我想授权给普通用户做pipe理员。 以便这些授权用户可以创build账户,删除账户,修改密码,修改密码规则。 我知道苏可以帮助,我想知道有没有其他方法可行? 非常感谢!
sudo是通常的方法(man sudo)。 它允许你指定一个特定的用户可以运行一组特定的命令作为一个不同的特定用户(通常,但并非总是root),用他们自己的密码对他们进行validation以certificate他们是他们,已经完成了。 用户和命令可以分组以便于pipe理。
请注意,可能存在允许shell访问或编辑任意文件的命令问题; 如果说你允许某人以根为根本,那么你就会信任他们做根本的事情(尽pipe有可能采取的减轻措施)。 但是,除了这些问题,这是一个很好的信任委托系统,我知道大多数系统pipe理员已经使用了很多年了。
你到底在做什么? 如果您的情况是提供电子邮件或网页服务,并且您希望将这些帐户的帐户pipe理委托给其他用户,那么将这些帐户与实际系统帐户分开可能是个好主意。 这样,限制人们在服务器上做的事情就变得简单明了了。 因此,只保留/ etc / passwd中的系统帐户,并将所有其他内容分隔到MySQL / OpenLDAP /其他系统。
既然我不知道你真的要做什么,我不打算写一个长的教程,但这里是概念。 我在这里假设你需要提供一个电子邮件服务,并且某人(或某些东西,比如Perl脚本)需要修改用户帐户。 让我们把帐户放到OpenLDAP。
1)安装您select的POP / IMAP服务器软件。 大多数(如果不是全部的话)确实支持PAMauthentication。
2)安装pam_ldap(很可能是nss_ldap),所以你可以指定authentication阶段从OpenLDAP查找帐户。
4)configuration您的邮件软件使用LDAP和/或修改/etc/pam.d/{pop3,imap}以使用pam_ldap。
5)用所需的LDAP模式创build您的初始OpenLDAP数据库。 有OpenLDAP捆绑的脚本可以为你做到这一点。
6)安装您select的LDAPpipe理工具。 命令行工具,Web界面,GUI和API都是可用的。
7)让您的受托人访问您的LDAPpipe理界面。
8)确保只有通过LDAPauthentication的电子邮件服务可用,而不是其他服务,例如正常的shelllogin。
9)砰! 您的受托人可以pipe理您的电子邮件帐户,但不会轻易伤害您的服务器。