Potřebuji povolit uživateli martin pro přepnutí na uživatele martin-test bez hesla
su - martin-test
Myslím, že to lze nakonfigurovat v /etc/pam.d/su . V tomto souboru jsou již některé řádky, které lze odkomentovat. Nelíbí se mi však nápad přidat uživatele martin do skupiny wheel . Nechci dávat martin žádná další práva než možnost přepnout na martin-test . Také nechci používat sudo .
Jaký by byl nejlepší způsob, jak to udělat, při zachování oprávnění uživatele martin minimální?
Přijatá odpověď:
Přidejte následující řádky pod pam_rootok.so řádku ve vašem /etc/pam.d/su :
auth [success=ignore default=1] pam_succeed_if.so user = martin-test
auth sufficient pam_succeed_if.so use_uid user = martin
Tyto řádky provádějí kontroly pomocí pam_succeed_if.so modul. Podívejte se také na syntaxi konfiguračního souboru Linux-PAM, kde se dozvíte více o auth řádky.
- První řádek kontroluje, zda je cílový uživatel je
martin-test. Pokud tomu tak není, nic se nestane (success=ignore) a můžeme pokračovat na dalším řádku a zkontrolovat aktuálního uživatele . Pokud není, další řádek bude přeskočen (default=1) a můžeme pokračovat na dalších řádcích obvyklými kroky ověření. - Druhý řádek kontroluje, zda je aktuální uživatel
martinnebo ne, pokud ano, pak systém považuje proces autentizace za úspěšný a vrátí (sufficient), pokud tomu tak není, nic se neděje a pokračujeme na dalších řádcích obvyklými autentizačními kroky.
Můžete také omezit su do skupiny, zde skupina allowedpeople může su bez hesla:
auth sufficient pam_succeed_if.so use_uid user ingroup allowedpeople