sudoers
blue@www-ep.sci.hokudai.ac.jp
作業:高橋共馬・杉山耕一朗
◎ sudo の設定
○作業者
高橋共馬 地惑D2
杉山耕一朗 地惑M1
○目的
専攻サーバにおいてメーリングリストの管理は
一般ユーザに任せ,管理者は全く手出しをしないことを基本にする.
例えば ep-core というグループに属する人が
epnetfan というメーリングリストを作りたい場合を考える.
申請を受けることで管理者は "epnetfan" というユーザを作る
(パスワードフィールドは消してログインできなくしておく).
ep-core な人達は /home/epnetfan の下の .qmail に
そのメーリングリストのメンバーを書き込み,
メーリングリストを管理,維持する.
.qmail はファイルの所有者(epnetfan)以外に対して書き込み許可を
与えないので,ep-core な人達は sudo を使って
.qmail の所有者(epnetfan)のふりをする必要がある
(これはメーリングリスト管理プログラム ezmlm を使う場合にも
言えることである).
今回は上記の目的を達成するために sudo の機能を調べ,
あるグループに属する人が sudo を使って
ある一般ユーザの権限を持つには
どのような設定をすればいいかを調べた.
○作業
$ man sudoers
sudo の設定ファイル /etc/sudoers の書き方が書かれているので
これを参考にする.
例が豊富に書かれているのでかなり使える.
熟読の結果,以下の様に編集すればいいことがわかった.
$ vi /etc/sudoers
%ep-core ALL=(epnetfan) ALL
の 1 行を書き加える.
●各フィールドの意味
・%ep-core
- sudo できるユーザの設定."%" はグループを表す.
・ALL =...
- ホストに対する許可
( /etc/sudoers にホストに対するエイリアスを書かない限り
ALL にしておけばいいようだ)
・(epnetfan)
- sudo されるユーザ名
・ ALL
- 利用できるコマンドの制限
( ALL ならばカッコで括ったユーザの使える
全てのコマンドを利用できる)
○使い方
$sudo -u epnetfan
-u オプションを付ける必要がある.
これで epnetfan の権限でファイルに読み書きができるようになる.
○参考資料
$ man sudoers (オンライン マニュアル)