Permitido dispositivos cgroup para o contêiner libvirt / lxc

Eu quero permitir que meus contêineres libvirt / lxc usem o dispositivo tun / tap. Para fazer isso, eu posso adicionar um contêiner em execução aos dispositivos permitidos:

# echo "c 10:200 rwm" > /sys/fs/cgroup/devices/libvirt/lxc/client-1/devices.allow

resultando em:

# cat /sys/fs/cgroup/devices/libvirt/lxc/client-1/devices.list
c 1:3 rwm
c 1:5 rwm
c 1:7 rwm
c 1:8 rwm
c 1:9 rwm
c 5:0 rwm
c 5:2 rwm
c 136:* rwm
c 10:200 rwm

No entanto, estou tendo algumas dificuldades em tornar essa configuração padrão para todos os contêineres.

Googling mostra que mudar /etc/cgconfig.conf para

group libvirt/lxc {
    devices {
            devices.allow="c 10:200 rwm";
    }
}

deve corrigir, mas isso não acontece (mesmo depois de reiniciar os serviços envolvidos -libvirtd, cgconfig- em todas as possíveis ordens)

Joguei um pouco com a configuração cgroup.clone_children , mas isso não ajuda.

Minhas perguntas são:

1 Como adicionar este dispositivo como padrão permitir cada contêiner libvirt / lxc?

2 Qual processo é responsável pela lista padrão permitida?

c 1:3 rwm
c 1:5 rwm
c 1:7 rwm
c 1:8 rwm
c 1:9 rwm
c 5:0 rwm
c 5:2 rwm
c 136:* rwm

Todos os pacotes são de um sistema Fedora 18 atualizado.