Recherche de site Web

Comment passer (su) à un autre compte utilisateur sans mot de passe


Dans ce guide, nous montrerons comment passer à un autre compte utilisateur ou à un compte utilisateur spécifique sans nécessiter de mot de passe. Par exemple, nous avons un compte utilisateur appelé postgres (le compte système superutilisateur PostgreSQL par défaut), nous voulons que chaque utilisateur (généralement notre base de données PostgreSQL et administrateurs système) dans le groupe appelé postgres pour basculer vers le compte postgres à l'aide de la commande su sans saisir de mot de passe.

Par défaut, seul l'utilisateur root peut basculer vers un autre compte utilisateur sans saisir de mot de passe. Tout autre utilisateur sera invité à saisir le mot de passe du compte utilisateur vers lequel il bascule (ou s'il utilise la commande sudo, il sera invité à saisir son mot de passe), s'il ne fournit pas le mot de passe correct, il obtient une erreur « échec de l'authentification », comme indiqué dans la capture d'écran suivante.

Vous pouvez utiliser l'une des deux solutions fournies ci-dessous pour résoudre le problème ci-dessus.

1. Utilisation du module d'authentification PAM

Les PAM (Modules d'authentification enfichables) sont au cœur de l'authentification des utilisateurs sur les systèmes d'exploitation Linux modernes. Pour permettre aux utilisateurs d'un groupe spécifique de basculer vers un autre compte utilisateur sans mot de passe, nous pouvons modifier les paramètres PAM par défaut de la commande su dans le /etc/pam.d/su fichier .

vim /etc/pam.d/su
OR
sudo vim /etc/pam.d/su

Ajoutez les configurations suivantes après « auth suffisant pam_rootok.so », comme indiqué dans la capture d'écran suivante.

auth       [success=ignore default=1] pam_succeed_if.so user = postgres
auth       sufficient   pam_succeed_if.so use_uid user ingroup postgres

Dans la configuration ci-dessus, la première ligne vérifie si l'utilisateur cible est postgres, si c'est le cas, le service vérifie l'utilisateur actuel, sinon la ligne default=1 est ignorée et les étapes d'authentification normales sont exécutées.

auth       [success=ignore default=1] pam_succeed_if.so user = postgres

La ligne qui suit vérifie si l'utilisateur actuel est dans le groupe postgres, si oui, le processus d'authentification est considéré comme réussi et renvoie suffisant en conséquence. Sinon, les étapes normales d'authentification sont exécutées.

auth       sufficient   pam_succeed_if.so use_uid user ingroup postgres

Enregistrez le fichier et fermez-le.

Ensuite, ajoutez l'utilisateur (par exemple aaronk) que vous souhaitez su au compte postgres sans mot de passe au groupe postgres en utilisant la commande usermod.

$sudo usermod -aG postgres aaronk

Essayez maintenant de su le compte postgres en tant qu'utilisateur aaronk, vous ne devriez pas être invité à saisir un mot de passe, comme indiqué dans la capture d'écran suivante :

su - postgres

2. Utilisation du fichier Sudoers

Vous pouvez également su à un autre utilisateur sans exiger de mot de passe en apportant quelques modifications dans le fichier sudoers. Dans ce cas, l'utilisateur (par exemple aaronk) qui va basculer vers un autre compte utilisateur (par exemple postgres) doit être dans le fichier sudoers ou dans le groupe sudo pour être capable d'invoquer la commande sudo.

sudo visudo

Ajoutez ensuite la configuration suivante sous la ligne «%sudo ALL=(ALL:ALL) ALL» comme indiqué dans la capture d'écran suivante.

aaronk ALL=NOPASSWD: /bin/su – postgres

Enregistrez et fermez le fichier.

Essayez maintenant de su sur le compte postgres en tant qu'utilisateur aaronk, le shell ne devrait pas vous demander de saisir un mot de passe :

sudo su - postgres

C'est tout pour le moment! Pour plus d'informations, consultez la page de saisie du manuel PAM (man pam.conf) ainsi que celle de la commande sudo (man sudo).

man pam.conf
man sudo