Quantum1です。 松本さん、うまくいきました。ありがとうございます! On 03/08/2010 02:16 AM, Satoru Matsumoto wrote:
松本です。 [snip]
自分が以前 11.0 を設定したときのメモが手元に残っていたのですが、それを見 てみたら…
/etc/pam.d/su 及び、/etc/pam.d/su-l の先頭に以下の行を追加する。
auth required /lib/security/pam_wheel.so group=wheel
…とありました。同じ設定でいいかどうか検証してはいませんが、11.2 でも /etc/pam.d 以下には su の他に su-l という設定ファイルがありますので、 su - の挙動を制御したい場合はこちらをいじる必要があると思います。今こち らの手元の環境で確認する時間的な余裕がないのですが、試してみてください。
その他の設定については、おそらく報告してくださっている内容で OK だと思い ます。
確認後、いろいろ付け足したのを全て消してみてもOKでした。 1. /etc/login.defsの最後の行の"SU_WHEEL_ONLY yes"。 これに関しては、webで見つけた「Manpage of LOGIN.DEFS」の最後に、 「shadow パスワード機能によって提供されてきた機能の大部分は、現在は PAM によって処理されている。したがって、 login(1), passwd(1), su(1) などのプ ログラムは、もはや /etc/login.defs を用いない。対応する PAM の設定ファイ ルを調べるようにしてほしい。」との記載がありましたので、はずしました。 2. "/etc/pam.d/su"と"/etc/pam.d/su -l"では auth requrired pam_wheel.so のみで、use_uidとgroup=wheelはコメントアウトしてもOKでした。 3. /etc/groupのwheelではrootをはずし、 "wheel:x:10:my-user-name"のみでOKでした。tty2からrootでログインして "# su - my-user-name"でmy-user-nameになれます。 (2.や3.を説明できませんが、、) 結果 "/etc/pam.d/su"と "/etc/pam.d/su-l"で auth requrired pam_wheel.so "/etc/group"で wheel:x:10:my-user-name この3つの変更でother-user-nameから"su"や"su -"によるrootへの昇格、 及び、my-user-nameへの変更が拒否されました。 検索するときに"su" "su -"の区別の仕方が分からず、困っていました。 openSUSEはsuとsudoの一方を標準から外していないdistributionなので、僕が仕 事ではなくめんどうを見ているけど、自分は普段使っていないコンピュータの管 理をする時など、適宜使えるように勉強しようと思っています。 お忙しい中教えてくださり、重ねてありがとうございます。 -- To unsubscribe, e-mail: opensuse-ja+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ja+help@opensuse.org