diff options
| author | Martin Kosek <mkosek@redhat.com> | 2013-06-13 14:40:52 +0200 |
|---|---|---|
| committer | Martin Kosek <mkosek@redhat.com> | 2013-06-17 17:35:37 +0200 |
| commit | ad6abdb576b2ebeb941eb99fd141bf78918143c1 (patch) | |
| tree | c21d3ffddc79fb3b980f6353e46a7a637ef66378 /selinux/ipa_webgui/ipa_webgui.te | |
| parent | 851b09183208ac90fc242dfcebff033de2757d5d (diff) | |
| download | freeipa-ad6abdb576b2ebeb941eb99fd141bf78918143c1.tar.gz freeipa-ad6abdb576b2ebeb941eb99fd141bf78918143c1.tar.xz freeipa-ad6abdb576b2ebeb941eb99fd141bf78918143c1.zip | |
Drop SELinux subpackage
All SELinux policy needed by FreeIPA server is now part of the global
system SELinux policy which makes the subpackage redundant and slowing
down the installation. This patch drops it.
https://fedorahosted.org/freeipa/ticket/3683
https://fedorahosted.org/freeipa/ticket/3684
Diffstat (limited to 'selinux/ipa_webgui/ipa_webgui.te')
| -rw-r--r-- | selinux/ipa_webgui/ipa_webgui.te | 92 |
1 files changed, 0 insertions, 92 deletions
diff --git a/selinux/ipa_webgui/ipa_webgui.te b/selinux/ipa_webgui/ipa_webgui.te deleted file mode 100644 index bfa7c87b3..000000000 --- a/selinux/ipa_webgui/ipa_webgui.te +++ /dev/null @@ -1,92 +0,0 @@ -policy_module(ipa_webgui, 1.0) - -######################################## -# -# Declarations -# - -type ipa_webgui_t; -type ipa_webgui_exec_t; -type ipa_webgui_var_run_t; -type ipa_cache_t; -files_type(ipa_cache_t) -init_daemon_domain(ipa_webgui_t, ipa_webgui_exec_t) - -type ipa_webgui_log_t; -logging_log_file(ipa_webgui_log_t) - -require { - type httpd_tmp_t; -} - -######################################## -# -# IPA webgui local policy -# - -allow ipa_webgui_t self:tcp_socket create_stream_socket_perms; -allow ipa_webgui_t self:udp_socket create_socket_perms; -allow ipa_webgui_t self:process setfscreate; - -# This is how the kerberos credential cache is passed to -# the ipa_webgui process. Unfortunately, the kerberos -# libraries seem to insist that it be open rw. To top it -# all off there is no interface for this either. -allow ipa_webgui_t httpd_tmp_t:file read_file_perms; -dontaudit ipa_webgui_t httpd_tmp_t:file write; - -apache_search_sys_content(ipa_webgui_t) -apache_read_config(ipa_webgui_t) - -corecmd_list_bin(ipa_webgui_t) - -miscfiles_read_localization(ipa_webgui_t) - -files_list_usr(ipa_webgui_t) -files_read_etc_files(ipa_webgui_t) -files_read_usr_files(ipa_webgui_t) -files_read_usr_symlinks(ipa_webgui_t) -files_search_etc(ipa_webgui_t) -files_search_tmp(ipa_webgui_t) - -files_pid_file(ipa_webgui_var_run_t) -allow ipa_webgui_t ipa_webgui_var_run_t:file manage_file_perms; -files_pid_filetrans(ipa_webgui_t,ipa_webgui_var_run_t,file) - -kerberos_read_config(ipa_webgui_t) - -kernel_read_system_state(ipa_webgui_t) - -auth_use_nsswitch(ipa_webgui_t) - -libs_use_ld_so(ipa_webgui_t) -libs_use_shared_libs(ipa_webgui_t) - -logging_search_logs(ipa_webgui_t) -logging_log_filetrans(ipa_webgui_t,ipa_webgui_log_t,file) -allow ipa_webgui_t ipa_webgui_log_t:file rw_file_perms; - -allow ipa_webgui_t self:capability { setgid setuid }; - -# /var/cache/ipa/sessions -files_type(ipa_cache_t) -manage_dirs_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) -manage_files_pattern(ipa_webgui_t, ipa_cache_t, ipa_cache_t) -files_var_filetrans(ipa_webgui_t, ipa_cache_t,dir) - -userdom_dontaudit_search_admin_dir(ipa_webgui_t) - -corenet_tcp_sendrecv_all_if(ipa_webgui_t) -corenet_udp_sendrecv_all_if(ipa_webgui_t) -corenet_raw_sendrecv_all_if(ipa_webgui_t) -corenet_tcp_sendrecv_all_nodes(ipa_webgui_t) -corenet_udp_sendrecv_all_nodes(ipa_webgui_t) -corenet_raw_sendrecv_all_nodes(ipa_webgui_t) -corenet_tcp_sendrecv_all_ports(ipa_webgui_t) -corenet_udp_sendrecv_all_ports(ipa_webgui_t) -corenet_all_recvfrom_unlabeled(ipa_webgui_t) -corenet_tcp_bind_all_nodes(ipa_webgui_t) -corenet_udp_bind_all_nodes(ipa_webgui_t) -corenet_tcp_bind_http_cache_port(ipa_webgui_t) -corenet_tcp_connect_http_cache_port(ipa_webgui_t) -corenet_tcp_connect_ldap_port(ipa_webgui_t) |