FreeBSDのsuからWHEELSUがなくなったのは、5.0かららしい。
で、代わりにpamになったと言うのだけれど、pamでWHEELSUと同じことを実現する方法がわからない。
/etc/pam.d/su を見ると、中で /etc/pam.d/system をincludeしていて、結局のところauthの部分は以下のような形になっている。
これにそのまま auth_as_self をつけてしまうと、今度はrootのパスワードでsuできなくなるので、最後の行の前に1行追加してみる。
・・・・まてよ?pam_groupには、root_onlyと言うオプションがあるけど、pam_unixにはそんなオプションないよなあ。
ん~、駄目だ、これは使えない・・・。
どうやったらpamでWHEELSUと同じことができるんですかねえ・・・?
で、代わりにpamになったと言うのだけれど、pamでWHEELSUと同じことを実現する方法がわからない。
なんてのを発見したので、pam_unixのマニュアルを見てみたところ、auth_as_self なんてオプションがあるらしい。
とりあえず、pam_unix.so の引数で、ユーザ本人のパスワードでsu できることはわかったが、これだと root 本来のパスワードでの su は出来なくなる。
/etc/pam.d/su を見ると、中で /etc/pam.d/system をincludeしていて、結局のところauthの部分は以下のような形になっている。
auth sufficient pam_rootok.so no_warn auth sufficient pam_self.so no_warn auth requisite pam_group.so no_warn group=wheel root_only fail_safe auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local auth required pam_unix.so no_warn try_first_pass nullok最後の行が、pam_unixでの認証を行っているところで、suしたい相手のパスワードで認証されることになる。
これにそのまま auth_as_self をつけてしまうと、今度はrootのパスワードでsuできなくなるので、最後の行の前に1行追加してみる。
auth sufficient pam_unix.so no_warn try_first_pass nullok auth_as_selfこれで、wheelグループに所属している人だけが、自分のパスワードまたはrootのパスワードで、rootにsuできるようになった。
・・・・まてよ?pam_groupには、root_onlyと言うオプションがあるけど、pam_unixにはそんなオプションないよなあ。
% su - otheruser Password: (otheruserではなく自分のパスワード)やっぱり、suできちゃうじゃん!
ん~、駄目だ、これは使えない・・・。
どうやったらpamでWHEELSUと同じことができるんですかねえ・・・?
カテゴリ
FreeBSDトラックバック(0)
このブログ記事を参照しているブログ一覧: WHEELSUからPAMへ
このブログ記事に対するトラックバックURL: https://www.wizard-limit.net/cgi-bin/mt/mt-tb.cgi/1008
コメントする