man/suauth.5

   1 '\" t
   2 .\"     Title: suauth
   3 .\"    Author: [FIXME: author] [see http://docbook.sf.net/el/author]
   4 .\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
   5 .\"      Date: 02/16/2011
   6 .\"    Manual: File Formats and Conversions
   7 .\"    Source: File Formats and Conversions
   8 .\"  Language: English
   9 .\"
  10 .TH "SUAUTH" "5" "02/16/2011" "File Formats and Conversions" "File Formats and Conversions"
  11 .\" -----------------------------------------------------------------
  12 .\" * Define some portability stuff
  13 .\" -----------------------------------------------------------------
  14 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  15 .\" http://bugs.debian.org/507673
  16 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
  17 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  18 .ie \n(.g .ds Aq \(aq
  19 .el       .ds Aq '
  20 .\" -----------------------------------------------------------------
  21 .\" * set default formatting
  22 .\" -----------------------------------------------------------------
  23 .\" disable hyphenation
  24 .nh
  25 .\" disable justification (adjust text to left margin only)
  26 .ad l
  27 .\" -----------------------------------------------------------------
  28 .\" * MAIN CONTENT STARTS HERE *
  29 .\" -----------------------------------------------------------------
  30 .SH "NAME"
  31 suauth \- detailed su control file
  32 .SH "SYNOPSIS"
  33 .HP \w'\fB/etc/suauth\fR\ 'u
  34 \fB/etc/suauth\fR
  35 .SH "DESCRIPTION"
  36 .PP
  37 The file
  38 /etc/suauth
  39 is referenced whenever the su command is called\&. It can change the behaviour of the su command, based upon:
  40 .sp
  41 .if n \{\
  42 .RS 4
  43 .\}
  44 .nf
  45       1) the user su is targetting
  46
  47 .fi
  48 .if n \{\
  49 .RE
  50 .\}
  51 .PP
  52 2) the user executing the su command (or any groups he might be a member of)
  53 .PP
  54 The file is formatted like this, with lines starting with a # being treated as comment lines and ignored;
  55 .sp
  56 .if n \{\
  57 .RS 4
  58 .\}
  59 .nf
  60       to\-id:from\-id:ACTION
  61
  62 .fi
  63 .if n \{\
  64 .RE
  65 .\}
  66 .PP
  67 Where to\-id is either the word
  68 \fIALL\fR, a list of usernames delimited by "," or the words
  69 \fIALL EXCEPT\fR
  70 followed by a list of usernames delimited by ","
  71 .PP
  72 from\-id is formatted the same as to\-id except the extra word
  73 \fIGROUP\fR
  74 is recognised\&.
  75 \fIALL EXCEPT GROUP\fR
  76 is perfectly valid too\&. Following
  77 \fIGROUP\fR
  78 appears one or more group names, delimited by ","\&. It is not sufficient to have primary group id of the relevant group, an entry in
  79 \fB/etc/group\fR(5)
  80 is neccessary\&.
  81 .PP
  82 Action can be one only of the following currently supported options\&.
  83 .PP
  84 \fIDENY\fR
  85 .RS 4
  86 The attempt to su is stopped before a password is even asked for\&.
  87 .RE
  88 .PP
  89 \fINOPASS\fR
  90 .RS 4
  91 The attempt to su is automatically successful; no password is asked for\&.
  92 .RE
  93 .PP
  94 \fIOWNPASS\fR
  95 .RS 4
  96 For the su command to be successful, the user must enter his or her own password\&. They are told this\&.
  97 .RE
  98 .PP
  99 Note there are three separate fields delimited by a colon\&. No whitespace must surround this colon\&. Also note that the file is examined sequentially line by line, and the first applicable rule is used without examining the file further\&. This makes it possible for a system administrator to exercise as fine control as he or she wishes\&.
 100 .SH "EXAMPLE"
 101 .sp
 102 .if n \{\
 103 .RS 4
 104 .\}
 105 .nf
 106       # sample /etc/suauth file
 107       #
 108       # A couple of privileged usernames may
 109       # su to root with their own password\&.
 110       #
 111       root:chris,birddog:OWNPASS
 112       #
 113       # Anyone else may not su to root unless in
 114       # group wheel\&. This is how BSD does things\&.
 115       #
 116       root:ALL EXCEPT GROUP wheel:DENY
 117       #
 118       # Perhaps terry and birddog are accounts
 119       # owned by the same person\&.
 120       # Access can be arranged between them
 121       # with no password\&.
 122       #
 123       terry:birddog:NOPASS
 124       birddog:terry:NOPASS
 125       #
 126
 127 .fi
 128 .if n \{\
 129 .RE
 130 .\}
 131 .SH "FILES"
 132 .PP
 133 /etc/suauth
 134 .RS 4
 135 .RE
 136 .SH "BUGS"
 137 .PP
 138 There could be plenty lurking\&. The file parser is particularly unforgiving about syntax errors, expecting no spurious whitespace (apart from beginning and end of lines), and a specific token delimiting different things\&.
 139 .SH "DIAGNOSTICS"
 140 .PP
 141 An error parsing the file is reported using
 142 \fBsyslogd\fR(8)
 143 as level ERR on facility AUTH\&.
 144 .SH "SEE ALSO"
 145 .PP
 146
 147 \fBsu\fR(1)\&.