SElinux a LDAP over SSL a nscd

[Pavel Lisy]

Dobrý den

narazil jsem na problém s instalací RHEL-4 (resp. CentOS-4). Mám
uživatele ověřované proti LDAP serveru. Přenos je kryptován pomocí SSL.
Problém spočívá v tom, že kešovací daemon nscd nemá právo číst soubor 
/usr/share/ssl/certs/ca-bundle.crt, ve kterém je uložený Root CA
potřebný pro SSL. 

výpis z /var/log/messages
audit(1114526822.247:0): avc:  denied  { read } for  pid=3341
exe=/usr/sbin/nscd name=ca-bundle.crt dev=dm-1 ino=4500653
scontext=root:system_r:nscd_t tcontext=system_u:object_r:usr_t
tclass=file


Moje představa je, že nastavím SElinux, aby nscd mohlo daný soubor
přečíst. Nechce se mi SElinux vypínat a zároveň nemám momentálně čas
podrobně studovat, jak SElinux funguje.

Potřeboval bych prostě poradit, jak povolit čtení pro jediný soubor.

Pro znalce přikládám údaje, které by k tomu snad měly stačit.

ls -lZ /usr/share/ssl/certs/ca-bundle.crt
-rw-r--r--  root     root
system_u:object_r:usr_t          /usr/share/ssl/certs/ca-bundle.crt

grep nscd /etc/selinux/targeted/contexts/files/file_contexts
 # nscd
/usr/sbin/nscd          --      system_u:object_r:nscd_exec_t
/var/run/\.nscd_socket  -s      system_u:object_r:nscd_var_run_t
/var/run/nscd\.pid      --      system_u:object_r:nscd_var_run_t
/var/db/nscd(/.*)?              system_u:object_r:nscd_var_run_t
/var/run/nscd(/.*)?             system_u:object_r:nscd_var_run_t


Zvládne to tu někdo?


Pavel Lisý

PS. SElinux určitě dostuduji :-)

-- 
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.