Veja o sudo:
Existe alguma maneira de permitir que usuários não-root alterem a senha de outro usuário. Especificamente, existe uma maneira de conceder aos funcionários do help desk a capacidade de redefinir senhas. O help desk já pode redefinir as senhas do Windows, o que é fácil delegar.
Eles estão em vários tipos de servidores, embora a maioria esteja no HP-UX. Infelizmente, os aplicativos executados no servidor nos impedem de usar o LDAP, portanto, esses servidores são independentes e os usuários esquecem suas senhas. Frequentemente. Requerer um administrador do servidor que conheça a senha do root, especialmente no meio da noite, é um desperdício de recursos.
Se for possível, também impede que o usuário altere a raiz, como o Windows impede que os usuários alterem senhas de administrador de contas que não são de administrador.
Veja o sudo:
Adicione um grupo chamado helpdesk e adicione todos os usuários do heldesk a ele. Em seguida, adicione o seguinte ao arquivo sudoers.
%helpdesk ALL=/usr/bin/passwd
Agora eles podem sudo para alterar as senhas, mas nada mais.
Considerando que o HP-UX é compatível com PAM , atrevo-me a mencionar a seguinte tentativa de abordagem limpa para resolver esse problema. problema aqui:
use pam_tcb (tcb - a alternativa para / etc / shadow) , e haverá arquivos de senhas dos usuários por usuário - eles podem ser manipulados sem direitos de root (na verdade, em Owl, passwd
não é setUID root), e você pode dar a permissão para modificar as senhas de certos usuários (e não os outros, digamos, "root") para um grupo específico (simplesmente modificando as permissões dos arquivos shadow).
Mas ainda não é uma solução prática pronta, porque não vejo uma porta de pam_tcb
para o HP-UX.
Atualização: Nevermind, passwd já é root setuid. Opa.
Você pode atribuir o atributo setuid ao programa passwd. Apenas faça
sudo chmod u+s 'which passwd'
Depois, certifique-se de que apenas alguns usuários possam usá-lo, por isso, altere o grupo e restrinja as permissões:
sudo chgrp password_reset_delegates 'which passwd'
sudo chmod 770 'which passwd'
Adicione seus usuários a esse grupo
sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates
Você pode querer fazer uma cópia do programa passwd sem o setuid para que outros usuários possam alterar sua própria senha.
Alternativamente, você pode configurar o sudo e permitir o acesso do sudo somente ao programa passwd para os usuários do helpdesk.