"sudo" bei Solaris 10

[AndreasF]

Hallo,

ich habe in der SMC bei Benutzer/Administrative Aufgaben/ die Aufgabe "admin" angelegt und ihr die Rechte "Primary Administrator" gewährt.
Weiter habe ich meinem Benutzer den Aufgabenbereich "admin" zugewiesen.

Nun kann ich über "su admin" die entsprechende Rolle übernehmen.
Aber sollte ich nicht nun auch das Kommando pfexec fast so wie sudo bei Ubuntu benutzen können. Also pfexec rmdir um fremde Verzeichnisse zu löschen, ohne su zu benutzen?

Mein Frage ist nun: Wo ist mein Denkfehler.

Noch ein paar Informationen:
Die Shell meines Users ist die bash.
pfexec liegt im path.
Das Solaris ist 5.10 generic_137137-09 sun4u.

Vielen Dank schonmal.

[Drusus]

Moin,

mit pfexec kann ein Benutzer auf die Profiles zugreifen, die ihm zugewiesen sind. In deinem Fall hat offenbar nur die Rolle "admin" dieses Profile.
Schau am besten mal mit "profiles" oder "profiles -l" nach auf was dein normaler Benuzter aktuell zugreifen kann.
Wenn der Benuzter ohne den Umweg der "admin" Rolle auf die erweiterten Admin-Rechte zugreifen koennen soll, dann musst du das gewuenschte Profile direkt dem Benutzer zuweisen. Erst danach wird ein pfexec wie gewuenscht klappen (wobei ich da eher eine Profile-Shell, also z.B. pfsh, pfcsh, pfksh etc. vorziehen wuerde).

Du hast aktuell offenbar eine Rolle angelegt, der Rolle ein Profile zugewiesen und dem Benutzer Zugriff auf die Rolle gegeben. Deswegen muss der Benuzter aktuell auch die Rolle annehmen (su) bevor er die Rechte nutzen kann.
Du moechtest offenbar, dass der Benutzer direkt (per pfexec oder Profile-Shell) auf die Rechte zugreifen koennen soll. Dafuer brauchst du keine separate Rolle sondern musst dem Benutzer direkt das Profile zuweisen.

Tschau,
  Drusus.

[AndreasF]

Danke, das funktioniert.
Dann sind das also beides verschiedene Wege um im Endeffekt das Gleiche zu erreichen. Eine privilegierte Shell möchte ich nicht benutzen. Dann könnte ich ja gleich die Rolle übernehmen. Ich möchte die Warnwirkung eines vorangestellten sudo, bzw pfexec haben, bzw wie schnell übersieht man, daß man doch noch in einer privilegierten shell ist und das auch noch an einem ganz anderen Ort als gedacht.

Edit: Und wie kann ich machen, daß die Rolle "admin" und somit mein User, wenn er sich diese Rolle per su holt die gleichen path variablen, etc wie root hat?

[Drusus]

Edit: Und wie kann ich machen, daß die Rolle "admin" und somit mein User, wenn er sich diese Rolle per su holt die gleichen path variablen, etc wie root hat?

Die Rolle "admin" ist ein Benutzer wie andere auch (ausser dass man sich nicht direkt als dieser einloggen kann sondern per su diese Rolle annehmen muss wenn man denn darf). Ergo kannst du in dem Home-Verzeichnis dieses Benutzers auch die entsprechenden "dot-files" (also z.B. .profile .cshrc etc.) anlegen. Dort werden dann die gewuenschsten Einstellungen getaetigt.

Der Benutzer sollte dann "su - admin" nutzen um diese Dateien auch mit auszufuehren und das komplette Environment (incl. Path etc.) zu setzen.

Tschau,
  Drusus.