ホイールグループ（FreeBSD）の1人のユーザーにパスワードなしでsuアクセスを許可するにはどうすればよいですか？

Question

/etc/pam.d/suに適切な構成行を追加することにより、すべてのホイールグループユーザーに対してパスワードなしでsuを有効にする方法を知っています。

すべてのホイールユーザーに対してこれを有効にするのではなく、特定の1人のユーザーに対してのみ有効にします。

私はFreeBSD8.1を使用しています。どうすればよいですか？

以下のコメントに応じて更新

これはpfSenseボックスです。基盤となるOSはFreeBSD8.1ですが、pfSenseの通常のように、多くの機能、特にportsコレクション全体が欠落しています。ルートパスワードを入力せずに、1人の特権ユーザー（ホイールグループ内）がsuを呼び出せるようにしたいと思います。 PAMを使用するすべてのホイールユーザーに対してこれを有効にするのは簡単です。特定のユーザーのパスワードをバイパスできるようにするための正しいPAM構成がわかりません。私は、どの程度の変更を加えることができるかという会社の方針に制約されています。これは実行中のミッションクリティカルなマシンであり、誤ってダウンさせるリスクを冒すことはできません。私はこのマシンの管理を継承しましたが、現時点では、その構成を大幅に変更することは現実的ではなく、許可されていません。私はPAMを持っています。須藤はいない。やりたかったのですが、しません。

Mark Wagner · Accepted Answer

FreeBSDにはユーザープライベートグループがありますか？そうでない場合は、グループを作成し、そのユーザーのみをグループに入れます。次に/etc/pam.d/su次のようなものを追加します

auth            sufficient      pam_group.so            no_warn group=foo

ここで、fooはグループ名です。

auth sufficient pam_group.so no_warn group=foo

ここで、fooはグループ名です。

mdpc · Answer

これを行うには、Sudoを使用することをお勧めします。それは簡単でよくテストされた方法です。

詳細については、Sudoのmanページを参照してください。

mdpc · Answer

ホイールグループに1人のユーザーだけを入れることの何が問題になっていますか？

David G · Answer

Mark Wagnerが解決策を考え出し、感謝します。グループnopwを作成し、それに特権ユーザーを追加しました。次に、pam_group.soモジュールのみを使用して、そのグループに対して「十分な」no_warnルールを作成しました。これで、/etc/pam.d/suファイルのauthセクションは次のようになります。

auth sufficient pam_rootok.so no_warn auth sufficient pam_self.so no_warn auth sufficient pam_group.so no_warn group=nopw root_only fail_safe auth requisite pam_group.so no_warn group=wheel root_only fail_safe auth include system