Script soll unter anderer UID ausgeführt werden

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Di Jan 12 09:41:51 CET 2010


Hallo Mario,

Mario Lorenz schrieb:
> Hallo Hans-Dietrich,
> 
>> Es geht um Folgendes: es gibt derzeit ca. 20 Scripte zur Verwaltung von
>> Usern, Gruppen und Hosts (im LDAP). Diese sind in Perl geschrieben und
>> wurden bisher immer als root aufgerufen.
>>
>> Um diese Scripte für Lehrer leicht zu händeln, wird (von einem anderen
>> Lehrer) ein Webinterface in PHP erstellt. An diesem Webinterface muss
>> man sich als Lehrer natürlich anmelden (d.h. es liegen das Login und
>> Passwort vor) und dann wird durch ein PHP-Script eben eines dieser
>> Perlscripte aufgerufen. Das Passwort muss (eigentlich) nicht
>> abgespeichert werden, sondern "nur" weitergereicht werden.
> 
> Korrekt. Wenn das Zeugs aber eh im LDAP liegt, und mit den Nutzer-Credentials
> gebunden wird, warum können die Scripte dann nicht gleich als www-data laufen?

stimmt. soweit hatte ich noch nicht gedacht.

  :

> Übrigends, wenn ihr so LDAP-lastig seid, 

naja, wir verwalten eigentlich nur die Accounts (einschließlich Gruppen)
und DHCP im LDAP.

> sudo kann, wennn dafür compiliert,
> auch mit LDAP umgehen. Das hab ich allerdings bislang noch nicht verwendet...
> 
> Nochwas: Du erwähntest, den Scripten als zusätzlichen Parameter das Passwort
> übergeben zu wollen. Sowas macht man nicht, weil es taucht dann im Klartext in
> ps -axuww auf, was jeder User auf der Maschine just in dem Moment ausführen kann...

habe ich mir gerade angeschaut.

1. Frage: wie macht man das mit der Passwortübergabe dann richtig?
2. Frage: wie kann man das Verhalten von 'ps' systemweit ändern?

Mit freundlichen Grüßen
Hans-Dietrich