Comment passer (su) à un autre compte utilisateur sans mot de passe
Dans ce guide, nous montrerons comment passer à un autre compte utilisateur ou à un compte utilisateur spécifique sans nécessiter de mot de passe. Par exemple, nous avons un compte utilisateur appelé postgres (le compte système superutilisateur PostgreSQL par défaut), nous voulons que chaque utilisateur (généralement notre base de données PostgreSQL et administrateurs système) dans le groupe appelé postgres pour basculer vers le compte postgres à l'aide de la commande su
sans saisir de mot de passe.
Par défaut, seul l'utilisateur root peut basculer vers un autre compte utilisateur sans saisir de mot de passe. Tout autre utilisateur sera invité à saisir le mot de passe du compte utilisateur vers lequel il bascule (ou s'il utilise la commande sudo, il sera invité à saisir son mot de passe), s'il ne fournit pas le mot de passe correct, il obtient une erreur « échec de l'authentification », comme indiqué dans la capture d'écran suivante.
Vous pouvez utiliser l'une des deux solutions fournies ci-dessous pour résoudre le problème ci-dessus.
1. Utilisation du module d'authentification PAM
Les PAM (Modules d'authentification enfichables) sont au cœur de l'authentification des utilisateurs sur les systèmes d'exploitation Linux modernes. Pour permettre aux utilisateurs d'un groupe spécifique de basculer vers un autre compte utilisateur sans mot de passe, nous pouvons modifier les paramètres PAM par défaut de la commande su dans le /etc/pam.d/su fichier .
vim /etc/pam.d/su
OR
sudo vim /etc/pam.d/su
Ajoutez les configurations suivantes après « auth suffisant pam_rootok.so », comme indiqué dans la capture d'écran suivante.
auth [success=ignore default=1] pam_succeed_if.so user = postgres
auth sufficient pam_succeed_if.so use_uid user ingroup postgres
Dans la configuration ci-dessus, la première ligne vérifie si l'utilisateur cible est postgres, si c'est le cas, le service vérifie l'utilisateur actuel, sinon la ligne default=1
est ignorée et les étapes d'authentification normales sont exécutées.
auth [success=ignore default=1] pam_succeed_if.so user = postgres
La ligne qui suit vérifie si l'utilisateur actuel est dans le groupe postgres, si oui
, le processus d'authentification est considéré comme réussi et renvoie suffisant en conséquence. Sinon, les étapes normales d'authentification sont exécutées.
auth sufficient pam_succeed_if.so use_uid user ingroup postgres
Enregistrez le fichier et fermez-le.
Ensuite, ajoutez l'utilisateur (par exemple aaronk) que vous souhaitez su
au compte postgres sans mot de passe au groupe postgres en utilisant la commande usermod.
$sudo usermod -aG postgres aaronk
Essayez maintenant de su
le compte postgres en tant qu'utilisateur aaronk, vous ne devriez pas être invité à saisir un mot de passe, comme indiqué dans la capture d'écran suivante :
su - postgres
2. Utilisation du fichier Sudoers
Vous pouvez également su
à un autre utilisateur sans exiger de mot de passe en apportant quelques modifications dans le fichier sudoers. Dans ce cas, l'utilisateur (par exemple aaronk) qui va basculer vers un autre compte utilisateur (par exemple postgres) doit être dans le fichier sudoers ou dans le groupe sudo pour être capable d'invoquer la commande sudo.
sudo visudo
Ajoutez ensuite la configuration suivante sous la ligne «%sudo ALL=(ALL:ALL) ALL»
comme indiqué dans la capture d'écran suivante.
aaronk ALL=NOPASSWD: /bin/su – postgres
Enregistrez et fermez le fichier.
Essayez maintenant de su
sur le compte postgres en tant qu'utilisateur aaronk, le shell ne devrait pas vous demander de saisir un mot de passe :
sudo su - postgres
C'est tout pour le moment! Pour plus d'informations, consultez la page de saisie du manuel PAM (man pam.conf) ainsi que celle de la commande sudo (man sudo).
man pam.conf
man sudo