822.247:0): avc: denied { read } for pid=3341
exe=/usr/sbin/nscd name=ca-bundle.crt dev=dm-1 ino=4500653
scontext=root:system_r:nscd_t tcontext=system_u:object_r:usr_t
tclass=file
Moje představa je, že nastavím SElinux, aby nscd mohlo daný soubor
přečíst. Nechce se mi SElinux vypínat a zároveň nemám momentálně čas
podrobně studovat, jak SElinux funguje.
Potřeboval bych prostě poradit, jak povolit čtení pro jediný soubor.
Pro znalce přikládám údaje, které by k tomu snad měly stačit.
ls -lZ /usr/share/ssl/certs/ca-bundle.crt
-rw-r--r-- root root
system_u:object_r:usr_t /usr/share/ssl/certs/ca-bundle.crt
grep nscd /etc/selinux/targeted/contexts/files/file_contexts
# nscd
/usr/sbin/nscd -- system_u:object_r:nscd_exec_t
/var/run/\.nscd_socket -s system_u:object_r:nscd_var_run_t
/var/run/nscd\.pid -- system_u:object_r:nscd_var_run_t
/var/db/nscd(/.*)? system_u:object_r:nscd_var_run_t
/var/run/nscd(/.*)? system_u:object_r:nscd_var_run_t
Zvládne to tu někdo?
Pavel Lisý
PS. SElinux určitě dostuduji :-)
--
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.
Další informace o konferenci Linux