Redefina a senha do usuário sem raiz

8

Existe alguma maneira de permitir que usuários não-root alterem a senha de outro usuário. Especificamente, existe uma maneira de conceder aos funcionários do help desk a capacidade de redefinir senhas. O help desk já pode redefinir as senhas do Windows, o que é fácil delegar.

Eles estão em vários tipos de servidores, embora a maioria esteja no HP-UX. Infelizmente, os aplicativos executados no servidor nos impedem de usar o LDAP, portanto, esses servidores são independentes e os usuários esquecem suas senhas. Frequentemente. Requerer um administrador do servidor que conheça a senha do root, especialmente no meio da noite, é um desperdício de recursos.

Se for possível, também impede que o usuário altere a raiz, como o Windows impede que os usuários alterem senhas de administrador de contas que não são de administrador.

    
por Brian 19.05.2011 / 20:58

4 respostas

10

Veja o sudo:

link

    
por 19.05.2011 / 21:08
8

Adicione um grupo chamado helpdesk e adicione todos os usuários do heldesk a ele. Em seguida, adicione o seguinte ao arquivo sudoers.

%helpdesk ALL=/usr/bin/passwd

Agora eles podem sudo para alterar as senhas, mas nada mais.

    
por 20.05.2011 / 16:28
1

Considerando que o HP-UX é compatível com PAM , atrevo-me a mencionar a seguinte tentativa de abordagem limpa para resolver esse problema. problema aqui:

use pam_tcb (tcb - a alternativa para / etc / shadow) , e haverá arquivos de senhas dos usuários por usuário - eles podem ser manipulados sem direitos de root (na verdade, em Owl, passwd não é setUID root), e você pode dar a permissão para modificar as senhas de certos usuários (e não os outros, digamos, "root") para um grupo específico (simplesmente modificando as permissões dos arquivos shadow).

Mas ainda não é uma solução prática pronta, porque não vejo uma porta de pam_tcb para o HP-UX.

    
por 20.05.2011 / 17:17
-1

Atualização: Nevermind, passwd já é root setuid. Opa.

Você pode atribuir o atributo setuid ao programa passwd. Apenas faça

sudo chmod u+s 'which passwd'

Depois, certifique-se de que apenas alguns usuários possam usá-lo, por isso, altere o grupo e restrinja as permissões:

sudo chgrp password_reset_delegates 'which passwd'
sudo chmod 770 'which passwd'

Adicione seus usuários a esse grupo

sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates

Você pode querer fazer uma cópia do programa passwd sem o setuid para que outros usuários possam alterar sua própria senha.

Alternativamente, você pode configurar o sudo e permitir o acesso do sudo somente ao programa passwd para os usuários do helpdesk.

    
por 19.05.2011 / 21:13