No RHEL5, Como autorizar o usuário comum a usar o comando, como userdel e useradd

1

Eu quero autorizar usuários comuns a serem administradores. Para que esses usuários autorizados possam criar contas, excluir contas, modificar senha, modificar regras de senha. Eu sei que o su poderia ajudar, gostaria de saber se existem outros métodos que funcionem? Muito obrigado!

    
por zhaojing 12.10.2010 / 08:47

2 respostas

4

sudo é o método usual (man sudo). Ele permite que você especifique que um usuário em particular pode executar um determinado conjunto de comandos como um usuário específico diferente (geralmente, mas nem sempre, root), autentica-os com sua própria senha para provar que são eles e registra o que eles ' feito. Usuários e comandos podem ser agrupados para facilitar a administração.

Observe que pode haver problemas com comandos que permitem o acesso ao shell ou a edição de arquivos arbitrários; se, digamos, você permitir que alguém sudo vi como root, você está efetivamente confiando neles para fazer qualquer coisa como root (embora haja medidas de mitigação que podem ser tomadas mesmo contra isso). Mas tais questões de lado, é um excelente sistema para delegar confiança, e a maioria dos administradores que eu conheço o usam há anos.

    
por 12.10.2010 / 08:55
1

O que você está exatamente tentando realizar? Se, no seu caso, você estiver oferecendo serviço de email ou de página da Web e desejar delegar o gerenciamento de contas dessas contas a alguns outros usuários, convém separá-las das contas reais do sistema. Dessa forma, restringir as coisas que as pessoas podem fazer no seu servidor é muito mais fácil e claro. Então, mantenha apenas as contas do sistema em / etc / passwd e separe todo o resto para o MySQL / OpenLDAP / algum outro sistema.

Como não sei o que você vai fazer, não vou escrever um tutorial longo, mas aqui está o conceito em poucas palavras. Eu assumo aqui que você precisa fornecer um serviço de e-mail e alguém (ou algo, como um script Perl) precisa modificar as contas de usuário para isso. Vamos colocar as contas no OpenLDAP.

1) Instale o software do servidor POP / IMAP de sua escolha. A maioria, senão todas, suporta a autenticação PAM.

2) Instale pam_ldap (e provavelmente nss_ldap), assim você pode apontar a fase de autenticação para procurar as contas do OpenLDAP.

4) Configure seu software de e-mail para usar LDAP e / ou modificar /etc/pam.d/{pop3,imap} para usar o pam_ldap.

5) Crie seu banco de dados inicial do OpenLDAP com o esquema LDAP necessário. Existem scripts incluídos no OpenLDAP que podem fazer isso por você.

6) Instale as ferramentas de administração do LDAP de sua escolha. Ferramentas de linha de comando, interfaces da Web, GUIs e APIs estão disponíveis.

7) Dê aos seus trustees acesso à sua interface de administração LDAP.

8) Certifique-se de que apenas o serviço de e-mail esteja disponível por meio da autenticação LDAP e não dos outros serviços, como o login normal do shell.

9) Bang! Seus administradores podem administrar suas contas de e-mail, mas não podem facilmente prejudicar seu servidor.

    
por 12.10.2010 / 09:15