루트가 아닌 사용자가 다른 사용자의 비밀번호를 변경할 수있는 방법이 있습니까? 특히 헬프 데스크 직원에게 암호 재설정 기능을 부여 할 수있는 방법이 있습니까? 헬프 데스크는 이미 Windows 암호를 재설정 할 수 있으므로 위임하기 쉽습니다.
대부분의 HP-UX에 있지만 다양한 서버 유형에 있습니다. 불행히도 서버에서 실행되는 응용 프로그램으로 인해 LDAP를 사용할 수 없으므로 이러한 서버는 독립적이며 사용자는 암호를 잊어 버립니다. 자주. 특히 심야에 루트 암호를 알고있는 서버 관리자가 필요하면 리소스가 낭비됩니다.
가능하면 Windows가 사용자가 비 관리자 계정에서 관리자 비밀번호를 변경하지 못하도록하는 것처럼 사용자가 루트를 변경하지 못하게합니까?
답변:
sudo를보십시오 :
HP-UX가 PAM 을 지원한다고 말하면 여기에서이 문제를 해결하기위한 다음과 같은 임시적인 접근 방식을 언급 할 수 있습니다.
사용 pam_tcb (TCB -에 대한 대안을 / etc / 그림자) 및 사용자 별 사용자의 암호 파일이있을 것이다는 - 그들은 (사실, 올빼미, 루트의 권한이없는 조작 할 수 passwd 없는 setuid를 루트), 그리고 섀도 파일의 권한을 수정하여 특정 그룹의 비밀번호 (예 : "루트"가 아닌)를 특정 그룹의 비밀번호를 수정할 수있는 권한을 부여 할 수 있습니다.
그러나 pam_tcbHP-UX에 대한 포트가 보이지 않기 때문에 아직 실질적으로 준비된 솔루션이 아닙니다 .
업데이트 : passwd는 이미 setuid root입니다. 죄송합니다.
setuid 속성을 passwd 프로그램에 제공 할 수 있습니다. 그냥 해
sudo chmod u+s `which passwd`
그런 다음 특정 사용자 만 사용할 수 있도록 그룹을 변경하고 권한을 제한하십시오.
sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`
그리고 그 그룹에 사용자를 추가
sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates
다른 사용자가 자신의 암호를 변경할 수 있도록 setuid없이 passwd 프로그램의 사본을 만들 수 있습니다.
또는 sudo를 설정하고 헬프 데스크 사용자의 passwd 프로그램에만 sudo 액세스를 허용 할 수 있습니다.
passwd시스템 비밀번호 데이터베이스에 쓸 때 이미 suid root를 실행 한다는 사실을 제외하고는 잠재적으로 영리한 아이디어 입니다.