非rootユーザーが他のユーザーのパスワードを変更できるようにする方法はありますか?具体的には、ヘルプデスクの従業員にパスワードのリセットを実行する権限を与える方法はありますか。ヘルプデスクは既にWindowsパスワードをリセットできます。これは委任が簡単です。
これらはさまざまな種類のサーバーにありますが、ほとんどがHP-UXにあります。残念ながら、サーバー上で実行されるアプリケーションはLDAPの使用を妨げるため、これらのサーバーは独立しており、ユーザーはパスワードを忘れます。しばしば。特に深夜にrootパスワードを知っているサーバー管理者を要求することは、リソースの浪費です。
可能であれば、ユーザーがrootを変更できないようにします。たとえば、Windowsはユーザーが非管理者アカウントから管理者パスワードを変更できないようにします。
回答:
sudoを見てください。
HP-UXがPAMをサポートしていると言われているので、この問題を解決するための次の暫定的なクリーンなアプローチについてここで触れておきます。
pam_tcb(tcb-/ etc / shadowの代替)を使用すると、ユーザーごとにユーザーのパスワードファイルが作成されます。これらのファイルは、rootの権限がなくても操作できます(実際、Owlでは、setUID root でpasswd はありません)。特定のユーザーに(他のユーザーではなく、たとえば「root」ではなく)パスワードを変更する権限を特定のグループに与えることができます(シャドウファイルの権限を変更するだけで)。
しかし、おそらくpam_tcbHP-UXへの移植版が見当たらないため、それはまだ実用的な準備が整ったソリューションではありません。
更新: 注意してください、passwdはすでにsetuidルートです。おっとっと。
setwd属性をpasswdプログラムに与えることができます。するだけ
sudo chmod u+s `which passwd`
次に、特定のユーザーのみがそれを使用できることを確認し、グループを変更してアクセス許可を制限します。
sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`
そして、そのグループにユーザーを追加します
sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates
他のユーザーが自分のパスワードを変更できるように、setuidなしでpasswdプログラムのコピーを作成することもできます。
または、sudoをセットアップして、ヘルプデスクユーザーに対してpasswdプログラムのみへのsudoアクセスを許可することもできます。
passwdシステムパスワードデータベースに書き込む必要があるため、すでにsuid rootを実行しているという事実を除いて、潜在的に賢い考えです。