sesu ユーティリティ - ユーザの置換

sesu ユーティリティを使用すると、一時的に他のユーザとして操作を行うことができます。このユーティリティは、UNIX の su コマンドの バージョンです。ただし、sesu ユーティリティではユーザ代替コマンドが用意されていて、このコマンドでは、代替ユーザのパスワードを入力する必要はありません。認証プロセスは、SURROGATE クラスに定義されている のアクセス ルールに基づいて実行されます。また、コマンドを実行するユーザのパスワードに基づいて実行される場合もあります。
capamsc141
sesu ユーティリティを使用すると、一時的に他のユーザとして操作を行うことができます。このユーティリティは、UNIX の su コマンドの
PAM Server Control
バージョンです。ただし、sesu ユーティリティではユーザ代替コマンドが用意されていて、このコマンドでは、代替ユーザのパスワードを入力する必要はありません。認証プロセスは、SURROGATE クラスに定義されている
PAM Server Control
のアクセス ルールに基づいて実行されます。また、コマンドを実行するユーザのパスワードに基づいて実行される場合もあります。
sesu ユーティリティでは、seos.ini ファイルの sesu セクションにあるトークンを使用します。また、以下の特殊ファイルも使用します。
  • /etc/passwd
  • /etc/group
  • /etc/shells
このプログラムは、誤って使用されることを防ぐために、ファイル システム内でマークされており、誰もこれを実行できません。このため、セキュリティ管理者は、このプログラムを実行する前に、それが実行可能ファイルとしてマークし、ユーザ ID を root に設定する必要があります。
sesu ユーティリティを使用する前に、すべてのユーザを
PAM Server Control
データベースに定義し、前提条件を設定してください。これは、
PAM Server Control
に定義されていないユーザに対してシステム全体が開放されることを防止するためです。
sesu ユーティリティは必要に応じて強力な認証をサポートし、ユーザにワンタイム パスワードの入力を要求することができます。seos.ini ファイルの sesu セクションおよび strong_auth セクションで強力な認証をアクティブにします。
注:
強力な認証および sepromote ユーティリティの詳細については、「CA Advanced Authentication の統合」を参照してください。
使用上の注意
  • PAM Server Control
    の承認サーバが見つからない場合、ユーティリティはシステムの標準 su コマンドを実行します。
  • sesu.old_sesu 構成トークンが no に設定されている場合、ユーティリティはシステムの標準 su コマンドを実行します。
  • /etc/shells が存在していて、それが現在のシェルを指定していない場合、sesu はアカウントの代理使用を root に許可しません。
このユーティリティの構文は、以下のようになります。
sesu [-] [username] [-l] [-n] [-s shell] [-c command]
  • -
    環境をターゲット ユーザの環境に設定します。
    Linux では、
    -l
    オプションの使用と同じです。
  • -c
    command
    指定されたコマンドを実行して、終了します。
    空白を含むコマンドは、引用符で囲みます。
  • -h
    このユーティリティのヘルプ画面を表示します。
  • -l
    (Linux のみ) 開いているシェルがログイン シェルであることを示します。
  • -n
    ユーザに対してパスワードを要求しないように指定します。
    このオプションを使用した場合、このユーティリティは root アカウントとして実行され、LOGIN イベントを実行します。
    セキュリティ許可サーバが見つからない場合、ユーティリティは /bin/su を使用します。
  • -s
    shell
    (Linux のみ)ユーザのパスワード エントリのシェルの代わりに開くシェルを指定します。
    このシェルは、/etc/shells ファイルのリストにある必要があります。
  • username
    セッションに関連付けられている ID を、指定されたターゲット ユーザ
    username
    の ID に変更します。
    username
    を指定しない場合、sesu によってデフォルトで root が設定されます。
  • UID を root に変更するには、以下のコマンドを入力します。環境は、このコマンドを実行したユーザの環境のままです。
    sesu
  • UID を root に変更するには、以下のコマンドを入力します。
    環境は、root ユーザの環境に変更されます。
    sesu -
  • ユーザ John の代理ユーザになるには、以下のコマンドを入力します。
    sesu John
  • ユーザ Carol の代理になり、指定されたコマンド ls -la を /home/carol ディレクトリから実行するには、以下のコマンドを入力します。
    sesu - Carol -c "ls -la /home/carol"
  • 以下のコマンドを使用して、ユーザ Angelo の代理ユーザになり、bash シェルを使用し、それをログイン シェルとして開きます。
    sesu Angelo -l -s /bin/bash
    このコードは、Linux でのみ有効です。