Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[sudo] Utilisateurs dynamiques

badfoo

Bonjour,

J'ai un WebService "serveur" que je dénommerais "manager"
"manager" est autorisé à créer de nouveaux utilisateurs dénommés "user-ID" (ID étant dynamique(1,2...))

Cmnd_Alias MANAGER = /usr/sbin/adduser
manager   ALL=(ALL) NOPASSWD:MANAGER

Rien de bien compliquer jusque là.
Maintenant, "manager" devra pouvoir se loguer en tant que "user-ID" pour effectuer diverses tâches via "sudo su user-ID", mais je bloque totalement su la façon de le faire.

Y'a t-il un moyen, par exemple, d'autoriser "manager" à utiliser "/bin/su" uniquement sur le groupe des "user-ID", et refuser "/bin/su" sans arguments/sur un utilisateur dont le group ne fait pas parti de "manager" ? Ou au moins de refuser le login "root" sur "manager" sachant qu'il n'y aura pas d'autres utilisateurs "critiques" sur le serveur.

Mais l'idée de pouvoir restreindre les commandes "sudo su user-ID" ou encore "sudo deluser user-ID" uniquement sur le groupe des utilisateurs du "manager" serait quand même plus appropriée

j'ai beau relire le man et googler, je n'arrive pas à mes fins.

Merci d'avance

badfoo

Bon du coup j'ai re-re-re-lu le man et la (seule) regex a retenu mon attention

Cmnd_Alias MANAGER = /usr/sbin/adduser, /bin/su user-[0-9]*, /usr/sbin/deluser user-[0-9]*

$ sudo su user-15464654654
identifiant inconnu : user-15464654654
$ sudo su baduser-15464654654
[sudo] password for root:

clair et efficace