Conta de usuário do UNIX para SysAdmin restrito (somente para usuário / impressora)

1

Gostaria de saber se existe uma maneira de ativar ou elevar uma conta de usuário para executar tarefas administrativas do sistema sem precisar usar a conta raiz ou o sudo.

O objetivo aqui é permitir que uma conta de usuário adicione / exclua usuários / impressoras sem atribuir a eles os poderes de "Deus" que a conta raiz carrega, de forma a configurar um administrador de sistema restrito essencialmente. Não tenho certeza se existe uma maneira de fazer isso, pois a maioria apenas usa raiz para o meu entendimento.

    
por Mark 19.03.2010 / 12:47

3 respostas

2

É para isso que o sudo serve, você não precisa permitir poderes de Deus, apenas permissão para executar certas tarefas como outro usuário.

Por exemplo, para permitir que bob adicione usuários, você adiciona isso ao / etc / sudoers usando visudo:

bob localhost = / usr / sbin / useradd

Isso não dá poderes de "Deus", apenas permite que ele adicione usuários.

    
por 19.03.2010 / 12:59
1

Pense em algumas soluções de painel de controle baseadas na web. Webmin e ebox vêm à mente.

Impressoras, você pode usar o painel de administração baseado na web do CUPS.

    
por 19.03.2010 / 12:54
1

Não tenho certeza de como isso é seguro se você não confia totalmente nessa pessoa, mas pode dar a ela acesso ao comando adduser com o sudo. No entanto, se você estiver adicionando usuários suficientes para que isso valha a pena, convém usar o ldap, vincular a autenticação ao Active Directory ou algo assim.

Para as impressoras, acho que pode depender da sua distro e da versão * nix, mas no Ubuntu você as adicionaria ao grupo lpadmin que eu acredito.

    
por 19.03.2010 / 12:54

Tags