デフォルトでは、sesu ユーティリティはファイル システム内でマークされているため、誰もこれを実行できません。 sesu ユーティリティを使用してユーザが他のユーザのアカウントを代理使用できるようにするには、まず sesu ユーティリティを有効にし、次にシステムの su を sesu ユーティリティに置換する必要があります。
システムの su ユーティリティを CA ControlMinder の sesu ユーティリティに置換するには、以下の手順に従います。
注: 以下の手順を実行するには、root または権限を持つ他のユーザである必要があります。
chmod +s /opt/CA/AccessControl/bin/sesu
which su
mv su_dir/su su_dir/su.ORIG
ここで、su_dir は su があるディレクトリです。
ln -s /opt/CA/AccessControl/bin/sesu su_dir/su
これで、ユーザは引き続き su コマンドを実行できますが、実際に実行されるのは sesu ユーティリティになります。
secons -s
seini -s sesu.SystemSu su_dir/su.ORIG seini -s sesu.UseInvokerPassword yes
トークン SystemSu が設定されます。これにより、CA ControlMinder が実行されていない状態では sesu は元のシステム su ユーティリティを呼び出せるようになります。
トークン UseInvokerPassword が設定され、CA ControlMinder はユーザに、root のパスワードまたは他のユーザのパスワードではなく、自分のパスワードの入力を求めます。 ユーザ置換が許可されるには、ユーザの再認証が必要になります。
seload
|
Copyright © 2013 CA.
All rights reserved.
|
|