저는 Solaris에서 실험을 해왔고 이를 설정하는 roles방법을 알고 싶습니다 .password
내가 생성한 역할을 여러 사용자가 사용할 수 있기를 원하므로 비밀번호를 한 사용자와 동일하게 설정하는 것은(루트 역할의 경우처럼) 옵션이 아닙니다. 여러 사용자가 하나의 비밀번호를 "공유"(알게)하는 것은 좋지 않은 생각이라고 들었습니다. 결국 그 이유는 바로 이것이기 때문입니다 sudo.
이제 빈 비밀번호를 설정했습니다("Enter"만 누르세요). 필드를 공백으로 두거나 /etc/shadow"NP"로 설정하지 않고... passwd공백으로 설정하여 수행합니다("Enter"를 두 번 누름). 결과로 생성된 암호화된 항목은 놀라울 정도로 길고 왜곡되어 있습니다.
첫 번째 질문은 role비밀번호를 공백("Enter")으로 두는 것이 안전한가요? 결국 해당 역할을 가지고 로그인한 사용자만이 이를 맡을 수 있습니다.
몇 가지 추가 질문:
사용자가 루트에 대한 역할을 인증하기 위해(역할의 비밀번호를 사용자의 비밀번호로 변경하지 않고) 사용자가 자신의 비밀번호(역할의 비밀번호가 아닌)를 사용해야 함을 지정하는 역할 사양에 어떤 방법이 있습니까? 역할 )? 그렇지 않다면 이를 달성하기 위한 다른 방법이 있습니까(예: sudo- 아마도 ? 와 함께 사용하여 su? 그렇다면 어떻게?)?
root-role은 "첫 번째 사용자"의 비밀번호에 어떻게 바인딩됩니까 ? 자동으로 발생하도록 하는 역할 사양의 필드인가요? 이 일이 일어나도록 뒤에서 무슨 일이 일어나는가?
답변1
예, 역할에서 비밀번호를 제거해도 안전합니다. 실제로 내 사이트에서는 기본적으로 이 작업을 수행합니다(루트 역할 제외).
지적했듯이 역할이 이미 사용자에 대해 인증되었다고 가정하면 다시 인증하도록 요청하는 것은 실제로 너무 많은 인증 IMHO입니다.
나는 이것이 또한 귀하의 두 번째 질문에 대한 답이라고 믿습니다. 캐릭터의 비밀번호를 제거하면 됩니다!
역할에서 비밀번호를 제거하는 방법에 대한 몇 가지 참고 사항입니다. 다음에서 캐릭터의 이름은 입니다 roleX.
솔라리스 10에서
나에게는 다음을 수행하는 것만으로도 충분했습니다.
passwd -r files -d roleX
솔라리스 11에서
PASSREQSun/Oracle의 매개변수 적용이 일부 변경되었습니다 /etc/default/login(자세한 내용은 매뉴얼 페이지 참조 login). 암호 없이 역할을 만들려면 Solaris 10의 각 역할 계정에 대해 다음을 수행해야 합니다.게다가전역 설정 PASSREQ매개변수에서와 같이 "NO" 입니다 /etc/default/login.
내 생각에는 그것이 PASSREQ최후의 방어선이다. 계정에 비밀번호가 없도록 하려면 각 계정에서 비밀번호를 물리적으로 제거해야 합니다. Solaris에 (내 제안)과 같은 설정이 있었으면 좋겠습니다. PASSREQROLE이것이 가능한지 알려주실 수 있나요?역할 계정비밀번호 없음(설명과 같이 모든 계정에 비밀번호를 제공하는 대신 PASSREQ)