Linux配置允许普通用户免密码切换其他普通用户

背景

======================================================================

业务需求:使用su命令将账号user01免密码切换到user02,不添加其他特权

操作

通过配置/etc/pam.d/su,能够实现不加入wheel用户组,不使用sudo命令从user01免密码切换到user02


具体配置:

/etc/pam.d/su配置文件中pam_rootok.so行后添加如下配置:

auth  [success=ignore default=1] pam_succeed_if.so user = user02
auth  sufficient                 pam_succeed_if.so use_uid user = user01

该配置使用了 pam_succeed_if.so 模块,更多相关信息参阅 Linux-PAM configuration file syntax

配置解释:

1、第一行检查目标用户是否是user02,如果是则无操作继续下一行检查当前用户(success=ignore);如果不是,则下一行被跳过,当前两行配置执行结束(default=1),继续执行其他配置行。

2、第二行检查当前用户是否是user01,如果是,则认证成功,并返回(sufficient);如果不是,则当前两行配置执行结束,继续执行其他配置行。

更多配置

1、限制su到一个组,组内允许的账户不需要密码即可切换:

auth sufficient pam_succeed_if.so use_uid user ingroup allowedpeople

2、使用sudo免密切换到其他普通用途:

在配置文件/etc/sudoers.d/custom中添加如下配置:

user01 ALL=(user02:user02) NOPASSWD:ALL

user01使用sudo su - user02可以不受密码限制进行切换。

参考链接:https://unix.stackexchange.com/questions/113754/allow-user1-to-su-user2-without-password

标签: Linux, 切换, 配置, su, 普通用户, pam, user02, so, user01

相关文章推荐

添加新评论,含*的栏目为必填