私はSolarisで実験をしてきたので、それを設定するroles方法を知りたいです。password
自分が作成したロールを複数のユーザーが使用できるようにしたいので、パスワードを1人のユーザーと同じにすることは(ルートロールの場合と同じように)オプションではありません。複数のユーザーが1つのパスワードを「共有」(知る)するのは悪い考えだと聞きました。結局、その理由はまさにこれだからですsudo。
これで空のパスワードを設定しました(「Enter」のみを押します)。フィールドを空白にするか、/etc/shadow「NP」に設定せずに...passwd空白に設定して実行します(「Enter」を2回押します)。結果として生成された暗号化された項目は、驚くほど長く歪んでいます。
最初の質問はroleパスワードを空白(「Enter」)のままにしておくのは安全ですか? 最終的には、その役割を持ってログインしたユーザーだけがこれを引き受けることができます。
いくつかの追加の質問:
ユーザーがrootの役割を認証するために(役割のパスワードをユーザーのパスワードに変更せずに)、ユーザーが自分のパスワード(役割のパスワードではない)を使用することを指定する役割仕様にはどのような方法がありますか?役割)?そうでない場合は、これを達成するための別の方法があります(例:sudo- おそらく?と一緒に使用してsu?それではどうなりますか?)?
root-roleは「最初のユーザー」のパスワードにどのようにバインドされますか?自動的に発生する役割仕様のフィールドですか?この事が起こるように後ろで何が起こるか。
答え1
はい、役割からパスワードを削除しても安全です。実際、私のサイトはデフォルトでこれを行います(ルートロールを除く)。
指摘したように、ロールがすでにユーザーに対して認証されていると仮定すると、再認証を要求するのは実際にはあまりにも多くの認証IMHOです。
私もこれがあなたの2番目の質問に対する答えであると信じています。キャラクターのパスワードを削除してください!
役割からパスワードを削除する方法に関するいくつかの注意事項です。次の文字の名前はですroleX。
Solaris 10から
私にとっては、次のことを行うだけで十分でした。
passwd -r files -d roleX
Solaris 11から
PASSREQSun / Oracleのパラメータの適用が一部変更されました/etc/default/login(詳細については、マニュアルページを参照してください。)login)。パスワードなしで役割を作成するには、Solaris 10の各役割アカウントに対して次のことを行う必要があります。しかもグローバル設定PASSREQパラメータと同様に「NO」です/etc/default/login。
私の考えでは、それがPASSREQ最後の防衛線です。アカウントにパスワードが含まれないようにするには、各アカウントからパスワードを物理的に削除する必要があります。 Solarisに(私の提案)のような設定があったらと思います。PASSREQROLEこれが可能かどうか教えてもらえますか?役割アカウントパスワードなし(説明など、すべてのアカウントにパスワードを提供する代わりにPASSREQ)