Solaris / OpenIndiana: Пароль для ролей?

Я осторожно экспериментировал с roles в Solaris и немного задался вопросом о настройке password для него.

Я хочу, чтобы роль, которую я создал, использовалась несколькими пользователями, поэтому установка пароля для одного пользователя (как это делается для корневой роли) не является вариантом. Имея несколько пользователей, «разделяющих» (зная) один пароль, я слышал, это плохая идея – это все-таки разумное решение sudo .

Поэтому на данный момент я установил пустой пароль (просто «Enter»). Я сделал это, не оставив поле в /etc/shadow пустым или не установив его в «NP» … Я сделал это, используя passwd чтобы установить его в ничто (дважды нажмите «Ввод»), и полученная зашифрованная запись была удивительно длинный и обреченный.

Итак, мой первый вопрос; безопасно ли оставить role пустым («Enter») в качестве пароля? В конце концов, только зарегистрированные пользователи с этой ролью могут принять это …

Еще несколько вопросов:

Есть ли какой-то способ в спецификации роли, чтобы указать, что пользователь должен аутентифицироваться со своим собственным паролем, а не ролью, – переключиться на роль (не изменяя пароль роли с правами пользователя, как я полагаю, это делается с помощью корневой-роль)? Если нет, существуют ли другие способы (например, с помощью sudo – возможно, в сочетании с su ? Если да, то как?), Чтобы выполнить это?

Как root -role связан с паролем «первого пользователя»? Является ли какое-то поле в ролевой спецификации, что делает это автоматически? Что происходит за кулисами, чтобы это произошло?

Да, безопасно удалить пароль из роли. Фактически на моем сайте мы делаем это более или менее по умолчанию (за исключением роли root).

Поскольку вы указываете, что пользователь, который принимает роль, уже прошел проверку подлинности, поэтому попросить его пройти аутентификацию еще раз – это просто слишком много аутентификации IMHO.

Я считаю, что это также отвечает на ваш второй вопрос. Просто удалите пароль из роли!

Несколько замечаний о том, как удалить пароль из роли. В дальнейшем эта роль называется roleX .

В Solaris 10

Мне всегда было достаточно просто:

 passwd -r files -d roleX 

В Solaris 11

Что-то было изменено Sun / Oracle в PASSREQ параметром PASSREQ в /etc/default/login (см. PASSREQ страницу для login ). Чтобы создать роль без пароля, вам нужно сделать так, как в Solaris 10, на каждой учетной записи ролей, а также глобально установить параметр PASSREQ в «НЕТ» в /etc/default/login .

Как я вижу, PASSREQ действует как последняя линия обороны. Вам все равно необходимо физически удалить пароль из каждой учетной записи, чтобы учетная запись не имела пароля. Я хотел бы, чтобы у Solaris была такая настройка, как PASSREQROLE (мое предложение), которая скажет, что если учетные записи ролей не будут иметь пароль, а не для всех учетных записей, как интерпретация PASSREQ ).