Usando PAM sul tutorial Linux
Utilizzando PAM, questi programmi possono determinare se un utente è quello che sostengono di essere. Con PAM, gli utenti possono ottenere l'accesso fornendo nomi utente e password memorizzati in protocolli virtuali come Kerberos o LDAP. Gli utenti possono anche fornire certificati, token o biometria per l'autenticazione.
E a differenza dei tipici protocolli di autenticazione, PAM o moduli di autenticazione collegabile, è un'interfaccia di programmazione dell'applicazione (API). Pertanto, anziché riscrivere i codici per ciascun programma o applicazione per garantire la compatibilità PAM, PAM modifica i codici di origine conveniente.
Il diagramma di seguito descrive in dettaglio alcuni dei programmi che puoi integrare con PAM e i metodi utilizzati."
Tutorial Pam Linux
Idealmente, PAM fornisce un sistema di accesso unificato per programmi e applicazioni Linux. Ma per usare Pam correttamente, questo tutorial sarà utile.
Controlla i sistemi Linux compatibili con PAM
L'uso di PAM inizia con il controllo se il programma che si intende utilizzare è consapevole di PAM o no. E puoi verificarlo usando questo comando;
In alternativa, è possibile utilizzare il comando seguente per elencare i programmi o i servizi Linux che utilizzano PAM. Il comando consente di controllare il contenuto della directory.
Un elenco che utilizza il comando sopra produrrà sempre un risultato simile a quello che è nella figura seguente;
L'apertura di qualsiasi file di servizio ti mostrerà che ogni file ha tre colonne. La prima colonna indica il gruppo di gestione, la colonna centrale rappresenta i flag di controllo e la terza è il modulo utilizzato per ciascuna categoria.
Nella figura sopra, il "account" rappresenta il gruppo di gestione, "richiesto" è il flag di controllo, mentre il "pam_nologin.Quindi "è il modulo utilizzato. Occasionalmente può esistere una quarta colonna e che rappresenterà i parametri del modulo.
Crea o modifica i file di configurazione PAM per PAM-ified Servizi o programmi
Come server Linux o amministratore di sistema, è possibile elencare tutti i moduli PAM appropriati per l'implementazione della politica di accesso per qualsiasi programma. L'elenco è noto come uno stack. Dovrai invocare ogni modulo come elencato nello stack del file di configurazione per un particolare programma. Naturalmente, questo dovrebbe accadere prima di autenticare qualsiasi utente.
È possibile modificare il file di configurazione impostato per un programma nel caso in cui un determinato modulo fallisca. Questa modifica ti consentirà di implementare politiche più complesse come l'autenticazione di LDAP prima o il tentativo di file locali nel caso in cui fallisca.
Ad esempio, HWBrowser è scritto per utilizzare Linux PAM per l'autenticazione degli utenti. Il /etc /pam.D controlla lo stesso set di moduli nei file di configurazione. È possibile modificare il file di configurazione del programma per consentire di applicare i criteri di accesso desiderati.
Questo è l'aspetto predefinito del file di configurazione del programma prima della modifica;
Come è evidente sopra, il file contiene un elenco delle DLL da utilizzare, con alcuni contenenti dettagli aggiuntivi.
3. Usando PAM per limitare radice Accesso o ammissione a SSH
In particolare, PAM è utile anche nella disabilitazione dell'accesso dell'utente di root a programmi o sistemi tramite SSH e altri programmi di accesso. Puoi raggiungere questo obiettivo limitando l'accesso a SSHD e Servizi di accesso.
The/lib/security/pam_listfile.Così è il tuo modulo preferito in quanto offre immensa flessibilità nel limitare le capacità e i privilegi di alcuni account. Apri e modifica i file di destinazione in /etc /pam.d/ usando uno dei comandi seguenti;
O
Qualunque sia il caso, aggiungi il risultato seguente a entrambi i file;
Impilamento usando Linux Pam
Infine, non vorremmo porre fine a un tutorial PAM senza discutere di impilamento, poiché Pam supporta. Questo concetto consente a un particolare servizio o programma di utilizzare più meccanismi. È possibile creare uno stack nel file di configurazione creando diverse voci per il programma di destinazione con un file Module_Type simile.
Puoi invocare i moduli nell'ordine in cui appaiono nello stack. Il campo Control_Flag specifica il risultato finale.
In particolare, PAM Control_Flags hanno il seguente comportamento;
- richiesto: questi moduli devono passare per produrre un risultato di successo. Altri moduli richiesti nello stack saranno provati anche quando uno o più nella categoria falliscono. Tuttavia, l'errore dal primo modulo non riuscito influirà sul risultato.
- Requisito- Questo è simile al modulo richiesto. Ma nel caso del fallimento di un modulo richiesto, il sistema non tenterà altri moduli necessari nello stack per l'elaborazione.
- sufficiente- Se tutti i moduli richiesti precedenti passano correttamente e un modulo sufficiente passa, gli altri moduli non saranno dovuti per l'elaborazione. Il sistema ignorerà i moduli rimanenti e restituirà un risultato di successo.
- Opzionale: un modulo opzionale deve avere successo nel caso in cui non vi siano moduli richiesti nello stack e nessuno dei moduli sufficienti è passato. Ma se c'è un altro modulo riuscito nello stack, il sistema ignorerà qualsiasi modulo opzionale non riuscito.
Questo /etc /pam.Conf è un esempio di stacking tipico in PAM per il programma di accesso nel tipo di auth_module.
Conclusione
PAM è un'API robusta che consente ai servizi e ai programmi sui sistemi Linux di autenticare gli utenti. Mentre rimane vitale per l'autenticazione degli utenti in un ambiente Linux, la comprensione e l'uso di Linux PAM può essere un incubo per le tecnologie alle prime armi. Questo tutorial mirava a semplificare l'intero processo. Spero che abbia raggiunto il suo obiettivo.
Fonti:
- https: // www.IBM.com/docs/en/aix/7.2?Argomento = moduli-PAM-Configurazione-file
- https: // www.TECMINT.com/configure-pam-in-centos-ubuntu-linux/
- http: // www.LinuxGeek.Net/Documentazione/Autenticazione.Phtml
- https: // docs.oracolo.COM/CD/E19683-01/816-4883/PAM-32/INDICE.html.