我有几个基于 RHEL7 和 CentOS7 的系统,它们使用领域/SSSD 绑定到 Windows Server 2019 Active Directory。
目前,AD 用户默认采用 unconfined_u SELinux 用户映射。我可以使用 semanage 命令为每个用户手动创建一个受限用户映射,但这不切实际。
我希望能够为 Active Directory 用户自动执行 SELinux 用户映射,而无需设置和维护中间 IdM 解决方案。仅使用本机 SSSD 配置或 PAM 库是否可以实现这一点?
感谢您提供的任何建议!
答案1
更改__default__SELinux 用户映射可能适合您的用例。
这在 中进行了介绍man 8 semanage-login,他们设置__default__为guest_u:
Modify the default user on the system to the guest_u user
# semanage login -m -s guest_u __default__