Necesito permitir al usuario martin para cambiar al usuario martin-test sin contraseña
su - martin-test
Creo que esto se puede configurar en /etc/pam.d/su . Ya hay algunas líneas en ese archivo que se pueden descomentar. Sin embargo, no me gusta la idea de agregar al usuario martin para agrupar wheel . No quiero darle a martin más privilegios que poder cambiar a martin-test . Tampoco quiero usar sudo .
¿Cuál sería la mejor manera de hacerlo, manteniendo los privilegios del usuario martin? mínimo?
Respuesta aceptada:
Agregue las siguientes líneas debajo de pam_rootok.so línea en su /etc/pam.d/su :
auth [success=ignore default=1] pam_succeed_if.so user = martin-test
auth sufficient pam_succeed_if.so use_uid user = martin
Estas líneas realizan comprobaciones utilizando pam_succeed_if.so módulo. Consulte también la sintaxis del archivo de configuración de Linux-PAM para obtener más información sobre auth líneas.
- La primera línea comprueba si el usuario objetivo es
martin-test. Si no pasa nada (success=ignore) y podemos continuar en la siguiente línea para verificar el usuario actual . Si no es así, se omitirá la siguiente línea (default=1) y podemos continuar en líneas posteriores con los pasos habituales de autenticación. - La segunda línea verifica si el usuario actual es
martino no, si es así, el sistema considera el proceso de autenticación como exitoso y devuelve (sufficient), si no es así, no pasa nada y continuamos en las líneas siguientes con los pasos habituales de autenticación.
También puede restringir su a un grupo, aquí el grupo allowedpeople puede su sin contraseña:
auth sufficient pam_succeed_if.so use_uid user ingroup allowedpeople