루트없이 사용자 비밀번호 재설정


8

루트가 아닌 사용자가 다른 사용자의 비밀번호를 변경할 수있는 방법이 있습니까? 특히 헬프 데스크 직원에게 암호 재설정 기능을 부여 할 수있는 방법이 있습니까? 헬프 데스크는 이미 Windows 암호를 재설정 할 수 있으므로 위임하기 쉽습니다.

대부분의 HP-UX에 있지만 다양한 서버 유형에 있습니다. 불행히도 서버에서 실행되는 응용 프로그램으로 인해 LDAP를 사용할 수 없으므로 이러한 서버는 독립적이며 사용자는 암호를 잊어 버립니다. 자주. 특히 심야에 루트 암호를 알고있는 서버 관리자가 필요하면 리소스가 낭비됩니다.

가능하면 Windows가 사용자가 비 관리자 계정에서 관리자 비밀번호를 변경하지 못하도록하는 것처럼 사용자가 루트를 변경하지 못하게합니까?

답변:



8

helpdesk라는 그룹을 추가하고 보류 된 모든 사용자를 추가하십시오. 그런 다음 sudoers 파일에 다음을 추가하십시오.

%helpdesk ALL=/usr/bin/passwd

이제 암호를 변경하기 위해 sudo를 할 수 있지만 다른 것은 없습니다.


1

HP-UX가 PAM 을 지원한다고 말하면 여기에서이 문제를 해결하기위한 다음과 같은 임시적인 접근 방식을 언급 할 수 있습니다.

사용 pam_tcb (TCB -에 대한 대안을 / etc / 그림자) 및 사용자 별 사용자의 암호 파일이있을 것이다는 - 그들은 (사실, 올빼미, 루트의 권한이없는 조작 할 수 passwd 없는 setuid를 루트), 그리고 섀도 파일의 권한을 수정하여 특정 그룹의 비밀번호 (예 : "루트"가 아닌)를 특정 그룹의 비밀번호를 수정할 수있는 권한을 부여 할 수 있습니다.

그러나 pam_tcbHP-UX에 대한 포트가 보이지 않기 때문에 아직 실질적으로 준비된 솔루션이 아닙니다 .


-1

업데이트 : passwd는 이미 setuid root입니다. 죄송합니다.

setuid 속성을 passwd 프로그램에 제공 할 수 있습니다. 그냥 해

sudo chmod u+s `which passwd`

그런 다음 특정 사용자 만 사용할 수 있도록 그룹을 변경하고 권한을 제한하십시오.

sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`

그리고 그 그룹에 사용자를 추가

sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates

다른 사용자가 자신의 암호를 변경할 수 있도록 setuid없이 passwd 프로그램의 사본을 만들 수 있습니다.

또는 sudo를 설정하고 헬프 데스크 사용자의 passwd 프로그램에만 sudo 액세스를 허용 할 수 있습니다.


sudo 액세스 방법을 사용하면 필요한 경우 검토 할 수있는 훌륭한 감사 추적도 생성됩니다. 누가 어떤 사용자를 위해 무엇을하고 있는지 확인할 수 있습니다.
mcmeel

sudo는 내가 갈 길이지만 누군가가 이미 게시했으며 옵션을 제시 할 것이라고 생각했습니다.
James

passwd시스템 비밀번호 데이터베이스에 쓸 때 이미 suid root를 실행 한다는 사실을 제외하고는 잠재적으로 영리한 아이디어 입니다.
MikeyB

하하, 죄송합니다.
제임스

;) 오류가 있으면 답변을 삭제하십시오.
Bart De Vos
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.