在RHEL5中，如何授权普通用户使用诸如userdel和useradd之类的命令

Question

我想授权普通用户担任管理员。这样，这些授权用户就可以创建帐户、删除帐户、修改密码、修改密码规则。我知道苏能帮上忙，我想知道还有什么其他的方法可以用吗？非常感谢!

Answer 1

数独是通常的方法。它允许您指定特定用户可以作为不同的特定用户运行特定的命令集(通常，但不总是根用户)，使用自己的密码对它们进行身份验证，以证明它们是它们，并记录它们所做的事情。可以对用户和命令进行分组，以便于管理。

请注意，允许shell访问或编辑任意文件的命令可能会出现问题；例如，如果您允许某人将sudo作为root，那么您实际上是信任他们将任何事情作为root进行处理(尽管可以对此采取缓解措施)。但是，撇开这些问题不谈，这是一个很好的委托信任系统，我知道大多数系统管理员已经使用它多年了。

Answer 2

你到底想达到什么目的？如果在您的情况下，您提供电子邮件或网页服务，并且希望将这些帐户的帐户管理委托给其他用户，那么将这些帐户与实际系统帐户分开可能是一个好主意。这样限制人们在您的服务器上所能做的事情就容易得多了。因此，只将系统帐户保存在/etc/passwd中，并将其他所有内容分离到MySQL/OpenLDAP/其他系统。

因为我不知道你到底要做什么，所以我不会输入一个长的教程，但简单地说，这是一个概念。我在这里假设您需要提供电子邮件服务，并且需要有人(或类似Perl脚本)修改用户帐户。让我们把账户转到OpenLDAP。

1)安装您选择的POP/IMAP服务器软件。大多数(如果不是全部)都支持PAM身份验证。

2)安装pam_ldap (很可能是nss_ldap)，这样您就可以指向身份验证阶段从OpenLDAP查找帐户。

4)将邮件软件配置为使用LDAP和/或修改/etc/pan.d/{pop3、imap}以使用pam_ldap。

5)使用所需的LDAP模式创建初始OpenLDAP数据库。有一些与OpenLDAP捆绑在一起的脚本可以为您完成这一任务。

6)安装您选择的LDAP管理工具。命令行工具、web接口、GUI和API都是可用的.

7)让受托人访问LDAP管理接口。

8)确保只有通过LDAP身份验证才能获得电子邮件服务，而不是其他服务，例如普通shell登录。

9)砰！您的受托人可以管理您的电子邮件帐户，但不容易损害您的服务器。