PAM-Aŭtentikigo - SME-Retoj

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton amikoj kaj amikoj!

Kun ĉi tiu artikolo ni intencas oferti Superrigardon al la temo Aŭtentikigo per PAM. Ni kutimas uzi nian Laborstacion kun operaciumo Linukso / UNIX ĉiutage kaj kelkfoje ni ĉesas studi kiel la aŭtentikiga mekanismo okazas ĉiufoje kiam ni komencas kunsidon. Ĉu ni scias pri la ekzisto de la arkivoj / ktp / passwd, y / ktp / ombro kiuj konsistigas la ĉefan datumbazon de la Aŭtentikaj Atestiloj de la lokaj uzantoj. Ni esperas, ke leginte ĉi tiun afiŝon vi havos - almenaŭ - klaran ideon pri kiel funkcias PAM.

Aŭtentigo

Aŭtentikigo - por praktikaj celoj - estas la maniero, ke uzanto estas kontrolita kontraŭ sistemo. La aŭtentikiga procezo postulas la ĉeeston de aro de identeco kaj atestiloj - uzantnomo kaj pasvorto - kiuj estas komparitaj kun la informoj konservitaj en datumbazo. Se la atestiloj prezentitaj samas al tiuj konservitaj kaj la konto de la uzanto estas aktiva, la uzanto laŭdire estas aŭtentika sukcese aŭ sukcese pasigis la aŭtentikigo.

Post kiam la uzanto estas aŭtentikigita, tiuj informoj estas transdonitaj al la alirkontrola servo por determini kion tiu uzanto povas fari en la sistemo kaj kiajn rimedojn ili devas rajtigo por aliri ilin.

Informoj por kontroli la uzanton povas esti stokitaj en lokaj datumbazoj de la sistemo, aŭ la loka sistemo povas raporti al ekzistanta datumbazo en fora sistemo, kiel LDAP, Kerberos, NIS-datumbazoj, ktp.

Plej multaj operaciumoj UNIX® / Linukso havas la necesajn ilojn por agordi la klientan / servan aŭtentikan servon por la plej oftaj specoj de datumbazoj de uzantoj. Iuj el ĉi tiuj sistemoj havas tre kompletajn grafikajn ilojn kiel Red Hat / CentOS, SUSE / openSUSE kaj aliaj distribuoj.

PAM: Konektebla Aŭtentiga Modulo

la Moduloj enmetitaj por aŭtentikigo Ni uzas ilin ĉiutage kiam ni ensalutas nian Labortablon per operaciumo bazita en Linukso / UNIX, kaj en multaj aliaj okazoj kiam ni aliras lokajn aŭ malproksimajn servojn, kiuj havas specifan lokan PAM-modulon. enmetita por aŭtentikigo kontraŭ tiu servo.

Praktika ideo pri kiel la PAM-Moduloj estas enmetitaj povas esti akirita per la ŝtata sinsekvo de aŭtentikigo en Debiana teamo kaj en alia kun CentOS ke ni disvolvos poste.

Debian

dokumentado

Se ni instalas la pakon libpam-doc ni havos tre bonan dokumentadon situantan en la adresaro / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # aptitude install libpam-doc
root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /

Estas ankaŭ pli da dokumentoj pri PAM en la adresaroj:

root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam0g drwxr-xr-x 4 root root 4096 Apr 7 16:31 libpam-doc drwxr-xr-x 2 root root 4096 Apr 5 21:30 libpam-gnome- ŝlosilringo drwxr-xr-x 3 root root 4096 Apr 5 21:11 libpam-modules drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 Apr 5 21: 11 libpam-runtime drwxr-xr-x 2 root root 4096 Apr 5 21:26 libpam-systemd drwxr-xr-x 3 root root 4096 5 apr 21:31 python-pam

Ni kredas, ke antaŭ ol eliri por serĉi dokumentadon en la interreto, ni devas revizii tiun jam instalitan aŭ tiun, kiun ni povas instali rekte de la programaj deponejoj, kiuj ekzistas por io, kaj multfoje ni kopias ilin al nia malmola disko. . Specimeno de ĉi tio estas la sekva:

root @ linuxbox: ~ # less / usr / share / doc / libpam-gnome-keyring / README
gnome-keyring estas programo, kiu konservas pasvorton kaj aliajn sekretojn por uzantoj. Ĝi funkcias kiel demono en la kunsido, simile al ssh-agent, kaj aliaj programoj lokalizas ĝin per ĉirkaŭa variablo aŭ D-Buso. La programo povas administri plurajn ŝlosilringojn, ĉiu kun sia majstra pasvorto, kaj ekzistas ankaŭ sesia ŝlosilringo, kiu neniam estas konservita sur disko, sed forgesita kiam la kunsido finiĝas. La biblioteko libgnome-keyring estas uzata de aplikoj por integri kun la GNOME-keyring-sistemo.

Tio tradukita tre libere volas esprimi:

  • gnome-keyring estas la programo zorge konservi pasvortojn kaj aliajn sekretojn por uzantoj. En ĉiu kunsido ĝi funkcias kiel demono, simile al la ssh-agento, kaj al aliaj aplikoj situantaj per ĉirkaŭa variablo - ĉirkaŭaĵo aŭ per D-Buso. La programo povas trakti plurajn ŝlosilringojn, ĉiu kun sia propra majstra pasvorto. Ekzistas ankaŭ ŝlosila ringa kunsido, kiu neniam estas konservita sur la fiksita disko kaj estas forgesita kiam la kunsido finiĝas. Aplikoj uzas la bibliotekon libgnome-keyring por integriĝi kun la GNOME-keyring-sistemo..

Debiano kun la Baza Operaciumo

Ni komencas de komputilo al kiu ni ĵus instalis Debian 8 "Jessie" kiel Operaciumo kaj dum ĝia instalprocezo ni elektas nur la "Bazajn sistemajn utilecojn", sen marki alian opcion por instali taskojn - taskoj aŭ antaŭdifinitaj pakaĵoj kiel la OpenSSH-servilo. Se post komencado de la unua sesio ni ekzekutas:

root @ master: ~ # pam-auth-update

ni akiros la jenajn rezultojn: Aŭtentikigo de PAM - 01 Aŭtentikigo de PAM - 02

 

 

Kio montras al ni, ke la sola PAM-Modulo uzata ĝis tiu momento estas UNIX-Aŭtentikigo. Utileco pam-auth-update Ĝi permesas al ni agordi la centran aŭtentikan politikon por sistemo uzante Antaŭdifinitajn Profilojn provizitajn de la PAM-Moduloj. Por pliaj informoj vidu viro pam-auth-update.

Ĉar ni ankoraŭ ne instalis la OpenSSH-servilon, ni ne trovos ĝian PAM-modulon en la adresaro /etc/pam.d/, kiu enhavos la PAM-modulojn kaj profilojn ŝarĝitajn ĝis ĉi tiuj momentoj:

root @ master: ~ # ls -l /etc/pam.d/
entute 76 -rw-r - r-- 1 radika radiko 235 Sep 30 2014 atd -rw-r - r-- 1 radika radiko 1208 Apr 6 22:06 komuna konto -rw-r - r-- 1 radika radiko 1221 Apr 6 22:06 common-auth -rw-r - r-- 1 radika radiko 1440 Apr 6 22:06 common-password -rw-r - r-- 1 radika radiko 1156 Apr 6 22:06 common-session -rw -r - r-- 1 radika radiko 1154 Apr 6 22:06 ofta-sesio-neinteraga -rw-r - r-- 1 radika radiko 606 11 Jun 2015 cron -rw-r - r - 1 radika radiko 384 Nov 19 2014 chfn -rw-r - r-- 1 radika radiko 92 nov 19 2014 chpasswd -rw-r - r-- 1 radika radiko 581 19 nov 2014 chsh -rw-r-- r-- 1 radika radiko 4756 19 nov 2014 ensaluto -rw-r - r-- 1 radika radiko 92 nov 19 2014 novuloj -rw-r - r-- 1 radika radiko 520 Jan 6 2016 alia -rw-r- -r-- 1 radika radiko 92 nov 19 2014 passwd - rw-r - r-- 1 radika radiko 143 29 mar 2015 runuser -rw-r - r-- 1 radika radiko 138 29 mar 2015 runuser-l -rw -r - r-- 1 radika radiko 2257 19 nov 2014 su - rw-r - r-- 1 radika radiko 220 Sep 2 2016 systemd-user

Ekzemple, uzante la modulon PAM /etc/pam.d/chfn la sistemo agordas la servon ombro, dum tra /etc/pam.d/cron la demono estas agordita cron. Por lerni iom pli, ni povas legi la enhavon de ĉiu el ĉi tiuj dosieroj, kiu estas tre instrua. Kiel specimeno ni donas sube la enhavon de la modulo /etc/pam.d/cron:

root @ master: ~ # malpli /etc/pam.d/cron
# La agorda dosiero PAM por la cron-demono

@include common-auth

# Agordas la necesan atributan sesion de loginuid pam_loginuid.so # Legu mediajn variablojn de la defaŭltaj dosieroj de pam_env, / etc / environment # kaj /etc/security/pam_env.conf. sesio necesas pam_env.so # Krome, legu informon pri loka sistemo necesas pam_env.so envfile = / etc / default / locale

@include komuna konto
@include ofta-sesio-neinteraga 

# Agordas limojn de uzantoj, bonvolu difini limojn por cron-taskoj # per /etc/security/limits.conf-sesio bezonata pam_limits.so

La ordo de la deklaroj en ĉiu el la dosieroj estas grava. Ĝenerale ni ne rekomendas modifi iun el ili krom se ni scias tre bone, kion ni faras.

Debian kun baza OS + OpenSSH

root @ master: ~ # aptitude install task-ssh-server
La jenaj NOVAJ pakoj estos instalitaj: openssh-server {a} openssh-sftp-server {a} task-ssh-server

Ni kontrolos, ke la PAM-modulo estis aldonita kaj agordita ĝuste ssh:

root @ master: ~ # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 radika radiko 2133 22 Jul 2016 /etc/pam.d/sshd

Se ni volas scii la enhavon de tiu profilo:

root @ master: ~ # malpli /etc/pam.d/sshd

Alivorte, kiam ni provas komenci foran kunsidon de alia komputilo per ssh, aŭtentikigo sur la loka komputilo estas farita per la PAM-modulo ssh ĉefe, sen forgesi la aliajn rajtigajn kaj sekurecajn aspektojn implikitajn en la ssh-servo kiel tia.

Preterpase ni aldonas, ke la ĉefa agorda dosiero de ĉi tiu servo estas / etc / ssh / sshd_config, kaj ke almenaŭ en Debian ĝi estas instalita defaŭlte sen permesi interagan ensaluton de uzanto radikon. Por permesi ĝin, ni devas modifi la dosieron / etc / ssh / sshd_config kaj ŝanĝu la linion:

PermitRootLogin sen pasvorto

bonvolu

PermitRootLogin jes

kaj poste rekomencu kaj kontrolu la staton de la servo per:

root @ master: ~ # systemctl restart ssh
root @ master: ~ # systemctl status ssh

Debiano kun la labortablo LXDE

Ni daŭras kun la sama teamo - ni ŝanĝas ilian nomon aŭ gastignomo per "linuksokesto»Por estonta uzo- al kiu ni finis instali la LXDE-labortablon. Ni kuru pam-auth-update kaj ni akiros la jenajn rezultojn: Aŭtentikigo de PAM - 03 Aŭtentikigo de PAM - 04

 

La sistemo jam ebligis ĉiujn Profilojn -Modulojn- necesajn por ĝusta aŭtentikigo dum la instalado de la labortablo LXDE, kiuj estas jenaj:

  • UNIX-Aŭtentiga Modulo.
  • Modulo, kiu registras uzantajn kunsidojn en la Hierarkia Kontrola Grupo de la sistemo.
  • GNOME-Ŝlosila Daemon-Modulo
  • Ni eluzas ĉi tiun okazon por rekomendi, ke en ĉiuj kazoj, kiam oni petas al ni "PAM-profilojn ebligi", ni elektu la opcion Krom se ni scias tre bone, kion ni faras. Se ni ŝanĝas la PAM-agordon aŭtomate kreitan de la Mastruma Sistemo mem, ni povas facile malŝalti la ensaluton en la komputilo.

En la supraj kazoj ni parolas Loka Aŭtentikigo aŭ Aŭtentikigo kontraŭ la loka komputilo kiel okazas kiam ni komencas foran sesion ssh.

Se ni efektivigos metodon de Fora Aŭtentikigo en la loka teamo Por uzantoj kun iliaj Atestiloj konservitaj en fora OpenLDAP-servilo aŭ en Aktiva Adresaro, la sistemo konsideros la novan aŭtentikan formon kaj aldonos la necesajn PAM-modulojn.

Ĉefaj dosieroj

  • / ktp / passwd: Informoj pri Uzanto-Konto
  • / ktp / ombro: Sekura Informo de Uzantaj Kontoj
  • /etc/pam.conf: Dosiero uzota nur se la dosierujo ne ekzistas /etc/pam.d/
  • /etc/pam.d/: Adresaro, kie programoj kaj servoj instalas siajn PAM-modulojn
  • /etc/pam.d/passwd: PAM-agordo por pasvorto.
  • /etc/pam.d/common-account: Rajtigaj parametroj komunaj al ĉiuj servoj
  • /etc/pam.d/common-auth: Aŭtentikigaj parametroj komunaj al ĉiuj servoj
  • /etc/pam.d/common-password: PAM-moduloj komunaj al ĉiuj servoj rilataj al pasvortoj - pasvortoj
  • /etc/pam.d/common-session: PAM-moduloj komunaj al ĉiuj servoj rilataj al sesioj de uzantoj
  • /etc/pam.d/common-session-noninteractive: PAM-moduloj komunaj al ĉiuj servoj rilataj al ne-interagaj kunsidoj aŭ kiuj ne postulas uzanton-intervenon, kiel taskoj plenumataj ĉe la komenco kaj fino de ne-interagaj kunsidoj.
  • / usr / share / doc / passwd /: Dokumenta dosierujo.

Ni rekomendas legi la manlibrojn de pasvorto y ombro mediante viro passwd y homa ombro. Ankaŭ estas sana legi la enhavon de la dosieroj komuna-konto, komuna-aŭtentika, komuna-passwrod, komuna-sesio y ofta-sesio-neinteraga.

PAM-moduloj haveblaj

Por fari ideon pri la disponeblaj PAM-moduloj apriora En la norma Debian-deponejo ni lanĉas:

buzz @ linuxbox: ~ $ aptitude search libpam

La listo estas longa kaj ni nur reflektos la modulojn, kiuj montras kiom ampleksa ĝi estas:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

Eltiru viajn proprajn konkludojn.

CentOS

Se dum la instalado ni elektas la opcion «Servilo kun GUI«, Ni akiros bonan platformon por efektivigi malsamajn servojn por la SME-Reto. Male al Debian, CentOS / Red Hat® ofertas serion de konzoloj kaj grafikaj iloj, kiuj faciligas la vivon al Sistemo aŭ Reta Administranto.

dokumentado

Instalita defaŭlte, ni trovas ĝin en la dosierujo:

[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/
entute 256 -rw-r - r--. 1 radika radiko 2045 Jun 18 2013 Kopirajto drwxr-xr-x. 2 radika radiko 4096 Apr 9 06:28 html
-rw-r - r--. 1 radika radiko 175382 5 nov 19:13 Linukso-PAM_SAG.txt -rw-r - r--. 1 radika radiko 67948 Jun 18 2013 rfc86.0.txt drwxr-xr-x. 2 radika radiko 4096 Apr 9 06:28 ĉts
[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/txts/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wheel README.pam_ADME.

Jes, ni ankaŭ nomas la CentOS-teamon "linuxbox" kiel ĉe Debian, kiu servos nin por estontaj artikoloj pri SMB-Retoj.

CentOS kun GNOME3 GUI

Kiam ni elektas la opcion «Servilo kun GUI«, La GNOME3 Labortablo kaj aliaj utilaĵoj kaj bazaj programoj estas instalitaj por disvolvi servilon. Je la nivelo de konzolo, por koni la aŭtentikan staton, kiun ni ekzekutas:

[root @ linuxbox ~] # authconfig-tui

Aŭtentikigo de PAM - 05
Ni kontrolas, ke nur la PAM-moduloj necesaj por la nuna servila agordo estas ebligitaj, eĉ modulo por legi fingrospurojn, aŭtentikan sistemon, kiun ni trovas en iuj modeloj de Tekkomputiloj.

CentOS kun GNOME3 GUI aliĝis al Microsoft Active Directory

Aŭtentikigo de PAM - 06 Kiel ni povas vidi, la necesaj moduloj estis aldonitaj kaj ebligitaj -winbind- por aŭtentikigo kontraŭ Aktiva Adresaro, dum ni intence malŝaltas la modulon por legi fingrospurojn, ĉar ĝi ne necesas.

En estonta artikolo ni traktos detale kiel aliĝi al kliento CentOS 7 al Microsoft Active Directory. Ni nur antaŭvidas tion per la ilo authoconfig-gtk La instalado de necesaj pakaĵoj, agordo de la aŭtomata kreado de adresaroj de domajnaj uzantoj, kiuj aŭtentikiĝas loke, kaj la procezo mem aliĝi al la kliento al la Domajno de Aktiva Adresaro estas ege aŭtomatigita. Eble post la kuniĝo necesos nur rekomenci la komputilon.

Ĉefaj dosieroj

La dosieroj rilataj al CentOS Authentication situas en la adresaro /etc/pam.d/:

[root @ linuxbox ~] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig login smtp authconfig-gtk other smtp.postfix authconfig-tui passwd sshd config-util password-auth su crond password-auth-ac sudo cups pluto sudo-i chfn polkit-1 su-l chsh postlogin system-auth fingerprint-auth postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config-authentication gdm-autologin remote systemd-user gdm-fingerprint runuser vlock gdm-launch-environment runuser-l vmtoolsd gdm-password samba xserver gdm-pin setup gdm-smartcard smartcard-auth

PAM-moduloj haveblaj

Ni havas la deponejojn bazo, centosplus, epel, y ĝisdatigoj. En ili ni trovas -inter aliaj- la jenajn modulojn uzante la komandojn yum serĉo pam-Yum serĉo pam_, y yum serĉo libpam:

nss-pam-ldapd.i686: nsswitch-modulo, kiu uzas adresarajn servilojn nss-pam-ldapd.x86_64: nsswitch-modulo, kiu uzas adresarajn servilojn ovirt-guest-agent-pam-module.x86_64: PAM-modulo por la oVirt Guest Agent pam -kwallet.x86_64: PAM-modulo por KWallet pam_afs_session.x86_64: AFS PAG kaj AFS-tokens dum ensaluto pam_krb5.i686: Pluggable Authentication Module por Kerberos 5 pam_krb5.x86_64: Pluggable Authentication Module por Kerberos 5 pam per MAPI kontraŭ Zarafa servilo pam_oath.x86_64: PAM-modulo por konektebla ensaluta aŭtentikigo por OATH pam_pkcs86.i64: PKCS # 11 / NSS PAM-ensaluta modulo pam_pkcs686.x11_11: PKCS # 86 / NSS PAM-ensaluta modulo pam_radius.x64_11: RADIUS-Aŭtentikigo pam_script.x86_64: PAM-modulo por plenumi skriptojn pam_snapper.i86: PAM-modulo por telefoni al Snapper pam_snapper.x64_686: PAM-modulo por nomi Snapper pam_ssh.x86_64: PAM-modulo por uzo kun SSH-ŝlosiloj kaj ssh-agent p__sh 86: PAM-modulo por aŭtentikigo kun ssh-agent pam_ssh_agent_auth.x64_686: PAM-modulo por aŭtentikigo kun ssh-agent pam_url.x86_64: PAM-modulo por aŭtentikigi per HTTP-serviloj pam_wrapper.x86_64: Ilo por testi PAM-aplikojn kaj PAM-modulojn pam_yubico.x86_64 Pluggable Authentication Module for yubikeys libpamtest-doc.x86_64: La libpamtest API-dokumentaro python-libpamtest.x86_64: Python-envolvaĵo por libpamtest libpamtest.x86_64: Ilo por testi PAM-aplikojn kaj PAM-modulojn libpamtest-devel.x86_ PAM-aplikaĵoj kaj PAM-moduloj

Resumo

Gravas havi minimuman scion pri PAM se ni volas kompreni ĝenerale kiel aŭtentikigo efektivigas ĉiun fojon kiam ni ensalutas nian Linukso / UNIX-komputilon. Ankaŭ gravas scii, ke nur per Loka Aŭtentokontrolo ni povas provizi servojn al aliaj komputiloj en malgranda reto de SME kiel Prokurilo, Poŝto, FTP, ktp, ĉiuj koncentritaj sur unu servilo. Ĉiuj antaŭaj servoj -kaj multaj pli kiel ni vidis antaŭe- havas sian PAM-modulon.

Konsultitaj fontoj

PDF-versio

Elŝutu la PDF-version Ĉi tie.

Ĝis la sekva artikolo!

Aŭtoro: Federico A. Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

6 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   lacerto diris

    Tre detala artikolo pri aŭtentikigo per PAM, mi konfesas, ke mi ne detale konis la funkciadon de aŭtentikigo kaj la senfinan nombron da pli detalaj kaj sekuraj aplikoj, kiujn ni povus doni al vi. Ĉi tio estas bonega artikolo, kiu permesas al vi bildigi la amplekson de PAM-Aŭtentikigo, kiu ankaŭ povas havi multoblajn celojn en PYME.

    Ankoraŭ unu el viaj bonegaj kontribuoj, dankegon pro tiel bona Fico Material

  2.   anonima diris

    Dankon pro via komento, kara Luigys. La celo de la artikolo estas malfermi la mensojn de legantoj pri PAM kaj ĝiaj moduloj. Mi pensas, ke la afiŝo sukcesas.
    Cetere mi informas vin, ke la komentoj ne atingas min poŝte.

  3.   federika diris

    hehehe, mi forgesis skribi mian retpoŝtan adreson en la antaŭa komento. Tial Anonimulo aperas. 😉

  4.   HO2GI diris

    Bonega artikolo, kiel ĉiam.

  5.   ĉasisto diris

    Tre instrua Federico, mi devis trakti PAM pli ol unu fojon kaj mi admiras la dezajnon, estas tre utile povi enmeti funkciojn en la hokojn, kiujn ĝi permesas, ekzemple la lasta afero, kiun mi faris, estis REST API en Python / Flakono, kiu kolektas la ensalutojn kaj elsalutojn de la uzantoj de mia domajno (granda frata stilo, por scii ĉion), ĉar ili ne divenas, kien mi metis la alvokojn por kurbigi por informi la api? Nu jes, kun PAM.

  6.   federika diris

    Dankon HO2GI pro la taksado de la afiŝo.
    Dhunter: Saluton denove. Kiel ĉiam vi faras tre interesajn aferojn. Nenio, ĉi tiu afiŝo estas unu el tiuj, kiujn mi katalogas "por malfermi mensojn."