Discussion :

[silversatch62]

Bonjour,
Alors alors déjà je suis une quiche en shell (je suis expert Business Objects),
je dois développer un shell d'arret relance d'une plateforme SAS sous AIX.
Le shell , à partir d'un argument (stop ou start ou status) , doit donc arreter dans un ordre précis 9 services et relancer ces mm services ds l'ordre inverse.
Mon probleme :

Certains services doivent etre arreter/relancer avec un certains users.
D'autre services avec un 2eme users.
Et peut etre mm , ce shell d'arret relance , aura les droits d'un 3eme user.

Comment faire , dans mon shell , qu'une partie de mes commandes devront etre executer/traiter par tel user et d'autres parties de mon shell avec un autres user?

En fait j'aimerais pouvoir changer de compte selon l'endroit de mon shell , sans que le script me demande le mot de passe.
Exemple :
Mon shel d'arret/relance s'execute en root(ou un user de qualif) par exemple.
Un bout du code, je dois etre/changer sur un compte admin websphere et je fais mon arret/relance du service (je peux executer une succession de commandes avec ce compte )
et pour cet autre bout de code un peu plus loin, je dois repasser sur un compte admin SAS pour faire mon autre arret/relance (je peux executer une succession de commandes avec cet autre compte).
Et tous ces changements doivent se faire sans me demander de mot de passe...evidemment c'est de l'automatisation d'arret/relance...

ça commence à etre trop dur pour moi cette aventure, aidez-moi ! au secours !

Si quelqu'un sait comment faire et peut m'expliquer ça clairement , car le monde de l'exploitation unix , c'est pas du tout mon univers.

Merci d'avance à ceux qui pourront me faire avancer.

A bientot

[Bruno51]

Salut !

Je pense que la clé de la solution est la commande "su".

Lorsque le serveur boot (ou s'arrête), c'est root qui execute tous les scripts d'arrêt/relance des applications sur le serveur.
Donc dans ton script, il faut que tu séquence tes phases/ordres de démarrage des tes différents services (ah SAS 8 et 9 !!! J'ai donné pendant 5 ans !! Mais sur HP-UX, pas AIX, mais ça ne doit pas changer grand chose je pense ...)

Pour chacun de tes services, tu as donc un user spécifique.

Imaginons que pour le service1 (svc1) tu doives utiliser le user1:

Alors dans ton script de démarrage/arrêt tu devras utiliser la syntaxe:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

su - user1 -c "commande d'arrêt ou de démarrage svc1"

C'est pas plus compliquer que celà ! Il te suffit simplement de bien étudier ton script pour que les dépendances entre services s'effectuent et le tour est joué !

C'est du SAS9 ? (objectspawner, metadataserver, etc ...)

[silversatch62]

Salut Bruno,

Oui c'est bien ces services là (entre autres...):
En fait voici l'ordre d'arret :

1-Websphere --> compte "wasadmin"
2-Xythos --> compte "sas"
3-postgresql --> compte "sas"
4-RemoteService --> compte "sas"
5-Shareserver --> compte "sas"
6-Connectserver --> compte "sas"
7-OLAPserver --> compte "sas"
8-ObjectSpawner --> compte "sas"
9-Metadataserver --> compte "sas"

Et inversement pour l'ordre de redemarrage.

En fait tous les services sont arrétés/démarrés par un compte nommé "sas" saufwebsphere , c'est un compte nommé "wasadmin".
Le shell d'arret/relance est prevu pour etre lancé avec le compte "sas".
D

Le problème de ta solution , c'est que la commande "su" demande forcement le mot de passe et donc arretera mon shell durant l'arret/relance , et ce n'est pas ce que je souhaite, j'ai pas envie d'etre embetté par les mots de passe.

[Pilru]

c'est que la commande "su" demande forcement le mot de passe

Sauf si c'est root que exécute la commande.

Une autre solution serait de faire 2 scripts appelé depuis un 3ème.
chacun de 2 scripts appartenant aux users qui vont bien et ayant le bit setuid activé.

Cette solution est une faille de sécurité a ne pas négliger, mais je n'en vois pas d'autre. Ou alors faudra utiliser autre chose qu'un simple script shell.

[Bruno51]

Si le script qui contient les "su" est lancé par root, il ne te demandera pas les mots de passe !
root n'a pas besoin du mot de passe des utilisateurs pour pouvoir prendre leur identité ^^
Essaie, tu verras !

[silversatch62]

En effet si je lance le shell avec root , en effet , je peux faire des su sans qu'il me demande quoi que ce soit comme mot de passe.
Si je lance mon script d'arrete/relance avec root , alors plus besoin de me poser la question de changer de compte, plus besoin de su dans mon shell , "root" a tous les droits d'execution dc plus besoin de faire des tours de passe passe entre les comptes, non?


PS :
Je crois avoir lu que c'était pas genial de lancer en root , j'ai pas compris pourquoi.

Qu'est qui est un problème de sécurité ?
D'exécuter le shell en root ou alors de casser en plusieurs shell avec cette histoire de setuid activé ?

Question : Un shell père enregistré avec les droits d'un compte "sas" qui appelle un shell fils enregistré avec les droits d'un compte "wasadmin" , va executer les commande du shell fils en "wasadmin"? Est ce que c'est ça qu'il faut comprendre avec la solution de casser les shell et d'activé ce bit setuid ?

Je suis tombé sur un post avec une histoire de commande "sudo" mais j'ai rien compris non plus , le "man" est inmangeable pour le simple mortel que je suis , je suis pas du tout de l'univers Unix moi....sniff...

[silversatch62]

pour les problème de failles de securité , comme ce n'est pas moi qui ai le dernier mot : La machine unix est infogérée à l'autre bout de la france par un prestataire et je crois pas qu'ils seront chauds , sachant qu'à mon avis ils sont bien callé en sécurité dc ça va pas les faire rire et ne me permettront pas des scénario à risques , ils sont supers pointilleux

[Pilru]

Je crois avoir lu que c'était pas genial de lancer en root , j'ai pas compris pourquoi.

L'utilisation de root doit être réserver aux taches d'aministration et de maintenance. Maintenant passer des commandes en tant que root n'est pas prohiber (heureusement), faut juste être conscient que tu peux casse ton système si tu fait une boulette.

Qu'est qui est un problème de sécurité ?
D'exécuter le shell en root ou alors de casser en plusieurs shell avec cette histoire de setuid activé ?

L'activation du bit setuid.

Je suis tombé sur un post avec une histoire de commande "sudo" mais j'ai rien compris non plus , le "man" est inmangeable pour le simple mortel que je suis , je suis pas du tout de l'univers Unix moi....sniff...

Laisse tomber sudo, si tu a accès au compte root, ne te pose plus de questions.