我知道如何通过在/etc/pam.d/su添加相应的configuration行来为所有轮组用户启用su而无需密码。
我不想为所有车轮使用者启用此function,但仅限一个特定使用者。
我正在使用FreeBSD 8.1。 我该怎么做呢?
更新回应下面的评论
这是一个pfSense框。 底层操作系统是FreeBSD 8.1,但是像往常一样,pfSense缺less许多function,特别是整个端口集合。 我希望有一个特权用户(在wheel组中)能够调用su – 而不必键入root密码。 为所有使用PAM的车轮使用者启用此function非常简单。 我不知道正确的PAMconfiguration允许绕过一个特定用户的密码。 我受到公司政策的制约,我可以做多less改变。 这是一个运行,关键任务的机器,我不能冒这个意外地把它关掉。 我inheritance了这台机器的pipe理,但是对其configuration的彻底改变在目前是不可行或不允许的。 我有PAM; 我没有sudo。 我希望我做了,但是我没有。
FreeBSD是否有用户私人组? 如果不是,创build一个组,并只把它放在那个用户。 然后在/etc/pam.d/su添加类似的东西
auth sufficient pam_group.so no_warn group=foo
其中foo是组名。
我build议使用sudo来做到这一点。 这很容易,而且testing的方法很好。
请参阅sudo手册页以获取更多信息。
把一个用户放在车轮组里有什么问题?
马克·瓦格纳提出了一个解决scheme,非常感谢。 我创build了一个组nopw并添加了特权用户。 然后,我只使用pam_group.so模块为该组提供了“足够的”no_warn规则。 现在我的/etc/pam.d/su文件的auth部分如下所示:
auth sufficient pam_rootok.so no_warn auth sufficient pam_self.so no_warn auth sufficient pam_group.so no_warn group=nopw root_only fail_safe auth requisite pam_group.so no_warn group=wheel root_only fail_safe auth include system