Crear una cuenta UNIX que solo ejecuta un comando

¿Hay alguna forma de crear una cuenta de usuario en Solaris que permita a los usuarios ejecutar un solo comando? Sin shell de inicio de sesión ni nada más. Lo que podía hacer con /usr/bin/falseen /etc/passwdy acaba de conseguir que el usuario ssh <hostname> <command>, pero hay una manera mejor de hacerlo?

Podría usar un comando forzado si los usuarios solo pueden conectarse a través de ssh. Esencialmente, cada vez que el usuario se conecta a través de ssh con una determinada clave y un determinado nombre de usuario, lo obligas a ejecutar un comando (o un script o) que determinaste en .ssh / Authorized_keys. Los comandos emitidos por los usuarios serán ignorados.

Por ejemplo:

# in .ssh/authorized_keys
command="cd /foo/bar && /path/to/scripts/my_script.sh arg1 arg2",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa public_key

Puede configurar el shell de ese usuario en un script que solo ejecute el comando que desea permitir: cada vez que el usuario inicia sesión, el comando se ejecuta y el usuario se desconecta. Y dado que no hay un "shell completo", no tiene que lidiar con el usuario que intenta cosas funky;)

Me pregunto si podría hacer esto con RBAC y darle al usuario un shell privilegiado (pfsh, pfcsh o pfksh) y crear un perfil para los comandos que los usuarios podrían ejecutar.