J'installe une machine Ubuntu (10.10) qui sera utilisée par plusieurs personnes. C'est une machine partagée dans un petit bureau. Ses rôles principaux consistent à héberger des machines virtuelles avec VirtualBox et à servir des fichiers avec Samba.
Pour Samba, plusieurs comptes d'utilisateurs doivent être configurés afin que différentes personnes puissent se connecter aux partages Samba à partir de leurs propres postes de travail. Cependant, il existe également un compte dédié à l'exécution de machines virtuelles, que plusieurs personnes utiliseront. Parfois, les gens essaient de faire des choses avec ce compte qui nécessitent des privilèges élevés - cela fait apparaître la boîte de dialogue "Veuillez saisir le mot de passe d'un utilisateur administratif" de Gnome. Cependant, cette boîte de dialogue demande mon mot de passe - lorsque j'ai configuré la machine, le mien a été le premier compte créé, il semble donc supposer que je suis le seul utilisateur à disposer des pouvoirs sudo.
Je veux désigner un autre utilisateur comme "administrateur de premier recours", pour ainsi dire, et ce ne peut pas être l'utilisateur de compte partagé, car tout le monde doit connaître le mot de passe de ce compte, donc je veux que ses privilèges soient strictement limités. Il ne peut pas s'agir de mon compte, car je ne communique aucun mot de passe à d'autres personnes et je ne serai pas présent sur le site assez souvent pour le saisir moi-même. Il y a cependant quelqu'un qui peut le faire en personne, alors je les ai ajoutés /etc/sudoers
. Comment puis-je dire à Ubuntu que lorsqu'il doit élever des privilèges pour quelque chose, il doit d'abord demander son compte?
Résumer:
- Comptes sur la machine: Alice, Bob, Carol, Dave, Eliza.
- Lors de l'installation d'Ubuntu, Alice était le premier utilisateur, ajouté lors du processus d'installation.
- "Dave" est en fait un compte utilisé par de nombreuses personnes, qui ne peut pas y accéder
/etc/sudoers
car son mot de passe est de notoriété publique. - Bob a été configuré pour être un compte «administratif» dans Gnome et est correctement saisi
/etc/sudoers
- Bob est le patron de ce bureau. - Lorsque des actions nécessitant des privilèges élevés sont tentées alors que vous êtes connecté en tant que Bob, Carol, Eliza ou Dave, le système doit demander les informations d'identification de Bob.
- Lorsque des actions nécessitant des privilèges élevés sont tentées en étant connecté en tant qu'Alice, le système doit demander les informations d'identification d'Alice (bien qu'Alice soit en quelque sorte un administrateur système buckaroo et ait l'habitude de l'utiliser
su -
pour effectuer des tâches d'administration étendues).
Quels changements de configuration dois-je apporter pour obtenir l'état souhaité ici?
sudoers
: ce n'est pas un premier recours à cause de problèmes de sécurité. Voir aussi la réponse d'Enzotib - une partie du problème était la confusion entre sudo
et PolicyKit.