8 votes

CHuBBNuTT avatar

Réinitialiser le mot de passe de l'utilisateur sans root

Demandé el 19 de Mai, 2011
Quand la question a-t-elle été
7950 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Existe-t-il un moyen d'autoriser les utilisateurs non root à modifier le mot de passe d'autres utilisateurs ? Plus précisément, existe-t-il un moyen d'accorder aux employés du service d'assistance la possibilité de réinitialiser les mots de passe. Le service d'assistance peut déjà réinitialiser les mots de passe Windows, ce qui est facile à déléguer.

Ceux-ci se trouvent sur divers types de serveurs, mais la plupart sur HP-UX. Malheureusement, les applications qui tournent sur le serveur nous empêchent d'utiliser LDAP, donc ces serveurs sont indépendants et les utilisateurs oublient leurs mots de passe. Souvent. Demander à un administrateur du serveur de connaître le mot de passe root, surtout au milieu de la nuit, est un gaspillage de ressources.

Si c'est possible, cela empêche-t-il également l'utilisateur de modifier la racine, comme Windows empêche les utilisateurs de modifier les mots de passe administrateur à partir de comptes non-administrateurs.

Demandé el 19 de Mai, 2011 par CHuBBNuTT

Réponses

Trop de publicités?

10voto

dmourati avatar
dmourati Points 24230

Regardez sudo :

http://www.gratisoft.us/sudo/

Répondu el 19 de Mai, 2011 par dmourati (24230 Points )

8voto

Daniel Schierbeck avatar
Daniel Schierbeck Points 962

Ajoutez un groupe appelé helpdesk et ajoutez-y tous les utilisateurs de heldesk. Puis ajoutez ce qui suit au fichier sudoers.

%helpdesk ALL=/usr/bin/passwd

Maintenant ils peuvent sudo pour changer les mots de passe mais rien d'autre.

Répondu el 20 de Mai, 2011 par Daniel Schierbeck (962 Points )

1voto

Jcl avatar
Jcl Points 2120

Étant donné que HP-UX est censé supporter PAM J'ose mentionner ici l'approche propre provisoire suivante pour résoudre ce problème :

utiliser pam_tcb (tcb - l'alternative à /etc/shadow) et il y aura des fichiers de mots de passe par utilisateur -- ils peuvent être manipulés sans les droits de root (en fait, dans Owl, passwd n'est pas setUID root), et vous pouvez donner la permission de modifier les mots de passe de certains utilisateurs (et pas des autres, disons "root") à un groupe spécifique (en modifiant simplement les permissions des fichiers shadow).

Mais ce n'est probablement pas encore une solution pratique prête, parce que je ne vois pas de port de pam_tcb à HP-UX.

Répondu el 20 de Mai, 2011 par Jcl (2120 Points )

-1voto

Jean-Christophe Meillaud avatar
Jean-Christophe Meillaud Points 148

Mise à jour : Nevermind, passwd est déjà setuid root. Oups.

Vous pourriez donner l'attribut setuid au programme passwd. Il suffit de faire

sudo chmod u+s `which passwd`

Ensuite, assurez-vous que seuls certains utilisateurs peuvent l'utiliser : modifiez le groupe et limitez les autorisations :

sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`

Et ajoutez vos utilisateurs à ce groupe

sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates

Vous pouvez faire une copie du programme passwd sans le setuid afin que les autres utilisateurs puissent changer leur propre mot de passe.

Alternativement, vous pourriez configurer sudo et autoriser l'accès sudo uniquement au programme passwd pour les utilisateurs du service d'assistance.

Répondu el 19 de Mai, 2011 par Jean-Christophe Meillaud (148 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X