切换用户

Linux配置允许普通⽤户免密码切换其他普通⽤户

Linux配置允许普通⽤户免密码切换其他普通⽤户

背景

业务需求：使⽤su命令将账号ur01免密码切换到ur02，不添加其他特权

操作

通过配置/etc/pam.d/su，能够实现不加⼊wheel⽤户组，不使⽤sudo命令从ur01免密码切换到ur02

具体配置：

在/etc/pam.d/su配置⽂件中pam_⾏后添加如下配置：

auth[success=ignoredefault=1]pam_succeed_=ur02

authsufficientpam_succeed__uidur=ur01

该配置使⽤了模块，更多相关信息参阅

配置解释：

1、第⼀⾏检查⽬标⽤户是否是ur02，如果是则⽆操作继续下⼀⾏检查当前⽤户（success=ignore）；如果不是，则下⼀⾏被跳过，当前两

⾏配置执⾏结束（default=1），继续执⾏其他配置⾏。

2、第⼆⾏检查当前⽤户是否是ur01，如果是，则认证成功，并返回（sufficient）；如果不是，则当前两⾏配置执⾏结束，继续执⾏其他配

置⾏。

更多配置

1、限制su到⼀个组，组内允许的账户不需要密码即可切换：

authsufficientpam_succeed__uiduringroupallowedpeople

2、使⽤sudo免密切换到其他普通⽤途：

在配置⽂件/etc/sudoers.d/custom中添加如下配置：

ur01ALL=(ur02:ur02)NOPASSWD:ALL

当ur01使⽤sudosu-ur02可以不受密码限制进⾏切换。