/etc/pam.d/su
に適切な構成行を追加することにより、すべてのホイールグループユーザーに対してパスワードなしでsuを有効にする方法を知っています。
すべてのホイールユーザーに対してこれを有効にするのではなく、特定の1人のユーザーに対してのみ有効にします。
私はFreeBSD8.1を使用しています。どうすればよいですか?
以下のコメントに応じて更新
これはpfSenseボックスです。基盤となるOSはFreeBSD8.1ですが、pfSenseの通常のように、多くの機能、特にportsコレクション全体が欠落しています。ルートパスワードを入力せずに、1人の特権ユーザー(ホイールグループ内)がsuを呼び出せるようにしたいと思います。 PAMを使用するすべてのホイールユーザーに対してこれを有効にするのは簡単です。特定のユーザーのパスワードをバイパスできるようにするための正しいPAM構成がわかりません。私は、どの程度の変更を加えることができるかという会社の方針に制約されています。これは実行中のミッションクリティカルなマシンであり、誤ってダウンさせるリスクを冒すことはできません。私はこのマシンの管理を継承しましたが、現時点では、その構成を大幅に変更することは現実的ではなく、許可されていません。私はPAMを持っています。須藤はいない。やりたかったのですが、しません。
FreeBSDにはユーザープライベートグループがありますか?そうでない場合は、グループを作成し、そのユーザーのみをグループに入れます。次に/etc/pam.d/su
次のようなものを追加します
auth sufficient pam_group.so no_warn group=foo
ここで、foo
はグループ名です。
これを行うには、Sudo
を使用することをお勧めします。それは簡単でよくテストされた方法です。
詳細については、Sudoのmanページを参照してください。
ホイールグループに1人のユーザーだけを入れることの何が問題になっていますか?
Mark Wagnerが解決策を考え出し、感謝します。グループnopw
を作成し、それに特権ユーザーを追加しました。次に、pam_group.soモジュールのみを使用して、そのグループに対して「十分な」no_warnルールを作成しました。これで、/etc/pam.d/su
ファイルのauth
セクションは次のようになります。
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
auth sufficient pam_group.so no_warn group=nopw root_only fail_safe
auth requisite pam_group.so no_warn group=wheel root_only fail_safe
auth include system