Script soll unter anderer UID ausgeführt werden
Hans-Dietrich Kirmse
hd.kirmse at gmx.de
Di Jan 12 09:41:51 CET 2010
Hallo Mario,
Mario Lorenz schrieb:
> Hallo Hans-Dietrich,
>
>> Es geht um Folgendes: es gibt derzeit ca. 20 Scripte zur Verwaltung von
>> Usern, Gruppen und Hosts (im LDAP). Diese sind in Perl geschrieben und
>> wurden bisher immer als root aufgerufen.
>>
>> Um diese Scripte für Lehrer leicht zu händeln, wird (von einem anderen
>> Lehrer) ein Webinterface in PHP erstellt. An diesem Webinterface muss
>> man sich als Lehrer natürlich anmelden (d.h. es liegen das Login und
>> Passwort vor) und dann wird durch ein PHP-Script eben eines dieser
>> Perlscripte aufgerufen. Das Passwort muss (eigentlich) nicht
>> abgespeichert werden, sondern "nur" weitergereicht werden.
>
> Korrekt. Wenn das Zeugs aber eh im LDAP liegt, und mit den Nutzer-Credentials
> gebunden wird, warum können die Scripte dann nicht gleich als www-data laufen?
stimmt. soweit hatte ich noch nicht gedacht.
:
> Übrigends, wenn ihr so LDAP-lastig seid,
naja, wir verwalten eigentlich nur die Accounts (einschließlich Gruppen)
und DHCP im LDAP.
> sudo kann, wennn dafür compiliert,
> auch mit LDAP umgehen. Das hab ich allerdings bislang noch nicht verwendet...
>
> Nochwas: Du erwähntest, den Scripten als zusätzlichen Parameter das Passwort
> übergeben zu wollen. Sowas macht man nicht, weil es taucht dann im Klartext in
> ps -axuww auf, was jeder User auf der Maschine just in dem Moment ausführen kann...
habe ich mir gerade angeschaut.
1. Frage: wie macht man das mit der Passwortübergabe dann richtig?
2. Frage: wie kann man das Verhalten von 'ps' systemweit ändern?
Mit freundlichen Grüßen
Hans-Dietrich