Solaris / OpenIndiana: Senha para papéis?

Navegue suas respostas
3

Eu estive experimentando suavemente com roles no Solaris e me pergunto sobre como definir um password para ele.

Eu quero que a função que criei seja usada por vários usuários, portanto, definir a senha como um usuário (como é feito para a função raiz) não é uma opção. Tendo vários usuários "compartilhando" (sabendo) uma única senha, ouvi dizer que é uma má idéia - que é afinal o racional por trás de sudo .

Então, por enquanto, defini uma senha em branco (apenas "Enter"). Eu fiz isso não deixando o campo em /etc/shadow blank nem definindo-o como "NP" ... Eu fiz isso usando passwd para configurá-lo para nada (pressionado "Enter" duas vezes) - e a entrada criptografada resultante foi surpreendentemente longa e garbeled.

Então, minha primeira pergunta; É seguro deixar um role com blank ("Enter") como senha? Afinal de contas, apenas usuários logados com essa função podem assumir isso ...

Mais algumas perguntas:

Existe alguma maneira na especificação de função especificar que um usuário deve autenticar com sua própria senha - em vez da função - para alternar para a função (sem alterar a senha da função para a do usuário, como eu presumo que seja feito com o papel de raiz)? Se não, existem outras maneiras (por exemplo, usando sudo - talvez em combinação com su ? Se sim, como?) Para fazer isso?

Como o root -roll está vinculado à senha do "primeiro usuário"? Algum campo na especificação de funções faz com que isso aconteça automaticamente? O que acontece nos bastidores para que isso aconteça?

    
por Baard Kopperud 19.07.2013 / 13:48

1 resposta

2

Sim, é seguro remover a senha de uma função. Na verdade, no meu site, fazemos mais ou menos por padrão (exceto pelo papel raiz).

Como você aponta um usuário que assume que uma função já foi autenticada, então pedir a ele para autenticar novamente é realmente muito IMHO de autenticação.

Eu acredito que isso também responde à sua segunda pergunta. Apenas remova a senha do papel!

Algumas notas sobre como remover uma senha de uma função. A seguir, essa função é denominada roleX .

No Solaris 10

Sempre foi o suficiente para mim: 

passwd -r files -d roleX

No Solaris 11

Algo foi alterado pelo Sun / Oracle. A aplicação forçada do parâmetro PASSREQ em /etc/default/login (consulte a página man para login ). Para criar uma função sem senha, você precisa fazer como no Solaris 10 em cada conta de função bem como definindo globalmente o parâmetro PASSREQ como 'NO' em /etc/default/login .

Como eu vejo, PASSREQ age como uma última linha de defesa. Você ainda precisa remover fisicamente a senha de cada conta para que a conta não tenha uma senha. Eu gostaria que o Solaris tivesse uma configuração como PASSREQROLE (minha proposta) que diria se fosse aceitável que as contas de função não tivessem uma senha (em vez de todas as contas, assim como a interpretação de PASSREQ ).

    
por 22.07.2013 / 10:16

Tags

Como saber os nomes dos drivers? As interrupções de tempo são sempre seguidas por uma chamada do agendador?