Есть ли способ разрешить пользователям без полномочий root изменять пароль другого пользователя. В частности, есть ли способ предоставить сотрудникам службы поддержки возможность сбрасывать пароли. Служба поддержки уже может сбрасывать пароли Windows, что легко делегировать.
Они есть на разных типах серверов, но большинство на HP-UX. К сожалению, приложения, которые работают на сервере, не позволяют нам использовать LDAP, поэтому эти серверы независимы, и пользователи забывают свои пароли. Часто. Требовать администратора сервера, который знает пароль root, особенно среди ночи, - пустая трата ресурсов.
Если это возможно, предотвращает ли это изменение пользователем root, например Windows запрещает пользователям изменять пароли администратора от учетных записей, не являющихся администраторами.
Посмотрите на sudo:
Добавьте группу под названием helpdesk и добавьте в нее всех пользователей helpdesk. Затем добавьте следующее в файл sudoers.
%helpdesk ALL=/usr/bin/passwd
Теперь они могут sudo изменять пароли, но ничего больше.
Учитывая, что HP-UX поддерживает PAM, Смею упомянуть здесь следующий ориентировочный чистый подход к решению этой проблемы:
использовать pam_tcb (tcb - альтернатива / etc / shadow), и будут файлы паролей пользователей для каждого пользователя - ими можно управлять без прав root (фактически, в Owl, passwd не setUID root), и вы можете дать разрешение на изменение паролей определенных пользователей (а не других, скажем, «root») для определенной группы (просто изменив разрешения теневых файлов).
Но это, наверное, еще не готовое практическое решение, потому что я не вижу порта pam_tcb в HP-UX.
Обновить: Неважно, passwd уже имеет root-идентификатор. Ой.
Вы можете передать атрибут setuid программе passwd. Просто сделать
sudo chmod u+s `which passwd`
Затем убедитесь, что только определенные пользователи могут использовать его, поэтому измените группу и ограничьте разрешения:
sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`
И добавьте своих пользователей в эту группу
sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates
Вы можете сделать копию программы passwd без setuid, чтобы другие пользователи могли изменить свой пароль.
В качестве альтернативы вы можете настроить sudo и разрешить sudo доступ только к программе passwd для пользователей службы поддержки.