Je dois autoriser l'utilisateur martin pour passer à l'utilisateur martin-test sans mot de passe
su - martin-test
Je pense que cela peut être configuré dans /etc/pam.d/su . Il y a déjà quelques lignes dans ce fichier qui peuvent être décommentées. Cependant, je n'aime pas l'idée d'ajouter l'utilisateur martin grouper wheel . Je ne veux pas donner martin plus de privilèges que de pouvoir passer à martin-test . Je ne veux pas non plus utiliser sudo .
Quelle serait la meilleure façon de le faire, tout en gardant les privilèges de l'utilisateur martin minime ?
Réponse acceptée :
Ajoutez les lignes suivantes sous le pam_rootok.so ligne dans votre /etc/pam.d/su :
auth [success=ignore default=1] pam_succeed_if.so user = martin-test
auth sufficient pam_succeed_if.so use_uid user = martin
Ces lignes effectuent des vérifications à l'aide du pam_succeed_if.so module. Voir aussi la syntaxe du fichier de configuration Linux-PAM pour en savoir plus sur auth lignes.
- La première ligne vérifie si l'utilisateur cible est
martin-test. Si rien ne se passe (success=ignore) et nous pouvons continuer sur la ligne suivante pour vérifier l'utilisateur actuel . Si ce n'est pas le cas, la ligne suivante sera sautée (default=1) et nous pouvons continuer sur les lignes suivantes avec les étapes d'authentification habituelles. - La deuxième ligne vérifie si l'utilisateur actuel est
martinou non, si c'est le cas, le système considère le processus d'authentification comme réussi et renvoie (sufficient), si ce n'est pas le cas, rien ne se passe et nous continuons sur les lignes suivantes avec les étapes d'authentification habituelles.
Vous pouvez également restreindre su à un groupe, ici le groupe allowedpeople peut su sans mot de passe :
auth sufficient pam_succeed_if.so use_uid user ingroup allowedpeople