Estamos usando o SSSD para autenticar usuários em servidores CentOS. O oddjobd-mkhomedir funciona perfeitamente bem quando o diretório inicial padrão é / home, mas em um determinado servidor, tivemos que alterar o diretório inicial padrão para / data, que está em uma montagem de SAN.
Agora, toda vez que um usuário tenta efetuar login, ele é colocado em um shell bash com a seguinte mensagem.
Creating home directory for first.last.
Could not chdir to home directory /data/X.Y.local/first.last: No such file or directory
-bash-4.1$
Eu vejo a seguinte mensagem de negação de AVC em todas as tentativas:
type=AVC msg=audit(1492004159.114:1428): avc: denied { create } for pid=2832
comm="mkhomedir" name="x.y.local"
scontext=system_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023
tcontext=system_u:object_r:default_t:s0 tclass=dir
Certifique-se de alterar o contexto de / data.
drwxr-xr-x. root root system_u:object_r:home_root_t:s0 data
Se / data tem o mesmo contexto que / home, por que o SELinux está restringindo o oddjobd para criar /data/X.Y.local/first.last?
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
[UPDATE]
Não tenho certeza se essa é a maneira correta de resolver isso, mas depois de adicionar as três entradas a seguir, os usuários agora podem efetuar login e acessar seus diretórios pessoais. Para diretórios de novos usuários estão sendo criados com base no contexto definido abaixo.
semanage fcontext -a -t home_root_t /data
semanage fcontext -a -t user_home_dir_t /data/x.y.local
semanage fcontext -a -t user_home_t "/data/x.y.local(/.*)?"
Esta é a maneira correta de contornar este problema?