/etc/pam.d

Protože jsem měl (a stále ještě mám) chaos v používání PAM modulů pro autentizaci, připadalo mi to jako vhodné téma k popisu. Větší část nudných ale potřebných znalostí je doplněna z MANu. Patrně nebudu sám komu se to bude hodit.
Konfigurační soubory pro PAM se zpracovávají podobně jako scripty, jeden krok za druhým. V případě otevření služby, která autentizaci vyžaduje PAM hledá její konfiguraci na níže uvedených čtyřech lokacích. Pokud ji nenajde, použije defaultní nastavení:
1. /etc/pam.d/service-name
2. /etc/pam.conf
3. /usr/local/etc/pam.d/service-name
4. /usr/local/etc/pam.conf

Konfigurační soubory jednotlivých služeb používajících PAM musí být v jednom z následujících dvou formátů:
funkce příznak_zpracování modul [parametry modulu ...]
funkce include název_služby

Funkce
authAutentizační funkce (např. pam_authenticate, pam_setcred)
accountFunkce pro účtování (např. pam_acct_mgmt)
sessionFunkce pro správu spojení (např. pam_open_session, pam_close_session)
passwordFunkce pro správu hesel (např. pam_chauthtok)

Příznak zpracování
requiredPokud tento modul skončí úspěšně, v závislosti na vyhodnocení dalších modulů v řadě je úspěšné i přihlášení.
Pokud tento modul skončí neúspěšně, celý řetěz přihlášení je neúspěšný.
requisitePokud tento modul skončí úspěšně, v závislosti na vyhodnocení dalších modulů v řadě je úspěšné i přihlášení.
Pokud tento modul skončí neúspěšně, přihlašování se přeruší a je označené za neúspěšné.
sufficientPokud tento modul skončí úspěšně, vyhodnocování se přeruší a přihlášení se označí za úspěšné.
Pokud tento modul skončí neúspěšně, celý řetěz přihlášení je neúspěšný.
bindingPokud tento modul skončí úspěšně, vyhodnocování se přeruší a přihlášení se označí za úspěšné..
Pokud tento modul skončí neúspěšně, budou se vyhodnocovat další moduly a výsledek záleží na jejich případném úspěchu.
optionalPokud tento modul skončí úspěšně, v závislosti na vyhodnocení dalších modulů v řadě je úspěšné i přihlášení.
Pokud tento modul skončí neúspěšně, budou se vyhodnocovat další moduly a výsledek záleží na jejich případném úspěchu.

Moduly v adresáři /usr/lib
pam_chroot.soPovolí a nastaví chroot
pam_deny.soZablokuje připojení.
pam_echo.soZobrazí základní informace o přihlašovací komunikaci.
pam_exec.soSpustí program zadaný jako parametr.
pam_ftpusers.soPovolí přístup pouze když je uživatel uveden v souboru /etc/ftpusers
pam_group.soPovolí nebo zablokuje přístup podle členství ve skupinách.
pam_guest.soPovolí vstup hostům.
pam_krb5.soKerberos 5
pam_ksu.soKerberos 5 SU
pam_lastlog.soZáznam posledního přihlášení.
pam_login_access.soPřihlášení pouze z konkrétní konzole a konkrétního stroje.
pam_nologin.soPokud je uživatel blokovaný příznakem nologin, nepovolí mu přihlášní.
pam_opie.soRozšíření autentizace o jednorázová hesla.
pam_opieaccess.soRozšíření autentizace o jednorázová hesla.
pam_passwdqc.soKontrola kvality hesla
pam_permit.soModul pro testování PAM aplikací. Umožňuje přístup.
pam_rootok.soUmožní připojení pro root uživatele.
pam_securetty.soUmožní přístup pouze z terminálů s nastaveným příznakem TTY_SECURE.
pam_self.soUmožní přístup pouze pokud je cílové UID shodné s aktuálním UID.
pam_ssh.soPřihlášení přes SSH klíče.
pam_radius.soUmožní přístup na základě informací z RADIUS.
pam_tacplus.soUmožní přístup na základě informací z TACACS+ .
pam_rhosts.soUmožní přístup uživatelům z důvěryhodných strojů.
pam_unix.soUmožní přístup uživatelům na základě informací ze souboru passwd

Moduly v adresáři /usr/local/lib
pam_af.soKontrola proti brute force útokům.
pam_mysql.soAuthentizace proti MySQL databázi.
pam_winbind.soAuthentizace přes WinBind proti Sambě nebo proti databázi Windows.

Powered by Drupal - Design by artinet