IntenseWebs/freeipa
3
0
Fork 0
mirror of https://salsa.debian.org/freeipa-team/freeipa.git synced 2025-02-25 18:55:28 -06:00
Code Issues Packages Projects Releases Wiki Activity

Add conditional for new SELinux capabilities available in Fedora 11

Browse Source
This commit is contained in:
rcrit
2009-07-01 15:10:49 -04:00
committed by Rob Crittenden
parent de53d0a26e
commit a9f70edb87
2 changed files with 14 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

8
selinux/ipa_webgui/ipa_webgui.if Normal file
View File

@@ -0,0 +1,8 @@
## <summary></summary>
ifdef(`userdom_dontaudit_search_admin_dir', `', ` dnl
interface(`userdom_dontaudit_search_admin_dir', `
userdom_dontaudit_search_sysadm_home_dirs($1)
')
')

17
selinux/ipa_webgui/ipa_webgui.te
View File

@@ -5,9 +5,6 @@ policy_module(ipa_webgui, 1.0)
# Declarations
#
require {
type sbin_t;
}
type ipa_webgui_t;
type ipa_webgui_exec_t;
type ipa_webgui_var_run_t;
@@ -18,6 +15,10 @@ init_daemon_domain(ipa_webgui_t, ipa_webgui_exec_t)
type ipa_webgui_log_t;
logging_log_file(ipa_webgui_log_t)
require {
type httpd_tmp_t;
}
########################################
#
# IPA webgui local policy
@@ -31,9 +32,6 @@ allow ipa_webgui_t self:process setfscreate;
# the ipa_webgui process. Unfortunately, the kerberos
# libraries seem to insist that it be open rw. To top it
# all off there is no interface for this either.
require {
type httpd_tmp_t;
}
allow ipa_webgui_t httpd_tmp_t:file read_file_perms;
dontaudit ipa_webgui_t httpd_tmp_t:file write;
@@ -76,7 +74,7 @@ manage_dirs_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t)
manage_files_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t)
files_var_filetrans(ipa_webgui_t, ipa_cache_t,dir)
userdom_dontaudit_search_sysadm_home_dirs(ipa_webgui_t)
userdom_dontaudit_search_admin_dir(ipa_webgui_t)
corenet_tcp_sendrecv_all_if(ipa_webgui_t)
corenet_udp_sendrecv_all_if(ipa_webgui_t)
@@ -86,12 +84,9 @@ corenet_udp_sendrecv_all_nodes(ipa_webgui_t)
corenet_raw_sendrecv_all_nodes(ipa_webgui_t)
corenet_tcp_sendrecv_all_ports(ipa_webgui_t)
corenet_udp_sendrecv_all_ports(ipa_webgui_t)
corenet_non_ipsec_sendrecv(ipa_webgui_t)
corenet_all_recvfrom_unlabeled(ipa_webgui_t)
corenet_tcp_bind_all_nodes(ipa_webgui_t)
corenet_udp_bind_all_nodes(ipa_webgui_t)
corenet_tcp_bind_http_cache_port(ipa_webgui_t)
corenet_tcp_connect_http_cache_port(ipa_webgui_t)
corenet_tcp_connect_ldap_port(ipa_webgui_t)
corecmd_search_sbin(ipa_webgui_t)
allow ipa_webgui_t sbin_t:dir read;