LINUX.ORG.RU
ФорумAdmin

Не работает pam или группы пользователей

 


0

1

Хочу сделать команду su группе moderator. Но почему-то не работает. В видеоуроки все работает , хм

#%PAM-1.0
auth		sufficient	pam_rootok.so
auth            required        pam_moderator.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth		sufficient	pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth		substack	system-auth
auth		include		postlogin
account		sufficient	pam_succeed_if.so uid = 0 use_uid quiet
account		include		system-auth
password	include		system-auth
session		include		system-auth
session		include		postlogin
session		optional	pam_xauth.so

Немного покапался и походу понял что проблема в группах.

Пытаюсь удалить человека из группы но не выходит

[gedat@gorcraft ~]$ sudo gpasswd -d n20pro designer
Удаление пользователя n20pro из группы designer
gpasswd: пользователь «n20pro» не является членом «designer»
[gedat@gorcraft ~]$ id n20pro
uid=1001(n20pro) gid=1003(designer) группы=1003(designer),1002(moderator)
[gedat@gorcraft ~]$

В чём может быть проблема ?


gpasswd относится к /etc/group, а designer для n20pro является login group и прописано в /etc/passwd. Нельзя просто удалить login-группу у пользователя, можно только переместить в другую, за этим к команде usermod (или ручному редактированию /etc/passwd).

По первому вопросу не понял, откуда взялась группа moderator, какой видеоурок? Что за модуль pam_moderator.so?

mky ★★★★★ ()
Ответ на: комментарий от mky

Вот в статье описано

Как внести пользователя в группу wheel

Для этого существует команда:
usermod -a -G wheel имя-пользователя
например:
usermod -a -G wheel username

Эта команда добавляет пользователя username в группу wheel. Если при этом пользователь состоит в одной или нескольких других группах, членство во всех группах сохраняется, просто пользователь добавляется в еще одну (дополнительную) группу.

Теперь проверьте, что все выполнено правильно. Для этого существует команда:
id имя-пользователя
например:
id username

Будет отображен ID пользователя, имя пользователя, а также ID и имя каждой группы, к которой пользователь принадлежит. Убедитесь, что все необходимые пользователи добавлены в группу wheel.

Запуск su только пользователями из группы wheel

Откройте в Вашем текстовом редакторе файл: /etc/pam.d/su
В этом файле найдите строку, подобную следующей:
auth required pam_wheel.so
или
auth required pam_wheel.so use_uid
По умолчанию эта строка начинается со знака "#", это энак комментария. Уберите знак комментария из начала этой строки и сохраните файл.

Всё! Теперь только пользователи из группы wheel могут выполнять команду su и повышать свои привилегии до root. Не забудьте это проверить!

Создал группу moderator , добавил туда пользователя n20pro. Отсюда и взялся pam_moderator.so

gedat ()
Ответ на: комментарий от gedat

pam_wheel.so - это существующий PAM-модуль. Т.е. у тебя на диске есть файл pam_wheel.so.

А ты взял и легким движением руки изобрел новый PAM-модуль pam_moderator.so. Ты бы хоть в логи заглянул - там ругань страшная. PAM пытается найти на диске файл pam_moderator.so, которого у тебя нет.

Для группы moderator нужно так:

auth            required        pam_wheel.so group=moderator

bigbit ★★★★★ ()
Ответ на: комментарий от gedat

Подскажите еще такой вопросик.

Когда создал допустим группы 1 2 3

Разрешил пользоваться командой su только группе 3.

У групп 1и2 не работает su, но если перейти в группу 3,то оттуда уже можно перейти в группу 1 к примеру и из нее уже в 2

gedat ()
Ответ на: комментарий от gedat

Правильно ли я понимаю , что когда ты находишься под пользователем 3 и пишешь команду su 2 , то ты остаешься под старым пользователем , но переходишь в пользователи 2. А когда пишешь su 1 , то не из 2 пользователя переходишь , а из 3 в которой ты изначально был. Поэтому из пользователя 2 можно перейти в пользователь 1 , потому что ты попрежнему привязан к пользователю 3

gedat ()