Autenticazione PAM - Reti di PMI

Indice generale della serie: Reti di computer per le PMI: Introduzione

Ciao amici e amici!

Con questo articolo intendiamo offrire una panoramica al tema dell'autenticazione tramite PAM. Siamo abituati a utilizzare la nostra Workstation quotidianamente con un sistema operativo Linux / UNIX e raramente ci fermiamo a studiare come si verifica il meccanismo di autenticazione ogni volta che iniziamo una sessione. Sappiamo dell'esistenza degli archivi /etc/passwd e / etc / shadow che costituiscono il database principale delle credenziali di autenticazione degli utenti locali. Ci auguriamo che dopo aver letto questo post tu abbia almeno un'idea chiara di come funziona PAM.

Autenticazione

L'autenticazione - per scopi pratici - è il modo in cui un utente viene verificato rispetto a un sistema. Il processo di autenticazione richiede la presenza di una serie di identità e credenziali - nome utente e password - che vengono confrontate con le informazioni memorizzate in un database. Se le credenziali presentate sono le stesse di quelle memorizzate e l'account dell'utente è attivo, si dice che lo sia autentico superato con successo o con successo il autenticazione.

Una volta che l'utente è stato autenticato, tali informazioni vengono passate al file servizio di controllo accessi per determinare cosa può fare quell'utente nel sistema e quali risorse ha dovuto autorización per accedervi.

Le informazioni per verificare l'utente possono essere archiviate in database locali sul sistema oppure il sistema locale può fare riferimento a un database esistente su un sistema remoto, come LDAP, Kerberos, database NIS e così via.

La maggior parte dei sistemi operativi UNIX® / Linux dispone degli strumenti necessari per configurare il servizio di autenticazione client / server per i tipi più comuni di database utente. Alcuni di questi sistemi hanno strumenti grafici molto completi come Red Hat / CentOS, SUSE / openSUSE e altre distribuzioni.

PAM: modulo di autenticazione inseribile

I Moduli che vengono inseriti per l'autenticazione Li usiamo quotidianamente quando accediamo al nostro desktop con un sistema operativo basato su Linux / UNIX e in molte altre occasioni quando accediamo a servizi locali o remoti che hanno uno specifico modulo PAM locale inserito per l'autenticazione su quel servizio.

Un'idea pratica di come vengono inseriti i moduli PAM può essere ottenuta attraverso la sequenza di stati di autenticazione en un team con Debian e en un altro con CentOS che svilupperemo successivamente.

Debian

documentazione

Se installiamo il pacchetto libpam-doc avremo un'ottima documentazione situata nella directory / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # aptitude install libpam-doc
root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /

C'è anche altra documentazione su PAM nelle directory:

root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 5 aprile 21:11 libpam0g drwxr-xr-x 4 root root 4096 7 aprile 16:31 libpam-doc drwxr-xr-x 2 root root 4096 5 aprile 21:30 libpam-gnome- portachiavi drwxr-xr-x 3 root root 4096 5 aprile 21:11 libpam-modules drwxr-xr-x 2 root root 4096 5 aprile 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 5 aprile 21: 11 libpam-runtime drwxr-xr-x 2 root root 4096 5 aprile 21:26 libpam-systemd drwxr-xr-x 3 root root 4096 5 aprile 21:31 python-pam

Crediamo che prima di cercare la documentazione su Internet, dovremmo rivedere quella che è già installata o quella che possiamo installare direttamente dai repository di programmi esistenti per qualcosa e in molte occasioni li copiamo sul nostro disco rigido. Un esempio di questo è il seguente:

root @ linuxbox: ~ # less / usr / share / doc / libpam-gnome-keyring / README
gnome-keyring è un programma che mantiene la password e altri segreti per gli utenti. Viene eseguito come un demone nella sessione, simile a ssh-agent, e altre applicazioni lo individuano tramite una variabile di ambiente o un D-Bus. Il programma può gestire diversi portachiavi, ciascuno con la propria password principale, ed è presente anche un portachiavi di sessione che non viene mai memorizzato su disco, ma dimenticato al termine della sessione. La libreria libgnome-keyring viene utilizzata dalle applicazioni per integrarsi con il sistema di portachiavi GNOME.

Quello tradotto molto liberamente vuole esprimere:

• gnome-keyring è il programma incaricato di conservare le password e altri segreti per gli utenti. In ogni sessione viene eseguito come un demone, simile a ssh-agent e ad altre applicazioni che si trovano tramite una variabile d'ambiente - ambiente o tramite D-Bus. Il programma può gestire diversi portachiavi, ciascuno con la propria password principale. Esiste anche una sessione portachiavi che non viene mai memorizzata sul disco rigido e viene dimenticata al termine della sessione. Le applicazioni utilizzano la libreria libgnome-keyring per integrarsi con il sistema di portachiavi GNOME.

Debian con il sistema operativo di base

Partiamo da un computer su cui abbiamo appena installato Debian 8 "Jessie" come sistema operativo e durante il suo processo di installazione selezioniamo solo le "utilità di sistema di base", senza contrassegnare nessun'altra opzione per installare le attività - task o pacchetti predefiniti come il server OpenSSH. Se dopo aver avviato la prima sessione eseguiamo:

root @ master: ~ # pam-auth-update

otterremo i seguenti output:

Il che ci mostra che l'unico modulo PAM in uso fino a quel momento è l'autenticazione UNIX. Utilità aggiornamento pam-auth ci consente di configurare la politica di autenticazione centrale per un sistema quando si utilizzano i profili predefiniti forniti dai moduli PAM. Per ulteriori informazioni, vedere uomo pam-auth-aggiornamento.

Poiché non abbiamo ancora installato il server OpenSSH, non troveremo il suo modulo PAM nella directory /ecc/pam.d/, che conterrà i moduli e i profili PAM caricati fino a questi momenti:

root @ master: ~ # ls -l /etc/pam.d/
totale 76 -rw-r - r-- 1 radice radice 235 30 settembre 2014 atd -rw-r - r-- 1 radice radice 1208 6 aprile 22:06 conto comune -rw-r - r-- 1 root root 1221 6 aprile 22:06 common-auth -rw-r - r-- 1 root root 1440 6 aprile 22:06 common-password -rw-r - r-- 1 root root 1156 6 aprile 22:06 common-session -rw-r - r-- 1 root root 1154 Apr 6 22:06 common-session-noninteractive -rw-r - r-- 1 root root 606 Jun 11 2015 cron -rw-r - r - 1 radice radice 384 19 novembre 2014 chfn -rw-r - r-- 1 radice radice 92 19 novembre 2014 chpasswd -rw-r - r-- 1 radice radice 581 19 novembre 2014 chsh -rw-r-- r-- 1 root root 4756 Nov 19 2014 login -rw-r - r-- 1 root root 92 Nov 19 2014 newusers -rw-r - r-- 1 root root 520 Jan 6 2016 altro -rw-r- -r-- 1 root root 92 19 novembre 2014 passwd -rw-r - r-- 1 root root 143 29 marzo 2015 runuser -rw-r - r-- 1 root root 138 29 marzo 2015 runuser-l -rw -r - r-- 1 root root 2257 19 novembre 2014 su -rw-r - r-- 1 root root 220 2 settembre 2016 systemd-user

Ad esempio, utilizzando il modulo PAM /etc/pam.d/chfn il sistema configura il servizio Shadow, mentre attraverso /etc/pam.d/cron il demone è configurato cron. Per saperne di più possiamo leggere il contenuto di ciascuno di questi file che è molto istruttivo. Come esempio diamo di seguito il contenuto del modulo /etc/pam.d/cron:

root @ master: ~ # meno /etc/pam.d/cron
# Il file di configurazione PAM per il demone cron

@include autenticazione comune

# Imposta l'attributo del processo loginuid session richiesta pam_loginuid.so # Legge le variabili d'ambiente dai file predefiniti di pam_env, / etc / environment # e /etc/security/pam_env.conf. sessione richiesta pam_env.so # Inoltre, leggere le informazioni sulla locale di sistema richiesta sessione pam_env.so envfile = / etc / default / locale

@include account comune
@include sessione comune non interattiva 

# Imposta i limiti degli utenti, si prega di definire i limiti per le attività di cron # tramite /etc/security/limits.conf sessione richiesta pam_limits.so

L'ordine delle istruzioni all'interno di ciascuno dei file è importante. In termini generali, non consigliamo di modificarli a meno che non sappiamo molto bene cosa stiamo facendo.

Debian con sistema operativo di base + OpenSSH

root @ master: ~ # aptitude install task-ssh-server
Verranno installati i seguenti NUOVI pacchetti: openssh-server {a} openssh-sftp-server {a} task-ssh-server

Verificheremo che il modulo PAM sia stato aggiunto e configurato correttamente sshd:

root @ master: ~ # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 root root 2133 22 luglio 2016 /etc/pam.d/sshd

Se vogliamo conoscere il contenuto di quel profilo:

root @ master: ~ # meno /etc/pam.d/sshd

In altre parole, quando proviamo ad avviare una sessione remota da un altro computer utilizzando SSH, l'autenticazione sul computer locale viene eseguita tramite il modulo PAM sshd principalmente, senza dimenticare gli altri aspetti di autorizzazione e sicurezza coinvolti nel servizio ssh in quanto tale.

A proposito, aggiungiamo che il file di configurazione principale di questo servizio è /etc/ssh/sshd_confige che almeno in Debian è installato di default senza consentire il login interattivo dell'utente radice. Per consentirlo, dobbiamo modificare il file /etc/ssh/sshd_config e cambia linea:

PermitRootLogin senza password

by

PermitRootLogin sì

quindi riavvia e controlla lo stato del servizio:

root @ master: ~ # systemctl riavvia ssh
root @ master: ~ # systemctl status ssh

Debian con il desktop LXDE

Continuiamo con la stessa squadra: cambiamo il loro nome o hostname di "scatola linux»Per uso futuro, per il quale abbiamo terminato l'installazione del desktop LXDE. Corriamo aggiornamento pam-auth e otterremo i seguenti output:

Il sistema ha già abilitato tutti i Profili -Moduli- necessari per una corretta autenticazione durante l'installazione del desktop LXDE, che sono i seguenti:

• Modulo di autenticazione UNIX.
• Modulo che registra le sessioni utente nel gruppo di controllo gerarchico di systemd.
• Modulo demone portachiavi GNOME

• Cogliamo l'occasione per raccomandare che in tutti i casi, quando ci viene chiesto "Profili PAM da abilitare", selezioniamo l'opzione A meno che non sappiamo molto bene cosa stiamo facendo. Se modifichiamo la configurazione PAM che viene eseguita automaticamente dal sistema operativo stesso, possiamo facilmente disabilitare il login sul computer.

Nei casi sopra di cui stiamo parlando Autenticazione locale o Autenticazione sul computer locale come accade quando iniziamo una sessione remota tramite SSH.

Se implementiamo un metodo di Autenticazione remota nella squadra locale Per gli utenti con le proprie credenziali archiviate in un server OpenLDAP remoto o in una Active Directory, il sistema terrà conto della nuova forma di autenticazione e aggiungerà i moduli PAM necessari.

File principali

• /etc/passwd: Informazioni sull'account utente
• / etc / shadow: Informazioni sicure sugli account utente
• /etc/pam.conf: File che deve essere utilizzato solo se la directory non esiste /ecc/pam.d/
• /ecc/pam.d/: Directory in cui programmi e servizi installano i propri moduli PAM
• /etc/pam.d/passwd: Configurazione PAM per passwd.
• /etc/pam.d/conto-comune: Parametri di autorizzazione comuni a tutti i servizi
• /etc/pam.d/common-auth: Parametri di autenticazione comuni a tutti i servizi
• /etc/pam.d/password-comune: Moduli PAM comuni a tutti i servizi relativi alle password - password
• /etc/pam.d/sessione-comune: Moduli PAM comuni a tutti i servizi relativi alle sessioni utente
• /etc/pam.d/common-session-noninteractive: Moduli PAM comuni a tutti i servizi relativi a sessioni non interattive o che non richiedono l'intervento dell'utente, come attività che vengono eseguite all'inizio e alla fine di sessioni non interattive.
• / usr / share / doc / passwd /: Directory della documentazione.

Si consiglia di leggere le pagine di manuale di passwd y ombra attraverso uomo passwd y ombra dell'uomo. È anche salutare leggere il contenuto dei file account comune, autenticazione comune, passwrod comune, sessione comune y comune-sessione-non interattivo.

Moduli PAM disponibili

Per avere un'idea dei moduli PAM disponibili a priori Nel repository Debian standard, eseguiamo:

buzz @ linuxbox: ~ $ aptitude search libpam

L'elenco è lungo e rifletteremo solo i moduli che mostrano quanto sia ampio:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

Traccia le tue conclusioni.

CentOS

Se durante il processo di installazione selezioniamo l'opzione «Server con GUI«, Otterremo una buona piattaforma per implementare diversi servizi per la rete delle PMI. A differenza di Debian, CentOS / Red Hat® offre una serie di console e strumenti grafici che semplificano la vita a un amministratore di sistema o di rete.

documentazione

Installato di default, lo troviamo nella directory:

[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/
totale 256 -rw-r - r--. 1 radice radice 2045 18 giugno 2013 Copyright drwxr-xr-x. 2 radice radice 4096 9 aprile 06:28 html
-rw-r - r--. 1 root root 175382 5 novembre 19:13 Linux-PAM_SAG.txt -rw-r - r--. 1 radice radice 67948 18 giugno 2013 rfc86.0.txt drwxr-xr-x. 2 radice radice 4096 9 aprile 06:28 txt

[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/txts/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wheel README.

Sì, chiamiamo anche il team di CentOS "linuxbox" come Debian, che ci servirà per i futuri articoli sulle reti SMB.

CentOS con GNOME3 GUI

Quando selezioniamo l'opzione «Server con GUI«, Il desktop GNOME3 e altre utilità e programmi di base vengono installati per sviluppare un server. A livello di console, per conoscere lo stato dell'autenticazione eseguiamo:

[root @ linuxbox ~] # authconfig-tui

Verifichiamo che siano abilitati solo i moduli PAM necessari per l'attuale configurazione del server, anche un modulo per la lettura delle impronte, sistema di autenticazione che troviamo in alcuni modelli di Laptop.

CentOS con GNOME3 GUI unito a Microsoft Active Directory

Come possiamo vedere, i moduli necessari sono stati aggiunti e abilitati -winbind- per l'autenticazione su Active Directory, mentre disabilitiamo di proposito il modulo per leggere le impronte, perché non è necessario.

In un prossimo articolo tratteremo in dettaglio come unire un client CentOS 7 a una Microsoft Active Directory. Lo prevediamo solo utilizzando lo strumento autoconfig-gtk L'installazione dei pacchetti necessari, la configurazione della creazione automatica delle directory degli utenti del dominio che si autenticano localmente e il processo stesso di adesione del client al dominio di una Active Directory è tremendamente automatizzato. Forse dopo l'unione sarà solo necessario riavviare il computer.

File principali

I file relativi all'autenticazione CentOS si trovano nella directory /ecc/pam.d/:

[root @ linuxbox ~] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig login smtp authconfig-gtk other smtp.postfix authconfig-tui passwd sshd config-util password-auth su crond password-auth-ac sudo cups pluto sudo-i chfn polkit-1 su-l chsh postlogin system-auth fingerprint-auth postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config-authentication gdm-autologin remote systemd-user gdm-fingerprint runuser vlock gdm-launch-environment runuser-l vmtoolsd gdm-password samba xserver gdm-pin configurazione gdm-smartcard smartcard-auth

Moduli PAM disponibili

Abbiamo i repository base, centosplus, epel, y aggiornamenti. In essi troviamo, tra gli altri, i seguenti moduli che utilizzano i comandi yum cerca pam-,  yum cerca pam_ e yum cerca libpam:

nss-pam-ldapd.i686: un modulo nsswitch che utilizza server di directory nss-pam-ldapd.x86_64: un modulo nsswitch che utilizza server di directory ovirt-guest-agent-pam-module.x86_64: modulo PAM per oVirt Guest Agent pam -kwallet.x86_64: modulo PAM per KWallet pam_afs_session.x86_64: token AFS PAG e AFS all'accesso pam_krb5.i686: un modulo di autenticazione inseribile per Kerberos 5 pam_krb5.x86_64: un modulo di autenticazione inseribile per Kerberos 5 modulo pam_86_ pam_64 tramite MAPI su un server Zarafa pam_oath.x86_64: un modulo PAM per l'autenticazione di login collegabile per OATH pam_pkcs11.i686: PKCS # 11 / NSS PAM login module pam_pkcs11.x86_64: PKCS # 11 / NSS PAM login module pam_radius.x86_64: PAM Module for Autenticazione RADIUS pam_script.x86_64: modulo PAM per eseguire script pam_snapper.i686: modulo PAM per chiamare snapper pam_snapper.x86_64: modulo PAM per chiamare snapper pam_ssh.x86_64: modulo PAM da utilizzare con chiavi SSH e ssh-agent pam_ssh_agent_686 86: modulo PAM per autenticazione con ssh-agent pam_ssh_agent_auth.x64_86: modulo PAM per autenticazione con ssh-agent pam_url.x64_86: modulo PAM per autenticazione con server HTTP pam_wrapper.x64_86: uno strumento per testare applicazioni PAM e moduli PAM pam_yubico.x64_86: Un modulo di autenticazione inseribile per yubikeys libpamtest-doc.x64_86: la documentazione dell'API libpamtest python-libpamtest.x64_86: un wrapper python per libpamtest libpamtest.x64_86: uno strumento per testare applicazioni PAM e moduli PAM libpamtest-devel.x64_XNUMX: uno strumento per testare Applicazioni PAM e moduli PAM

Riassunto

È importante avere un minimo di conoscenza di PAM se vogliamo capire in modo generale come viene eseguita l'autenticazione ogni volta che accediamo al nostro computer Linux / UNIX. È anche importante sapere che solo con l'autenticazione locale possiamo fornire servizi ad altri computer in una piccola rete di PMI come Proxy, Mail, FTP, ecc., Tutti concentrati su un unico server. Tutti i servizi precedenti, e molti altri come abbiamo visto in precedenza, hanno il loro modulo PAM.

Fonti consultate

• Manuali dei comandi - pagine man.
• Autenticazione: Pagina Wikipedia in spagnolo
• Moduli di autenticazione collegabili
• Red_Hat_Enterprise_Linux-6-Deployment_Guide-it-IT

Versione PDF

Scarica la versione PDF qui.

Fino al prossimo articolo!

Autore: Federico A. Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico