الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة
مرحبا الاصدقاء والاصدقاء!
مع هذه المقالة نعتزم تقديم نظرة عامة على موضوع المصادقة من خلال برنامج الأغذية العالمي. لقد اعتدنا على استخدام محطة العمل الخاصة بنا على أساس يومي مع نظام التشغيل Linux / UNIX وفي مناسبات قليلة نتوقف عن دراسة كيفية حدوث آلية المصادقة في كل مرة نبدأ فيها جلسة. هل نعلم بوجود المحفوظات / الخ / باسود، / الخ / الظل التي تشكل قاعدة البيانات الرئيسية لأوراق اعتماد المصادقة للمستخدمين المحليين. نأمل بعد قراءة هذا المنشور أن يكون لديك - على الأقل - فكرة واضحة عن كيفية عمل PAM.
المصادقة
المصادقة - لأغراض عملية - هي الطريقة التي يتم بها التحقق من المستخدم مقابل نظام. تتطلب عملية المصادقة وجود مجموعة من الهوية وبيانات الاعتماد - اسم المستخدم وكلمة المرور - والتي تتم مقارنتها بالمعلومات المخزنة في قاعدة البيانات. إذا كانت بيانات الاعتماد المقدمة هي نفسها تلك المخزنة وكان حساب المستخدم نشطًا ، فيُقال أن المستخدم كذلك أصيل اجتاز بنجاح أو بنجاح المصادقة.
بمجرد مصادقة المستخدم ، يتم تمرير هذه المعلومات إلى خدمة التحكم في الوصول لتحديد ما يمكن أن يفعله هذا المستخدم في النظام والموارد التي لديه ترخيص للوصول إليها.
يمكن تخزين المعلومات للتحقق من المستخدم في قواعد البيانات المحلية على النظام ، أو يمكن للنظام المحلي الرجوع إلى قاعدة بيانات موجودة على نظام بعيد ، مثل LDAP و Kerberos وقواعد بيانات NIS وما إلى ذلك.
تحتوي معظم أنظمة تشغيل UNIX® / Linux على الأدوات اللازمة لتكوين خدمة مصادقة العميل / الخادم للأنواع الأكثر شيوعًا من قواعد بيانات المستخدم. تحتوي بعض هذه الأنظمة على أدوات رسومية كاملة جدًا مثل Red Hat / CentOS و SUSE / openSUSE وتوزيعات أخرى.
PAM: وحدة المصادقة القابلة للتوصيل
الكثير الوحدات التي تم إدراجها للمصادقة نستخدمها يوميًا عندما نقوم بتسجيل الدخول إلى سطح المكتب الخاص بنا باستخدام نظام تشغيل يعتمد على Linux / UNIX ، وفي العديد من المناسبات الأخرى عندما نصل إلى الخدمات المحلية أو البعيدة التي تحتوي على وحدة PAM محلية محددة إدراج للمصادقة مقابل تلك الخدمة.
يمكن الحصول على فكرة عملية عن كيفية إدراج وحدات PAM من خلال تسلسل الحالة من المصادقة en فريق مع Debian و en آخر مع CentOS التي نطورها بعد ذلك.
ديبيان
توثيق
إذا قمنا بتثبيت الحزمة libpam-doc سيكون لدينا وثائق جيدة جدا موجودة في الدليل / usr / share / doc / libpam-doc / html.
root @ linuxbox: ~ # aptitude install libpam-doc root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /
يوجد أيضًا المزيد من الوثائق حول PAM في الدلائل:
root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam0g drwxr-xr-x 4 root root 4096 Apr 7 16:31 libpam-doc drwxr-xr-x 2 root root 4096 أبريل 5 21:30 libpam-gnome- keyring drwxr-xr-x 3 root root 4096 أبريل 5 21:11 libpam-modules drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 Apr 5 21: 11 libpam-runtime drwxr-xr-x 2 root root 4096 Apr 5 21:26 libpam-systemd drwxr-xr-x 3 root root 4096 Apr 5 21:31 python-pam
نعتقد أنه قبل البحث عن التوثيق على الإنترنت ، يجب أن نراجع المستند المثبت بالفعل أو الذي يمكننا تثبيته مباشرة من مستودعات البرنامج الموجودة لشيء ما ، وفي العديد من المناسبات نقوم بنسخها إلى محرك الأقراص الثابتة الخاص بنا. عينة من هذا هو ما يلي:
root @ linuxbox: ~ # less / usr / share / doc / libpam-gnome-keyring / README gnome-keyring هو برنامج يحتفظ بكلمة المرور والأسرار الأخرى للمستخدمين. يتم تشغيله كبرنامج خفي في الجلسة ، على غرار وكيل ssh ، وتحدد التطبيقات الأخرى موقعه عبر متغير بيئة أو D-Bus. يمكن للبرنامج إدارة عدة سلاسل مفاتيح ، لكل منها كلمة مرور رئيسية خاصة به ، وهناك أيضًا حلقة مفاتيح للجلسة لا يتم تخزينها أبدًا على القرص ، ولكنها تُنسى عند انتهاء الجلسة. تستخدم التطبيقات مكتبة libgnome-keyring للتكامل مع نظام سلسلة مفاتيح جنوم.
يريد المترجم بحرية التعبير:
- gnome-keyring هو البرنامج المسؤول عن حفظ كلمات المرور والأسرار الأخرى للمستخدمين. في كل جلسة يتم تشغيله كخادم ، مشابه لعامل ssh ، وللتطبيقات الأخرى الموجودة من خلال متغير البيئة - البيئة أو عبر D-Bus. يمكن للبرنامج التعامل مع عدة سلاسل مفاتيح ، لكل منها كلمة مرور رئيسية خاصة به. هناك أيضًا جلسة مفاتيح لا يتم تخزينها مطلقًا على القرص الثابت ويتم نسيانها عند انتهاء الجلسة. تستخدم التطبيقات مكتبة libgnome-keyring للتكامل مع نظام سلسلة مفاتيح جنوم..
دبيان مع نظام التشغيل الأساسي
نبدأ من جهاز كمبيوتر قمنا فيه بتثبيت Debian 8 "Jessie" كنظام تشغيل وأثناء عملية التثبيت ، نختار فقط "أدوات النظام الأساسية" ، دون تحديد أي خيار آخر لتثبيت المهام - المهام أو الحزم المحددة مسبقًا مثل خادم OpenSSH. إذا قمنا بعد بدء الجلسة الأولى بتنفيذ ما يلي:
root @ master: تحديث ~ # pam-auth
سوف نحصل على المخرجات التالية:
مما يوضح لنا أن وحدة PAM الوحيدة المستخدمة حتى تلك اللحظة هي مصادقة UNIX. خدمة تحديث بام المصادقة يسمح لنا بتكوين سياسة المصادقة المركزية لنظام ما باستخدام ملفات التعريف المحددة مسبقًا التي توفرها وحدات PAM النمطية. لمزيد من المعلومات، راجع تحديث man pam-auth.
نظرًا لأننا لم نقم بتثبيت خادم OpenSSH بعد ، فلن نجد وحدة PAM الخاصة به في الدليل /الخ/بام.د/، والتي ستحتوي على وحدات PAM وملفات التعريف التي تم تحميلها حتى هذه اللحظات:
الجذر @ الرئيسي: ~ # ls -l /etc/pam.d/ مجموع 76 -rw-r - r-- 1 جذر الجذر 235 سبتمبر 30 2014 atd -rw-r - 1 جذر الجذر 1208 أبريل 6 22:06 الحساب المشترك -rw-r - r-- 1 الجذر الجذر 1221 6 أبريل 22:06 Common-auth -rw-r - r-- 1 root root 1440 Apr 6 22:06 common-password -rw-r - r-- 1 root root 1156 Apr 6 22:06 Common-session -rw-r - r - 1 root root 1154 Apr 6 22:06 common-session-noninteractive -rw-r - r-- 1 جذر الجذر 606 يونيو 11 2015 cron -rw-r - r - 1 جذر الجذر 384 نوفمبر 19 2014 chfn -rw-r - r - 1 root root 92 Nov 19 2014 chpasswd -rw-r - r - 1 root root 581 Nov 19 2014 chsh -rw-r-- r-- 1 root root 4756 Nov 19 2014 login -rw-r - r-- 1 root root 92 Nov 19 2014 newusers -rw-r - r-- 1 root root 520 Jan 6 2016 other -rw-r- -r-- 1 root root 92 Nov 19 2014 passwd -rw-r - r-- 1 root root 143 Mar 29 2015 runuser -rw-r - r-- 1 root root 138 Mar 29 2015 runuser-l -rw -r - r - 1 root root 2257 Nov 19 2014 su -rw-r - r - 1 root root 220 Sep 2 2016 systemd-user
على سبيل المثال ، باستخدام وحدة PAM /etc/pam.d/chfn يقوم النظام بتكوين الخدمة شادو، بينما من خلال /etc/pam.d/cron تم تكوين البرنامج الخفي كرون. لمعرفة المزيد ، يمكننا قراءة محتوى كل ملف من هذه الملفات وهو أمر مفيد للغاية. كعينة نقدم أدناه محتوى الوحدة /etc/pam.d/cron:
root @ master: ~ # less /etc/pam.d/cron # ملف تكوين PAM لشيطان cron تضمين @ المصادقة المشتركة # تعيين جلسة سمة عملية loginuid المطلوبة pam_loginuid.so # قراءة متغيرات البيئة من ملفات pam_env الافتراضية ، / etc / environment # و /etc/security/pam_env.conf. الجلسة المطلوبة pam_env.so # بالإضافة إلى ذلك ، اقرأ جلسة معلومات لغة النظام المطلوبة pam_env.so envfile = / etc / default / locale تضمين @ حساب مشترك @ تضمين جلسة مشتركة غير تفاعلية # إعداد حدود المستخدم ، يرجى تحديد حدود مهام cron # خلال /etc/security/limits.conf الجلسة المطلوبة pam_limits.so
ترتيب البيانات داخل كل ملف مهم. بشكل عام ، لا نوصي بتعديل أي منها ما لم نعرف جيدًا ما نقوم به.
دبيان مع نظام التشغيل الأساسي + OpenSSH
root @ master: ~ # aptitude install task-ssh-server
سيتم تثبيت الحزم الجديدة التالية: openssh-server {a} openssh-sftp-server {a} task-ssh-server
سوف نتحقق من إضافة وحدة PAM وتهيئتها بشكل صحيح سشد:
الجذر @ الرئيسي: ~ # ls -l /etc/pam.d/sshd -rw-r - r - 1 جذر جذر 2133 22 يوليو 2016 /etc/pam.d/sshd
إذا أردنا معرفة محتوى هذا الملف الشخصي:
root @ master: ~ # less /etc/pam.d/sshd
بمعنى آخر ، عندما نحاول بدء جلسة عن بعد من كمبيوتر آخر باستخدام سه، تتم المصادقة على الكمبيوتر المحلي من خلال وحدة PAM سشد بشكل أساسي ، دون إغفال جوانب التفويض والأمان الأخرى التي تنطوي عليها خدمة ssh على هذا النحو.
بشكل عابر ، نضيف أن ملف التكوين الرئيسي لهذه الخدمة هو / الخ / سه / sshd_config، وأنه على الأقل في دبيان يتم تثبيته افتراضيًا دون السماح بتسجيل الدخول التفاعلي للمستخدم جذر. للسماح بذلك ، يجب علينا تعديل الملف / الخ / سه / sshd_config وتغيير الخط:
PermitRootLogin بدون كلمة مرور
بواسطة
PermitRootLogin نعم
ثم إعادة التشغيل والتحقق من حالة الخدمة عن طريق:
root @ master: ~ # إعادة تشغيل systemctl ssh root @ master: ~ # systemctl status ssh
دبيان مع سطح المكتب LXDE
نواصل مع نفس الفريق - نغير اسمه أو اسم المضيف بواسطة "لينوكس بوكس»للاستخدام المستقبلي - حيث انتهينا من تثبيت LXDE Desktop. هيا نركض تحديث بام المصادقة وسوف نحصل على المخرجات التالية:
لقد قام النظام بالفعل بتمكين جميع الملفات الشخصية - الوحدات - اللازمة للمصادقة الصحيحة أثناء تثبيت سطح المكتب LXDE ، وهي كالتالي:
- وحدة مصادقة UNIX.
- الوحدة التي تسجل جلسات المستخدم في مجموعة التحكم الهرمية الخاصة بـ سيستم دي.
- جنوم كيرينغ الشيطان وحدة
- ننتهز هذه الفرصة للتوصية بأنه في جميع الحالات ، عندما يُطلب منا "تمكين ملفات تعريف PAM" ، نختار الخيار ما لم نعرف جيدا ما نقوم به. إذا قمنا بتغيير تكوين PAM الذي يتم إجراؤه تلقائيًا بواسطة نظام التشغيل نفسه ، فيمكننا بسهولة تعطيل تسجيل الدخول على الكمبيوتر.
في الحالات المذكورة أعلاه نتحدث عنها المصادقة المحلية أو المصادقة على الكمبيوتر المحلي كما يحدث عندما نبدأ جلسة عن بعد من خلال سه.
إذا قمنا بتنفيذ طريقة المصادقة عن بعد في الفريق المحلي بالنسبة للمستخدمين الذين لديهم بيانات اعتمادهم مخزنة في خادم OpenLDAP بعيد أو في Active Directory ، سيأخذ النظام في الاعتبار الشكل الجديد للمصادقة وسيضيف وحدات PAM النمطية الضرورية.
الملفات الرئيسية
- / الخ / باسود: معلومات حساب المستخدم
- / الخ / الظل: معلومات آمنة لحسابات المستخدمين
- /etc/pam.conf: الملف الذي يجب استخدامه فقط في حالة عدم وجود الدليل /الخ/بام.د/
- /الخ/بام.د/: دليل حيث تقوم البرامج والخدمات بتثبيت وحدات PAM
- /etc/pam.d/passwd: تكوين PAM لـ باسود.
- /etc/pam.d/common-account: معلمات التفويض مشتركة لجميع الخدمات
- /etc/pam.d/common-auth: معلمات المصادقة المشتركة لجميع الخدمات
- /etc/pam.d/common-password: وحدات PAM النمطية المشتركة لجميع الخدمات المتعلقة بكلمات المرور - كلمات السر
- /etc/pam.d/common-session: وحدات PAM النمطية المشتركة بين جميع الخدمات المتعلقة بجلسات المستخدم
- /etc/pam.d/common-session-noninteractive: وحدات PAM المشتركة لجميع الخدمات المتعلقة بالجلسات غير التفاعلية أو التي لا تتطلب تدخل المستخدم ، مثل المهام التي يتم تنفيذها في بداية ونهاية الجلسات غير التفاعلية.
- / usr / share / doc / passwd /: دليل التوثيق.
نوصي بقراءة صفحات دليل باسود y ظل من خلال رجل passwd y ظل الرجل. من الجيد أيضًا قراءة محتويات الملفات الحساب المشترك ، المصادقة المشتركة ، كلمة المرور المشتركة ، الجلسة المشتركة y جلسة مشتركة غير تفاعلية.
وحدات PAM المتاحة
للحصول على فكرة عن وحدات PAM المتاحة على الأرجح في مستودع دبيان القياسي ، نقوم بتشغيل:
buzz @ linuxbox: ~ $ aptitude search libpam
القائمة طويلة وسنعكس فقط الوحدات التي توضح مدى اتساعها:
libpam-afs-session - PAM module to set up a PAG and obtain AFS tokens libpam-alreadyloggedin - PAM module to skip password authentication for logged users libpam-apparmor - changehat AppArmor library as a PAM module libpam-barada - PAM module to provide two-factor authentication based on HOTP libpam-blue - PAM module for local authenticaction with bluetooth devices libpam-ca - POSIX 1003.1e capabilities (PAM module) libpam-ccreds - Pam module to cache authentication credentials libpam-cgrou - control and monitor control groups (PAM) libpam-chroot - Chroot Pluggable Authentication Module for PAM libpam-ck-connector - ConsoleKit PAM module libpam-cracklib - PAM module to enable cracklib support libpam-dbus - A PAM module which asks the logged in user for confirmation libpam-duo - PAM module for Duo Security two-factor authentication libpam-dynalogin - two-factor HOTP/TOTP authentication - implementation libs libpam-encfs - PAM module to automatically mount encfs filesystems on login libpam-fprintd - PAM module for fingerprint authentication trough fprintd libpam-geo - PAM module checking access of source IPs with a GeoIP database libpam-gnome-keyring - PAM module to unlock the GNOME keyring upon login libpam-google-authenticator - Two-step verification libpam-heimdal - PAM module for Heimdal Kerberos libpam-krb5 - PAM module for MIT Kerberos libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos libpam-lda - Pluggable Authentication Module for LDA libpam-ldapd - PAM module for using LDAP as an authentication service libpam-mkhomedir - libpam-mklocaluser - Configure PAM to create a local user if it do not exist already libpam-modules - Pluggable Authentication Modules for PAM libpam-modules-bin - Pluggable Authentication Modules for PAM - helper binaries libpam-mount - PAM module that can mount volumes for a user session libpam-mysql - PAM module allowing authentication from a MySQL server libpam-nufw - The authenticating firewall [PAM module] libpam-oath - OATH Toolkit libpam_oath PAM module libpam-ocaml - OCaml bindings for the PAM library (runtime) libpam-openafs-kaserver - AFS distributed filesystem kaserver PAM module libpam-otpw - Use OTPW for PAM authentication libpam-p11 - PAM module for using PKCS#11 smart cards libpam-passwdqc - PAM module for password strength policy enforcement libpam-pgsql - PAM module to authenticate using a PostgreSQL database libpam-pkcs11 - Fully featured PAM module for using PKCS#11 smart cards libpam-pold - PAM module allowing authentication using a OpenPGP smartcard libpam-pwdfile - PAM module allowing authentication via an /etc/passwd-like file libpam-pwquality - PAM module to check password strength libpam-python - Enables PAM modules to be written in Python libpam-python-doc - Documentation for the bindings provided by libpam-python libpam-radius-auth - The PAM RADIUS authentication module libpam-runtime - Runtime support for the PAM library libpam-script - PAM module which allows executing a script libpam-shield - locks out remote attackers trying password guessing libpam-shish - PAM module for Shishi Kerberos v5 libpam-slurm - PAM module to authenticate using the SLURM resource manager libpam-smbpass - pluggable authentication module for Samba libpam-snapper - PAM module for Linux filesystem snapshot management tool libpam-ssh - Authenticate using SSH keys libpam-sshauth - authenticate using an SSH server libpam-sss - Pam module for the System Security Services Daemon libpam-systemd - system and service manager - PAM module libpam-tacplus - PAM module for using TACACS+ as an authentication service libpam-tmpdir - automatic per-user temporary directories libpam-usb - PAM module for authentication with removable USB block devices libpam-winbind - Windows domain authentication integration plugin libpam-yubico - two-factor password and YubiKey OTP PAM module libpam0g - Pluggable Authentication Modules library libpam0g-dev - Development files for PAM libpam4j-java - Java binding for libpam.so libpam4j-java-doc - Documentation for Java binding for libpam.so
ارسم استنتاجاتك الخاصة.
CentOS
إذا حددنا أثناء عملية التثبيت الخيار «الخادم مع واجهة المستخدم الرسومية«سنحصل على منصة جيدة لتنفيذ خدمات مختلفة لشبكة الشركات الصغيرة والمتوسطة. على عكس دبيان ، تقدم CentOS / Red Hat سلسلة من وحدات التحكم والأدوات الرسومية التي تجعل الحياة أسهل لمسؤول النظام أو الشبكة.
توثيق
مثبتًا افتراضيًا ، نجده في الدليل:
[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/ إجمالي 256 -rw-r - r--. 1 جذر 2045 18 يونيو 2013 حقوق الطبع والنشر drwxr-xr-x. 2 جذر 4096 9 أبريل 06:28 أتش تي أم أل -rw-r - r--. 1 جذر 175382 نوفمبر 5 19:13 Linux-PAM_SAG.txt -rw-r - r--. 1 جذر الجذر 67948 18 يونيو 2013 rfc86.0.txt drwxr-xr-x. 2 جذر 4096 9 أبريل 06:28 نصوص
[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/txts/ README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wheel README.pam_ADME.pam_wheel README.pam_ADME.
نعم ، نحن نطلق على فريق CentOS أيضًا اسم "linuxbox" كما هو الحال مع Debian ، والذي سيخدمنا في المقالات المستقبلية على شبكات SMB.
CentOS مع GNOME3 GUI
عندما نختار أثناء التثبيت الخيار «الخادم مع واجهة المستخدم الرسومية«، يتم تثبيت GNOME3 Desktop والأدوات المساعدة والبرامج الأساسية الأخرى لتطوير الخادم. على مستوى وحدة التحكم ، لمعرفة حالة المصادقة التي ننفذها:
[root @ linuxbox ~] # authconfig-tui
نتحقق من تمكين وحدات PAM الضرورية لتكوين الخادم الحالي فقط ، وحتى وحدة لقراءة بصمات الأصابع ، وهو نظام مصادقة نجده في بعض طرز أجهزة الكمبيوتر المحمولة.
تم ضم CentOS مع GNOME3 GUI إلى Microsoft Active Directory
كما نرى ، تمت إضافة الوحدات الضرورية وتمكينها -winbind- للمصادقة على Active Directory ، بينما نقوم عمدًا بتعطيل الوحدة النمطية لقراءة بصمات الأصابع ، لأنها ليست ضرورية.
في مقال مستقبلي ، سنغطي بالتفصيل كيفية الانضمام إلى عميل CentOS 7 في Microsoft Active Directory. نحن نتوقع ذلك فقط من خلال الأداة authoconfig-gtk إن تثبيت الحزم الضرورية ، وتكوين الإنشاء التلقائي لأدلة مستخدمي المجال الذين يقومون بالمصادقة محليًا ، والعملية نفسها لضم العميل إلى مجال Active Directory مؤتمتة بشكل كبير. ربما بعد الاتحاد ، سيكون من الضروري فقط إعادة تشغيل الكمبيوتر.
الملفات الرئيسية
توجد الملفات المتعلقة بمصادقة CentOS في الدليل /الخ/بام.د/:
[root @ linuxbox ~] # ls /etc/pam.d/ atd liveinst smartcard-auth-ac authconfig login smtp authconfig-gtk other smtp.postfix authconfig-tui passwd sshd config-util password-auth su crond password-auth-ac sudo cups pluto sudo-i chfn polkit-1 su-l chsh postlogin بصمة نظام المصادقة ، المصادقة postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config-Authentication gdm-autologin remote systemd-user gdm-fingerprint runuser vlock gdm-launch-environmentuser-l vmtoolsd gdm-password samba xserver إعداد gdm-pin gdm-smartcard smartcard-auth
وحدات PAM المتاحة
لدينا المستودعات قاعدة ، سنتوسبلس ، إبيل ، y التحديثات. نجد فيهم - بين الآخرين - الوحدات التالية باستخدام الأوامر yum البحث بام-, yum البحث بام_، yum البحث libpam:
nss-pam-ldapd.i686: وحدة nsswitch التي تستخدم خوادم الدليل nss-pam-ldapd.x86_64: وحدة nsswitch التي تستخدم خوادم الدليل ovirt-guest-agent-pam-module.x86_64: وحدة PAM لـ oVirt Guest Agent pam -kwallet.x86_64: وحدة مصادقة قابلة للتوصيل لـ Kerberos 86 pam_afs_session.x64_5: AFS PAG و AFS الرموز المميزة عند تسجيل الدخول pam_krb686.i5: وحدة مصادقة قابلة للتوصيل لـ Kerberos 5 pam_krb86.x64_5: وحدة مصادقة قابلة للتوصيل لـ Kerberos 86_Peros 64 عبر MAPI مقابل خادم Zarafa pam_oath.x86_64: وحدة PAM لمصادقة تسجيل الدخول القابلة للتوصيل لـ OATH pam_pkcs11.i686: وحدة تسجيل الدخول PKCS # 11 / NSS PAM pam_pkcs11.x86_64: PKCS # 11 / NSS PAM وحدة تسجيل الدخول pam_radius.x86_64 مصادقة RADIUS pam_script.x86_64: وحدة PAM لتنفيذ البرامج النصية pam_snapper.i686: وحدة PAM لاستدعاء snapper pam_snapper.x86_64: وحدة PAM لاستدعاء snapper pam_ssh.x86_64: وحدة PAM للاستخدام مع مفاتيح SSH و ssh-agent pam_s 686: وحدة PAM للمصادقة مع وكيل ssh pam_ssh_agent_auth.x86_64: وحدة PAM للمصادقة مع وكيل ssh pam_url.x86_64: وحدة PAM للمصادقة مع خوادم HTTP pam_wrapper.x86_64: أداة لاختبار تطبيقات PAM ووحدات PAM pam_yubico.x86_64: وحدة مصادقة قابلة للتوصيل لـ yubikeys libpamtest-doc.x86_64: توثيق واجهة برمجة تطبيقات libpamtest python-libpamtest.x86_64: غلاف python لـ libpamtest libpamtest.x86_64: أداة لاختبار تطبيقات PAM وأداة PAM test_libpamt86: تطبيقات PAM ووحدات PAM
ملخص
من المهم أن يكون لديك حد أدنى من المعرفة حول PAM إذا أردنا أن نفهم بطريقة عامة كيفية تنفيذ المصادقة في كل مرة نقوم فيها بتسجيل الدخول إلى كمبيوتر Linux / UNIX الخاص بنا. من المهم أيضًا معرفة أنه من خلال المصادقة المحلية فقط يمكننا توفير خدمات لأجهزة الكمبيوتر الأخرى في شبكة صغيرة ومتوسطة الحجم مثل الوكيل والبريد وبروتوكول نقل الملفات وما إلى ذلك ، وكلها تتركز على خادم واحد. جميع الخدمات السابقة - وغيرها الكثير كما رأينا سابقًا - لها وحدة PAM الخاصة بها.
مصادر استشارية
- كتيبات القيادة - صفحات رجل.
- المصادقة: صفحة ويكيبيديا باللغة الإسبانية
- وحدات المصادقة القابلة للتوصيل
- Red_Hat_Enterprise_Linux-6-Deployment_Guide-en-US
نسخة PDF
قم بتنزيل نسخة PDF هنا.
حتى المقال التالي!
المؤلف: Federico A. Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico
مقالة مفصلة للغاية حول المصادقة باستخدام PAM ، أعترف أنني لم أكن أعرف بالتفصيل تشغيل المصادقة والتطبيقات التي لا نهاية لها وأكثر تفصيلاً وأمانًا التي يمكن أن نقدمها لك هذه مقالة رائعة تتيح لك تصور نطاق مصادقة PAM ، والتي يمكن أن يكون لها أيضًا أهداف متعددة في الشركات الصغيرة والمتوسطة.
واحدة أخرى من مساهماتك الرائعة ، شكرًا جزيلاً لك على هذه المواد الجيدة فيكو
شكرا لتعليقك عزيزي لويجيس. الغرض من المقالة هو فتح عقول القراء فيما يتعلق بـ PAM ووحداتها. أعتقد أن هذا المنشور نجح.
بالمناسبة أبلغكم أن التعليقات لا تصلني عبر البريد.
لول ، لقد نسيت كتابة عنوان بريدي الإلكتروني في التعليق السابق. لهذا السبب يخرج Anonymous. 😉
مقالة رائعة ، كالعادة.
فيديريكو مفيد للغاية ، لقد اضطررت للتعامل مع PAM أكثر من مرة وأنا معجب بالتصميم ، من المفيد جدًا أن تكون قادرًا على إدخال وظائف في الخطافات التي تسمح بها ، على سبيل المثال آخر شيء قمت به هو واجهة برمجة تطبيقات REST في Python / Flask التي تجمع عمليات تسجيل الدخول وتسجيل الخروج لمستخدمي نطاقي (أسلوب الأخ الأكبر ، لمعرفة كل شيء) ، لأنهم لا يخمنون أين أضع المكالمات لتجعيدها لإبلاغ واجهة برمجة التطبيقات؟ حسنًا ، نعم ، مع حزب بام.
شكرا HO2GI لتقييم المنشور.
دونتر: تحياتي مرة أخرى. كما هو الحال دائمًا ، فأنت تفعل أشياء شيقة جدًا. لا شيء ، هذا المنشور هو واحد من تلك التي أدرجتها "لفتح العقول."