71015 s403

Administrowanie użytkownikami i grupami 403

Pliki konfiguracyjne PAM

W wersji 0.56 PAM korzysta z katalogowej struktury obsługi swoich plików konfiguracyjnych. Pliki te są umieszczone w katalogu /etc/pair..d. Każdy plik reprezentuje pojedynczą usługę. Przykładowo, w skład obsługiwanych usług wchodzą f Lud i login.

Każdy plik konfiguracyjny PAM a składa się z linijek w następującym formacie: typ modułu    flaga_kontrolna ścieżka_modułu    parametry

gdzie typjnodułu jest jednym z czterech typów: auth (uwierzytelnianie), account (konto), session (sesja) lub password (hasło). Komentarze muszą zaczynać się znakiem #.

auth

account

session

password

Aplikacja powinna spytać o hasło, a następnie przyznać nie tylko prawa użytkownika, ale również prawa grupy.

Nie przeprowadza uwierzytelniania; zamiast tego określa dostęp na podstawie czynników, takich jak pora dnia lub miejsce przebywania użytkownika. W len sposób można na przykład ograniczyć możliwość otwierania sesji przez administratora do konsoli serwera.

Określa, jakie czynności powinny zostać wykonane przed otwarciem lub po zamknięciu sesji przez użytkownika (na przykład zapisanie informacji w pliku zapisu sesji (ang. log)

Określa moduł umożliwiający użytkownikom zmianę hasła (jeśli to konieczne).

£laga_kontrolna Pozwala na określenie sposobu traktowania sukcesu lub porażki danego modułu uwierzytelniania.

required    Uwierzytelnianie użytkownika przez dany moduł musi zakończyć się

sukcesem; w przeciwnym razie cały proces uwierzytelniania (przez wszystkie moduły) kończy się bezwarunkową porażką.

requisit©

sufficient

optional

Podobna do reąuired, ale w' tym wypadku jeśli dany moduł zanotuje porażkę, moduły następujące po nim nie są już uruchamiane; aplikacja natychmiast otrzymuje informacje o porażce. Umożliwia to zagwarantowanie spełnienia pewnych warunków' jeszcze przed wyświetleniem prośby o podanie nazwy użytkownika i hasła (na przykład: użytkownik musi być podłączony do serwera przez sieć lokalną, a nie przez Internet).

Jeśli dany moduł zanotuje sukces i w pliku konfiguracyjnym nie ma już innych modułów opatrzonych flagą reąuired lub sufficient, wówczas PAM informuje aplikację o sukcesie uwierzytelniania.

Ta flaga pozwala PAM-owi na kontynuowanie procesu uwierzytelniania nawet jeśli dany moduł zanotował porażkę. Stosuje się ją w przypadku, gdy pewni użytkownicy powinni uzyskać dostęp do systemu, nawet jeśli nie .spełniają niektórych warunków.