FreeBSDのsuからWHEELSUがなくなったのは、5.0かららしい。
で、代わりにpamになったと言うのだけれど、pamでWHEELSUと同じことを実現する方法がわからない。

bugbirdの日記

とりあえず、pam_unix.so の引数で、ユーザ本人のパスワードでsu できることはわかったが、これだと root 本来のパスワードでの su は出来なくなる。

なんてのを発見したので、pam_unixのマニュアルを見てみたところ、auth_as_self なんてオプションがあるらしい。
/etc/pam.d/su を見ると、中で /etc/pam.d/system をincludeしていて、結局のところauthの部分は以下のような形になっている。

auth            sufficient      pam_rootok.so           no_warn
auth            sufficient      pam_self.so             no_warn
auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass nullok

最後の行が、pam_unixでの認証を行っているところで、suしたい相手のパスワードで認証されることになる。
これにそのまま auth_as_self をつけてしまうと、今度はrootのパスワードでsuできなくなるので、最後の行の前に1行追加してみる。

auth           sufficient      pam_unix.so             no_warn try_first_pass nullok auth_as_self

これで、wheelグループに所属している人だけが、自分のパスワードまたはrootのパスワードで、rootにsuできるようになった。

・・・・まてよ？pam_groupには、root_onlyと言うオプションがあるけど、pam_unixにはそんなオプションないよなあ。

% su - otheruser
Password: (otheruserではなく自分のパスワード)

やっぱり、suできちゃうじゃん！
ん～、駄目だ、これは使えない・・・。
どうやったらpamでWHEELSUと同じことができるんですかねえ・・・？