Linux Certif

Toute la documentation sur la certification Linux LPI

pam

NAZWA

Linux-PAM - Wstawialne modu³y autentykacji dla Linuksa (ang. Pluggable Authentication Modules)

STRESZCZENIE

/etc/pam.conf

OPIS

Podrêcznik ten ma na celu danie krótkiego wprowadzenia do Linux-PAM. Dla dalszych informacji, czytelnik jest odsy³any do Linux-PAM system administrators' guide.

Linux-PAM jest systemem bibliotek, które zajmuj± siê zadaniami autentykacji aplikacji (us³ug) systemu. Biblioteka daje stabilny i ogólny interfejs (API), któremu podlegaj± w zadaniach autentykacji programy daj±ce przywileje (takie jak login(1) i su(1)).

Podstawow± w³a¶ciwo¶ci± podej¶cia PAM jest to, ¿e natura autentykacji jest dynamicznie konfigurowalna. Innymi s³owy, administrator systemu ma pe³ne pole do popisu w wybieraniu sposobu autentykacji poszczególnych aplikacji. Ta dynamiczna konfiguracja jest ustawiana zawarto¶ci± pojedynczego pliku konfiguracyjnego Linux-PAM czyli /etc/pam.conf. Alternatywnie, mo¿na wszystko konfigurowaæ pojedynczymi plikami konfiguracyjymi, zlokalizowanymi w katalogu /etc/pam.d/. Obecno¶æ tego katalogu spowoduje, ¿e Linux-PAM zignoruje /etc/pam.conf.

Z punktu widzenia administratora systemu, dla którego przeznaczony jest ten podrêcznik, nie jest wa¿ne zrozumienie wewnêtrznego dzia³ania biblioteki Linux-PAM. Wa¿n± rzecz± jest natomiast rozumienie, ¿e plik(i) konfiguracyjne definiuj± po³±czenia miêdzy aplikacjami (us³ugami) a wstawialnymi modu³ami autentykacji (PAM'ami), które dokonuj± rzeczywistych zadañ autentykacji.

Linux-PAM rozdziela zadania autentykacji na cztery niezale¿ne grupy zarz±dzania: zarz±dzanie kontem (account); zarz±dzanie autentykacj± (authentication); zarz±dzanie has³ami (password); i zarz±dzanie sesj± (session). (pod¶wietlamy skróty u¿ywane dla tych grup w pliku konfiguracyjnym.)

Po ustawieniu, grupy te bêd± siê zajmowa³y ró¿nymi aspektami typowego ¿±dania zastrze¿onej us³ugi przez u¿ytkownika:

account - daj us³udze mo¿liwo¶æ weryfikacji konta: czy has³o u¿ytkownika jest przedawnione?; czy u¿ytkownik ma prawo dostêpu do ¿±danej us³ugi?

authentication - ustal czy u¿ytkownik jest tym, za którego siê podaje. Zazwyczaj robi siê to poprzez zapytanie u¿ytkownika o pewn± odpowied¼, której musi udzieliæ: je¶li jeste¶ tym, za kogo siê podajesz, podaj proszê swoje has³o. Nie wszystkie autentykacje s± tego rodzaju, istniej± te¿ sprzêtowe schematy autentykacji (takie jak u¿ywanie urz±dzeñ biometrycznych), które maj± odpowiednie modu³y, nadaj±ce siê do bezproblemowego podstawienia za standardowe modele autentykacji - oto elastyczno¶æ Linux-PAM.

password - zadaniem tej grupy jest od¶wie¿anie mechanizmów autentykacji. Zazwyczaj us³ugi takie s± ¶ci¶le zwi±zane z tymi z auth. Niektóre mechanizmy autentykacji dobrze nadaj± siê do od¶wie¿ania t± funkcj±. Oczywistym przyk³adem jest standardowy UN*X-owy dostêp oparty o has³o: proszê wstawiæ has³o zamienne.

session - zadania tej grupy obejmuj± rzeczy, które powinny byæ dokonane przed daniem us³ugi oraz po jej wycofaniu. Zadania takie to m.in obs³uga ¶ladów rewizyjnych i montowanie katalogu domowego u¿ytkownika. Grupa obs³ugi sesji jest wa¿na, gdy¿ udostêpnia zarówno hak otwieraj±cy, jak i zamykaj±cy modu³ów.

Plik(i) konfiguracyjne

Gdy uruchamiana jest aplikacja ¶wiadoma przyznawania uprawnieñ poprzez bibliotekê Linux-PAM, aktywuje ona swoje powi±zanie z PAM-API. Aktywacja ta okre¶la wiele rzeczy, w¶ród których najwa¿niejsz± jest przeczytanie plików konfiguracyjnych: /etc/pam.conf, lub w wypadku istnienia odpowiedniego katalogu, pliki z /etc/pam.d/.

Pliki te wymieniaj± PAMy, które bêd± siê zajmowa³y zadaniami autentykacji danej us³ugi i odpowiednie zachowanie PAM-API gdy który¶ z PAMów zawiedzie.

Sk³adnia pliku konfiguracyjnego /etc/pam.conf jest nastêpuj±ca. Plik jest z³o¿ony z listy regu³, przy czym ka¿da z nich zwykle jest umieszczana w pojedynczej linii, choæ mo¿e byæ te¿ z³o¿ona na koñcu linii: `\<LF>'. Komentarze s± poprzedzane znakiem `#' i trwaj± a¿ do koñca linii.

Format ka¿dej regu³y to rozdzielona spacjami kolekcja elementów, z których pierwsze trzy nie rozró¿niaj± wielko¶ci liter:

us³uga rodzaj kontrola ¶cie¿ka-modu³u argumenty-modu³u

sk³adnia plików z /etc/pam.d/ jest taka sama, z t± ró¿nic± ¿e nie ma tam pól us³ug. W tym wypadku, us³uga jest nazw± pliku z /etc/pam.d/. Nazwa pliku musi byæ zapisana ma³ymi literami.

Wa¿n± w³a¶ciwo¶ci± Linux-PAM jest to, ¿e mo¿na zestawiæ na stosie wiele regu³ i ³±czyæ tak us³ugi wielu PAMów dla danego zadania autentykacji.

Us³uga jest zwykle znan± nazw± odpowiadaj±cej aplikacji: login i su s± tu dobrymi przyk³adami. Nazwa us³ugi other jest zarezerwowana na tworzenie regu³ domy¶lnych.

Element rodzaj okre¶la grupê zarz±dzania, której odpowiada regu³a. Jest u¿ywany do podania, z któr± z grup po³±czyæ ten modu³. Poprawne wpisy to: account; auth; password; i session. Znaczenie tych s³ów kluczowych wyja¶niono powy¿ej.

Trzecie pole, kontrola, okre¶la zachowanie PAM-API po niepowodzeniu modu³u w procesie autentykacji. Prawid³owe warto¶ci tego pola to: requisite - niepowodzenie takiego PAM powoduje natychmiastowe zatrzymanie procesu autentykacji; required - niepowodzenie takiego PAM bêdzie prowadzi³o PAM-API do zwrócenia b³êdu, lecz dopiero po tym, jak pozosta³e zestawione na stosie modu³y (dla tej us³ugi i rodzaju PAM) zostan± wykonane; sufficient - sukces takiego modu³u wystarcza do zadowolenia wymagañ autentykacji w stosie modu³ów (je¶li wcze¶niej nie powiód³ siê modu³ required, sukces tego jest ignorowany); optional - sukces lub niepowodzenie tego modu³u jest istotny tylko je¶li jest jedynym modu³em na stosie zwi±zanym z t± us³ug±+rodzajem.

¶cie¿ka-modu³u - pe³na nazwa pliku PAMu u¿ywanego przez aplikacjê

argumenty-modu³u - lista rozdzielonych spacjami elementów, u¿ywanych do modyfikowania okre¶lonego zachowania danego PAMu. Argumenty takie s± opisywane dla konkretnych modu³ów.

PLIKI

/etc/pam.conf - plik konfiguracyjny
/etc/pam.d/ - katalog konfiguracyjny Linux-PAM. Je¶li ten katalog istnieje, /etc/pam.conf jest ignorowany.
/usr/lib/libpam.so.X - biblioteka dynamiczna
/usr/lib/security/*.so - PAMy

Zauwa¿, ¿e aby odpowiadaæ standardowi Linuksowego systemu plików, biblioteki i modu³y twojego systemu mog± siê znajdowaæ odpowiednio w /lib i /lib/security.

B£ÊDY

Typowe b³êdy generowane przez system Linux-PAM s± zapisywane do syslog(3).

ZGODNE Z

DCE-RFC 86.0, Pa¼dziernik 1995.
Zawiera dodatkowe w³a¶ciwo¶ci, rozwa¿ane obecnie przez komitet DCE-RFC.

USTERKI

Nie s± znane.

ZOBACZ TAK¯E

Trzy podrêczniki Linux-PAM, dla Administratorów systemu, Twórców modu³ów, i Twórców aplikacji.