Hej!

Jeg forsøger at komme frem til en måde for mig at automatisere visse processer. Jeg er nødt til at gøre dette via ssh. Hvad jeg prøver at gøre, er at have "rubrik A" oprette forbindelse til "rubrik B" som "bruger-A" og udføre en kommando som "bruger B" (sudoer). Det skal gøres på denne måde på grund af revisions-og sikkerhedspolitik. Dette er på Solaris 8

Her er hvordan jeg har det setup nu:

Rubrik A har forbindelse til rubrik B
Bruger A har logins på begge rubrik A og i rubrik B
Bruger A sluttes til rubrik B fra rubrik A og sudo's brugerefterspørgselsforvridning B

Her er hvad jeg har i sudoers fil:

User_Alias USERA \u003d userA
Cmnd_Alias SU_USERA \u003d / usr / bin / su - BrugerB
USERA ALL \u003d NOPASSWD: SU_USERA


Så jeg forbinde til rubrik A og type:
ssh-t boxB "sudo su - BrugerB / opt / RAH / RAH / RAH / command.sh">> / nogle / log / dir

Det enten ændrer ikke bruger eller den beder om en adgangskode. Scriptet holder en log i et bibliotek som ejes af BrugerB og, hvis det ikke ændre den bruger, der står "kan ikke oprette, tilladelse nægtet". I modsat fald sidder der beder om en adgangskode. Jeg har prøvet at sætte den fulde kommando i sudoers og det ikke virker. Enhver har ideer? BTW, dette vil i sidste ende blive sat under Autosys kontrol.

Tak!

Foreslår, at du indstiller log for at gå til en mappe enten bruger A eller bruger B kan skrive til (bare for at komme uden om, at udstedelse af tilladelser). Også køre en ssh som bruger A fra rubrik A til rubrik B, der ikke kører sudo til bruger B, netop for at sikre, at password er det kræver, er ikke til de faktiske ssh versus ændringen af ID.

Prøv at give den fulde sti til din su kommandoen:
change "sudo su - BrugerB / opt / RAH / RAH / RAH / command.sh"
til "sudo / usr / bin / su - BrugerB / opt / RAH / RAH / RAH / command.sh"

Hej! Tak for svaret.

Bruger A er autosys' login.
Bruger B er weblogic.

Desværre kommandoen til at starte en weblogic proces, og hvis det er startet af autosys id, vil det ikke virke korrekt. Kævlerne også nødt til at have weblogic: BEA tilladelser, således at weblogic gruppen kan læse dem.

Jeg har også setup en ssh-nøgle fra boksen en rubrik b, således at ingen adgangskode er nødvendig for autosys at forbinde .. værker bøde.

Sorry for ikke at afklare alle disse tidligere.

Jeg vil forsøge den fulde sti til sø og se om det virker.

Okay, jeg fik en chance for at prøve de ting, og det virkede ikke.

Hvis jeg bare ssh til rubrik b fra autosys id og derefter sudo derfra virker det vidunderligt - no password nødvendig for enten.

Det virker som om problemet er, forekommer kun, når du forsøger at kombinere ssh, sudo og en kommando.

I'm stumped.

I setup det samme scenario, og det fungerede for mig på Solaris 8, men med små ændringer.

1. Setup adgangskodebeskyttede mindre ssh for bruger "bruger-A" fra box-A til box-B

2. opsætning af sudoers (/ usr / local / etc / sudoers som sudo installeret fra SMCsudo) på rubrik-B som nedenfor:

User_Alias USERA \u003d user-A
Cmnd_Alias SU_USERA \u003d / bin / test_scr.sh
USERA ALL \u003d (ALL) NOPASSWD: SU_USERA

hvor "/ bin / test_scr.sh" ville have følgende linje (root skal være ejer af denne script)

su - user-B-c "/ opt / RAH / RAH / RAH / command.sh"

3. køre under kommando fra box-A, som brugeren bruger-A

ssh box-B "/ usr / local / bin / sudo / bin / test_scr.sh"

Bemærk: På box-B, / bin / test_scr.sh vil blive kørt som "root" bruger, der igen "su" for at bruger-B (root-til-bruger-B kræver ingen adgangskode)

DONE

Prvn

Åh mand. Jeg virkelig ville ønske, jeg havde prøvet dette, da jeg tænkte på det. I stedet for at køre en bestemt kommando via ssh du bare kører et script, der gør alt arbejdet. I gotcha.

Forsøger og vil fortælle dig, om resultaterne.