25.2.5項「SELinuxコンテキストについて」で説明したように、各SELinuxユーザー・アカウントは通常のOracle Linuxユーザー・アカウントを補完します。 SELinuxは、すべてのOracle Linuxユーザーを、ユーザー・セッション内のプロセスのSELinuxコンテキストで使用されるSELinuxユーザーIDにマップします。

SELinuxユーザーはSELinuxポリシーの一部であり、特定のロール・セットおよび特定のMLS (Multi-Level Security)範囲に対する権限が与えられ、各Oracle Linuxユーザーはポリシーの一部としてSELinuxユーザーにマップされます。 このため、Linuxユーザーは、SELinuxユーザーに設定されている制限やセキュリティ・ルールやメカニズムを継承します。 ユーザーのロールやレベルを定義するために、マップされたSELinuxユーザーIDがセッション内のプロセスのSELinuxコンテキストで使用されます。 ユーザー・マッピングは、SELinux管理GUIの「ユーザー・マッピング」ビューで表示できます。 コマンド・ラインからSELinuxユーザー・アカウントとOracle Linuxユーザー・アカウント間のマッピングを表示することもできます。

# semanage login -l
Login Name   SELinux User     MLS/MCS Range
_default_    unconfined_u     s0-s0:c0.c1023
root         unconfined_u     s0-s0:c0.c1023
system_u     system_u         s0-s0:c0.c1023

MLS/MCS範囲列には、MLSとMCSで使用されるレベルが表示されます。

デフォルトでは、Oracle LinuxユーザーはSELinuxユーザーunconfined_uにマップされます。

下表に示すセキュリティ・ルールおよびメカニズムが事前定義された、制限されたドメイン内のSELinuxユーザーにOracle Linuxユーザーをマップすることで、Oracle Linuxユーザーを制限するようSELinuxを構成できます。