Đặt lại mật khẩu của người dùng mà không cần root


8

Có cách nào để cho phép người dùng không root thay đổi mật khẩu của người dùng khác. Cụ thể, có cách nào để cấp cho nhân viên bàn trợ giúp khả năng đặt lại mật khẩu. Bàn trợ giúp đã có thể đặt lại mật khẩu Windows, dễ dàng ủy thác.

Đây là trên nhiều loại máy chủ, mặc dù hầu hết trên HP-UX. Thật không may, các ứng dụng chạy trên máy chủ ngăn chúng tôi sử dụng LDAP, vì vậy những máy chủ này độc lập và người dùng quên mật khẩu. Thường xuyên. Yêu cầu một quản trị viên máy chủ biết mật khẩu gốc, đặc biệt là vào giữa đêm, là một sự lãng phí tài nguyên.

Nếu có thể, nó cũng ngăn người dùng thay đổi root, như Windows ngăn người dùng thay đổi mật khẩu quản trị viên từ tài khoản không phải quản trị viên.

Câu trả lời:



8

Thêm một nhóm được gọi là helpdesk và thêm tất cả người dùng Holdesk vào đó. Sau đó thêm các tập tin sau vào sudoers.

%helpdesk ALL=/usr/bin/passwd

Bây giờ họ có thể sudo để thay đổi mật khẩu nhưng không có gì khác.


1

Cho rằng HP-UX được cho là hỗ trợ PAM , tôi dám đề cập đến phương pháp làm sạch dự kiến ​​sau đây để giải quyết vấn đề này tại đây:

sử dụng pam_tcb (tcb - thay thế cho / etc / bóng) và sẽ có các tệp mật khẩu của người dùng cho mỗi người dùng - họ có thể bị thao túng mà không có quyền root (thực tế, trong Owl, passwd không phải là rootUID) và bạn có thể cấp quyền sửa đổi mật khẩu của một số người dùng nhất định (chứ không phải những người khác, nói là "root") cho một nhóm cụ thể (chỉ bằng cách sửa đổi quyền của các tệp bóng).

Nhưng đây chưa phải là một giải pháp sẵn sàng thực tế, vì tôi không thấy cổng của pam_tcbHP-UX.


-1

Cập nhật: Nevermind, passwd đã được thiết lập root. Giáo sư.

Bạn có thể cung cấp thuộc tính setuid cho chương trình passwd. Cứ làm đi

sudo chmod u+s `which passwd`

Sau đó, đảm bảo chỉ một số người dùng nhất định có thể sử dụng nó để thay đổi nhóm và hạn chế quyền:

sudo chgrp password_reset_delegates `which passwd`
sudo chmod 770 `which passwd`

Và thêm người dùng của bạn vào nhóm đó

sudo adduser frank password_reset_delegates
sudo adduser barbara password_reset_delegates

Bạn có thể muốn tạo một bản sao của chương trình passwd mà không cần setuid để người dùng khác có thể thay đổi mật khẩu của riêng họ.

Ngoài ra, bạn có thể thiết lập sudo và chỉ cho phép sudo truy cập vào chương trình passwd cho người dùng bộ phận trợ giúp.


Sử dụng phương pháp truy cập sudo cũng sẽ tạo ra một bản kiểm toán đẹp để xem xét nếu cần thiết. Bạn sẽ có thể thấy ai đang làm gì cho người dùng nào.
mcmeel

sudo là con đường tôi sẽ đi, nhưng ai đó đã đăng nó, và tôi nghĩ rằng tôi sẽ trình bày các tùy chọn.
James

Ý tưởng tiềm năng thông minh, ngoại trừ thực tế là passwdđã chạy root suid vì nó cần ghi vào cơ sở dữ liệu mật khẩu hệ thống.
MikeyB

haha, rất tiếc, bạn đã đúng
James

Xem xét xóa câu trả lời của bạn nếu nó sai;).
Bart De Vos
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.