PAM ავთენტიფიკაცია - მცირე და საშუალო ბიზნესის ქსელები

სერიის ზოგადი ინდექსი: კომპიუტერული ქსელები მცირე და საშუალო ბიზნესისთვის: შესავალი

გამარჯობა მეგობრებო და მეგობრებო!

ამ სტატიის საშუალებით, ჩვენ ვთავაზობთ მიმოხილვას ავტორიზაციის საკითხის შესახებ PAM. ჩვენ შევეჩვიეთ ყოველდღიურად გამოიყენოთ ჩვენი სამუშაო სადგური Linux / UNIX ოპერაციული სისტემით და რამდენჯერმე ვწყვეტთ შესწავლას, თუ როგორ ხდება ავტორიზაციის მექანიზმი ყოველ ჯერზე, როდესაც სხდომას ვიწყებთ. ვიცით თუ არა არქივების არსებობა / etc / passwd, ხოლო / ა.შ. / ჩრდილი ეს წარმოადგენს ადგილობრივი მომხმარებლების ავტორიზაციის სერთიფიკატების მთავარ მონაცემთა ბაზას. ვიმედოვნებთ, რომ ამ პოსტის წაკითხვის შემდეგ თქვენ გექნებათ, თუნდაც, მკაფიო წარმოდგენა, თუ როგორ მუშაობს PAM.

ავთენტიფიკაცია

ავთენტიფიკაცია - პრაქტიკული მიზნებისათვის - არის სისტემის გადამოწმების მომხმარებელი. ავთენტიფიკაციის პროცესი მოითხოვს პირადობისა და სერთიფიკატების კომპლექტს - მომხმარებლის სახელს და პაროლს, რომლებიც შედარებულია მონაცემთა ბაზაში შენახულ ინფორმაციასთან. თუ წარმოდგენილი სერთიფიკატები იგივეა, რაც შენახული და მომხმარებლის ანგარიში აქტიურია, ნათქვამია მომხმარებლის შესახებ ავთენტური წარმატებით ან წარმატებით გაიარა ავთენტიფიკაცია.

მომხმარებლის ავტორიზაციის შემდეგ, ეს ინფორმაცია გადაეცემა მომხმარებელს წვდომის კონტროლის სერვისი იმის დასადგენად, რისი გაკეთება შეუძლია ამ მომხმარებელს სისტემაში და რა რესურსების გამო აქვს ისინი ავტორიზაცია მათზე წვდომა.

მომხმარებლის დასაზუსტებლად ინფორმაციის შენახვა შესაძლებელია სისტემაში არსებულ ლოკალურ მონაცემთა ბაზაში, ან ადგილობრივმა სისტემამ შეიძლება მიმართოს არსებულ მონაცემთა ბაზას დისტანციურ სისტემაზე, როგორიცაა LDAP, Kerberos, NIS მონაცემთა ბაზები და ა.შ.

UNIX® / Linux ოპერაციული სისტემების უმეტესობას აქვს საჭირო ინსტრუმენტები მომხმარებლის / სერვერის ავთენტიფიკაციის სერვისის კონფიგურაციისათვის ყველაზე გავრცელებული ტიპის მომხმარებლის მონაცემთა ბაზაში. ზოგიერთ ამ სისტემას აქვს ძალიან სრულყოფილი გრაფიკული ინსტრუმენტი, როგორიცაა Red Hat / CentOS, SUSE / openSUSE და სხვა დისტრიბუციები.

PAM: Pluggable ავთენტიფიკაციის მოდული

L ავთენტიფიკაციისთვის ჩასმული მოდულები ჩვენ ყოველდღიურად ვიყენებთ მათ, როდესაც სამუშაო მაგიდაზე შევალთ Linux / UNIX- ზე დაფუძნებულ ოპერაციულ სისტემაზე და ბევრ სხვა შემთხვევაზე, როდესაც ვწვდებით ადგილობრივ ან დისტანციურ სერვისებს, რომლებსაც აქვთ კონკრეტული ადგილობრივი PAM მოდული. ჩასმული ავტორიზაციისთვის ამ სერვისის წინააღმდეგ.

პრაქტიკული იდეა იმის შესახებ, თუ როგორ ხდება PAM მოდულების ჩასმა, შესაძლებელია სახელმწიფო თანმიმდევრობით ავტორიზაციის en გუნდი დებიანთან და en სხვა CentOS– ით რომ შემდეგ განვითარდეს.

Debian

დოკუმენტაცია

თუ პაკეტს დავაყენებთ libpam-doc ჩვენ გვექნება ძალიან კარგი დოკუმენტაცია, რომელიც განთავსებულია ამ დირექტორიაში / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # შესაძლებლობა დააინსტალირეთ libpam-doc
root @ linuxbox: l # ls -l / usr / share / doc / libpam-doc /

დირექტორიებში აგრეთვე მეტი დოკუმენტაციაა PAM– ზე:

root @ linuxbox: l # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 აპრილი 5 21:11 libpam0g drwxr-xr-x 4 root root 4096 აპრილი 7 16:31 libpam-doc drwxr-xr-x 2 root root 4096 აპრილი 5 21:30 libpam-gnome- keyring drwxr-xr-x 3 root root 4096 5 აპრილი 21:11 libpam-modules drwxr-xr-x 2 root root 4096 აპრილი 5 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 აპრილი 5 21 11: 2 libpam-runtime drwxr-xr-x 4096 root root 5 21 აპრილი 26:3 libpam-systemd drwxr-xr-x 4096 root root 5 აპრილი 21 31:XNUMX python-pam

ჩვენ გვჯერა, რომ ინტერნეტში დოკუმენტაციის ძიებამდე უნდა გადავხედოთ იმას, რაც უკვე დაინსტალირებულია ან ის, რომლის ინსტალაციაც შეგვიძლია უშუალოდ პროგრამის საცავებიდან, რისთვისაც არსებობს და ბევრჯერ ვაკოპირებთ მათ ჩვენს მყარ დისკზე. ამის მაგალითია შემდეგი:

root @ linuxbox: ~ # less / usr / share / doc / libpam-gnome-keyring / README
gnome-keyring არის პროგრამა, რომელიც ინახავს პაროლისა და სხვა საიდუმლოებებს მომხმარებლებისთვის. იგი აწარმოებს როგორც daemon სესიას, ssh-agent- ის მსგავსი, და სხვა პროგრამები მას ადგილს იკავებენ გარემოს ცვლადის ან D-Bus- ის საშუალებით. პროგრამას შეუძლია მართოს რამდენიმე კლავიში, თითოეულს აქვს თავისი ძირითადი პაროლი, ასევე არის სესიის კლავიში, რომელიც არასდროს ინახება დისკზე, მაგრამ სესიის დასრულებისას ავიწყდება. ბიბლიოთეკის libgnome-keyring აპლიკაციებს იყენებენ GNOME კლავიშთა სისტემაში ინტეგრირებისთვის.

ამ თარგმანს ძალიან თავისუფლად სურს გამოხატოს:

• gnome-keyring არის პროგრამა, რომელიც პასუხისმგებელია მომხმარებლისთვის პაროლებისა და სხვა საიდუმლოების შენახვაზე. თითოეულ სესიაში ის მუშაობს როგორც daemon, მსგავსი ssh- აგენტისა და სხვა პროგრამებისთვის, რომლებიც განლაგებულია გარემოს ცვლადში - გარემოში ან D-Bus- ის საშუალებით. პროგრამას შეუძლია გაუმკლავდეს რამდენიმე კლავიშს, თითოეულს აქვს საკუთარი ძირითადი პაროლი. ასევე არსებობს კლავიშების სხდომა, რომელიც არასდროს ინახება მყარ დისკზე და მახსოვს სხდომის დასრულებისას. პროგრამები იყენებენ libgnome-keyring ბიბლიოთეკას GNOME კლავიშთა სისტემაში ინტეგრირებისთვის.

Debian ბაზის ოპერაციული სისტემით

ჩვენ ვიწყებთ კომპიუტერიდან, რომელსაც ახლახან დავაინსტალირეთ Debian 8 "Jessie" როგორც ოპერაციული სისტემა და მისი ინსტალაციის პროცესში ვირჩევთ მხოლოდ "Basic system utilities" - ს, დავალებების დაყენების სხვა ვარიანტის გარეშე. ამოცანები ან წინასწარ განსაზღვრული პაკეტები, როგორიცაა OpenSSH სერვერი. თუ პირველი სესიის დაწყების შემდეგ შევასრულებთ:

root @ master: ~ # pam-auth- განახლება

ჩვენ მივიღებთ შემდეგ შედეგებს:

 

 

რაც გვაჩვენებს, რომ ერთადერთი PAM მოდული, რომელიც გამოიყენება ამ მომენტამდე, არის UNIX ავთენტიფიკაცია. კომუნალური pam-auth- განახლება საშუალებას გვაძლევს სისტემის კონფიგურაციისთვის ავტორიზაციის ცენტრალური პოლიტიკა გავაკეთოთ PAM მოდულების მიერ მოწოდებული წინასწარ განსაზღვრული პროფილების გამოყენებისას. დამატებითი ინფორმაციისთვის იხილეთ კაცი pam-auth- განახლება.

რადგან ჯერ არ გვაქვს დაინსტალირებული OpenSSH სერვერი, დირექტორიაში ვერ ვიპოვით მის PAM მოდულს /და ა.შ/pam.d/, რომელიც შეიცავს ამ მომენტამდე დატვირთულ PAM მოდულებსა და პროფილებს:

root @ master: l # ls -l /etc/pam.d/
სულ 76 -rw-r - r-- 1 ფესვის ფესვი 235 სექტემბერი 30 2014 atd -rw-r - r-- 1 ძირეული ფესვი 1208 აპრილი 6 22:06 common-account -rw-r - r-- 1 root root 1221 აპრილი 6 22:06 common-auth -rw-r - r-- 1 root root 1440 აპრილი 6 22:06 common-password -rw-r - r-- 1 root root 1156 აპრილი 6 22:06 common-session -rw-r - r-- 1 root root 1154 აპრილი 6 22:06 common-session-noninteractive -rw-r - r-- 1 root root 606 Jun 11 2015 cron -rw-r - r - 1 root root 384 Nov 19 2014 chfn -rw-r - r-- 1 root root 92 Nov 19 2014 chpasswd -rw-r - r-- 1 root root 581 Nov 19 2014 chsh -rw-r-- r-- 1 ფესვის ფესვი 4756 19 ნოემბერი 2014 შესვლა -rw-r - r-- 1 ფესვი ფესვი 92 ნოემბერი 19 2014 newusers -rw-r - r-- 1 ფესვი ფესვი 520 6 იანვარი 2016 სხვა -rw-r- -r-- 1 root root 92 Nov 19 2014 passwd -rw-r - r-- 1 root root 143 29 2015 1 runuser -rw-r - r-- 138 root root 29 2015 1 2257 runuser-l -rw -r - r-- 19 root root 2014 Nov 1 220 su -rw-r - r-- 2 root root 2016 სექ XNUMX XNUMX systemd- მომხმარებელი

მაგალითად, PAM მოდულის გამოყენება /და ა.შ/pam.d/chfn სისტემა აყენებს სერვისის კონფიგურაციას Shadow, ხოლო მეშვეობით /და ა.შ.pam.d/cron daemon არის კონფიგურირებული cron. ცოტა მეტი რომ ვისწავლოთ, შეგვიძლია წავიკითხოთ თითოეული ამ ფაილის შინაარსი, რომელიც ძალზედ სასწავლოა. როგორც ნიმუში, ქვემოთ მოცემულია მოდულის შინაარსი /და ა.შ.pam.d/cron:

root @ master: ~ # ნაკლებად /etc/pam.d/cron
# PAM კონფიგურაციის ფაილი cron daemon- ისთვის

@ მოიცავს ავტორი

# აყენებს შესვლის პროცესის ატრიბუტის სესიის საჭირო pam_loginuid.so # წაიკითხეთ გარემოს ცვლადები pam_env- ის ნაგულისხმევი ფაილებიდან, / etc / Environment # და /etc/security/pam_env.conf. სესიის საჭიროება pam_env.so # გარდა ამისა, წაიკითხეთ სისტემის ლოკალების შესახებ საჭირო ინფორმაცია სესიის შესახებ pam_env.so envfile = / etc / default / locale

@ მოიცავს საერთო ანგარიშს
@ ჩასვით საერთო სესია-არაინტერაქტიული 

# ადგენს მომხმარებლის ლიმიტებს, გთხოვთ, განსაზღვროთ cron დავალებების ლიმიტები # /etc/security/limits.conf სესიისთვის საჭიროა pam_limits.so

დეკლარაციების თანმიმდევრობა მნიშვნელოვანია. ზოგადად, ჩვენ არ გირჩევთ რომელიმე მათგანის შეცვლას, თუ კარგად არ ვიცით რას ვაკეთებთ.

Debian ბაზის OS + OpenSSH- ით

root @ master: ~ # aptitude დააინსტალირეთ task-ssh-server
დაინსტალირდება შემდეგი ახალი პაკეტები: openssh-server {a} openssh-sftp-server {a} task-ssh-server

ჩვენ გადავამოწმებთ, რომ PAM მოდული დაემატა და კონფიგურირებულია სწორად სშდ:

root @ master: l # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 ფესვის ფესვი 2133 ივლ 22, 2016 / და ა.შ. /pam.d/sshd

თუ გვინდა ვიცოდეთ ამ პროფილის შინაარსი:

root @ master: ~ # ნაკლებად /etc/pam.d/sshd

სხვა სიტყვებით რომ ვთქვათ, როდესაც ჩვენ ვცდილობთ დავიწყოთ დისტანციური სესია სხვა კომპიუტერიდან სშ, ადგილობრივ კომპიუტერზე ავთენტიფიკაცია ხორციელდება PAM მოდულის საშუალებით სშდ ძირითადად, სხვა ავტორიზაციისა და უსაფრთხოების ასპექტების დავიწყების გარეშე, რომლებიც ssh სერვისშია ჩართული.

სხვათა შორის, ჩვენ ვამატებთ, რომ ამ სერვისის მთავარი კონფიგურაციის ფაილია / etc / ssh / sshd_config, და რომ მინიმუმ Debian– ში ის დაინსტალირებულია ნაგულისხმევად, მომხმარებლის ინტერაქტიული შესვლის გარეშე root. ამის დასაშვებად უნდა შეცვალოთ ფაილი / etc / ssh / sshd_config და შეცვალეთ ხაზი:

PermitRootLogin პაროლის გარეშე

მიერ

PermitRootLogin დიახ

შემდეგ გადატვირთეთ და შეამოწმეთ მომსახურების სტატუსი შემდეგით:

root @ master: ~ # systemctl გადატვირთეთ ssh
root @ master: system # systemctl სტატუსი ssh

Debian LXDE დესკტოპით

ჩვენ იგივე გუნდთან ერთად ვაგრძელებთ - მათ სახელს ვცვლით ან მასპინძლის სახელი ავტორი "ლინუქსბოქსი»სამომავლო გამოყენებისათვის - რომელზეც დავასრულეთ LXDE Desktop. Მოდი გავიქცეთ pam-auth- განახლება და ჩვენ მივიღებთ შემდეგ შედეგებს:

 

სისტემამ უკვე ჩართო ყველა პროფილები - მოდულები - LXDE დესკტოპის ინსტალაციის დროს სწორი ავთენტიფიკაციისთვის საჭირო, რომლებიც შემდეგია:

• UNIX ავთენტიფიკაციის მოდული.
• მოდული, რომელიც აღრიცხავს მომხმარებლის სესიებს იერარქიული კონტროლის ჯგუფში systemd.
• GNOME კლავიშების Daemon მოდული

• ჩვენ ვსარგებლობთ ამ შესაძლებლობით და გირჩევთ, რომ ყველა შემთხვევაში, როდესაც გვთხოვენ "PAM პროფილების ჩართვას", ავირჩიოთ ვარიანტი თუ კარგად არ ვიცით რას ვაკეთებთ. თუ ჩვენ შევცვლით PAM კონფიგურაციას, რომელიც ავტომატურად ხდება ოპერაციული სისტემის მიერ, ჩვენ შეგვიძლია მარტივად გავთიშოთ სისტემაში შესვლა.

აღნიშნულ შემთხვევებზე ჩვენ ვსაუბრობთ ადგილობრივი ავთენტიფიკაცია ან ავთენტიფიკაცია ადგილობრივი კომპიუტერის წინააღმდეგ, როგორც ეს ხდება, როდესაც დისტანციური სესიის დაწყებას ვიწყებთ სშ.

თუ ჩვენ განვახორციელებთ მეთოდს დისტანციური ავთენტიფიკაცია ადგილობრივ გუნდში მომხმარებლებისთვის მათი სერთიფიკატებით შენახული დისტანციური OpenLDAP სერვერში ან აქტიურ დირექტორიაში, სისტემა გაითვალისწინებს ავთენტიფიკაციის ახალ ფორმას და დაამატებს საჭირო PAM მოდულებს.

ძირითადი ფაილები

• / etc / passwd: მომხმარებლის ანგარიშის ინფორმაცია
• / ა.შ. / ჩრდილი: მომხმარებლის ანგარიშების უსაფრთხო ინფორმაცია
• /და ა. შ./პამ. კონფ: ფაილი, რომელიც უნდა იქნას გამოყენებული მხოლოდ იმ შემთხვევაში, თუ დირექტორია არ არსებობს /და ა.შ/pam.d/
• /და ა.შ/pam.d/: დირექტორია, სადაც პროგრამები და სერვისები აყენებენ PAM მოდულებს
• /და ა.შ.pam.d/passwd: PAM კონფიგურაცია ამისთვის passwd.
• /etc/pam.d/common-acount: ავტორიზაციის პარამეტრები, რომლებიც საერთოა ყველა სერვისში
• /და ა. შ./პამ.დ/საერთო-ავტო: ავთენტიფიკაციის პარამეტრები საერთოა ყველა სერვისში
• /და ა. შ./პამ.დ/საერთო სიტყვა: PAM მოდულები საერთოა პაროლებთან დაკავშირებული ყველა სერვისისთვის - passwords
• / და ა.შ. / პამ.დ / საერთო სესია: PAM მოდულები, რომლებიც საერთოა ყველა სერვისში, რომლებიც დაკავშირებულია მომხმარებლის სესიებთან
• / და ა.შ. / პამ.დ / საერთო სესია-არაინტერქტიული: PAM მოდულები საერთოა ყველა სერვისში, რომლებიც დაკავშირებულია არაინტერაქტიულ სესიებთან ან არ საჭიროებს მომხმარებლის ჩარევას, როგორიცაა ამოცანები, რომლებიც შესრულებულია არაინტერაქტიული სესიების დასაწყისში და ბოლოს.
• / usr / share / doc / passwd /: დოკუმენტაციის დირექტორია.

ჩვენ გირჩევთ წაიკითხოთ სახელმძღვანელო გვერდები passwd y shadow მეშვეობით კაცი გავიდა y კაცი ჩრდილი. ასევე ჯანსაღია ფაილების შინაარსის წაკითხვა საერთო ანგარიში, საერთო ავტორი, საერთო პასპორტი, საერთო სესია y საერთო სესია-არაინტერაქტიული.

ხელმისაწვდომია PAM მოდულები

იმისათვის, რომ წარმოდგენა მიიღოთ PAM მოდულებზე აპრიორი სტანდარტულ Debian საცავში ვაწარმოებთ:

buzz @ linuxbox: ~ $ შესაძლებლობის ძებნა libpam

სია გრძელია და ჩვენ ასახავს მხოლოდ მოდულებს, რომლებიც აჩვენებს რამდენად ფართოა ის:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

გამოიტანეთ საკუთარი დასკვნები.

CentOS

თუ ინსტალაციის პროცესში ვირჩევთ ოფციას «სერვერი GUI- ს საშუალებით«, ჩვენ მივიღებთ კარგ პლატფორმას მცირე და საშუალო ბიზნესის ქსელისთვის სხვადასხვა სერვისების განსახორციელებლად. Debian- ისგან განსხვავებით, CentOS / Red Hat® გთავაზობთ კონსოლისა და გრაფიკული საშუალებების სერიას, რომლებიც სისტემის ან ქსელის ადმინისტრატორის ცხოვრებას უმარტივებს.

დოკუმენტაცია

სტანდარტულად დაინსტალირებული, მას ვხვდებით დირექტორიაში:

[root @ linuxbox] # ls -l /usr/share/doc/pam-1.1.8/
სულ 256 -rw-r - r--. 1 ძირეული ფესვი 2045 ივნისი 18 2013 საავტორო უფლებები drwxr-xr-x. 2 ფესვის ფესვი 4096 9 აპრილი 06:28 html
-rw-r - r--. 1 ძირეული ფესვი 175382 5 ნოემბერი 19:13 Linux-PAM_SAG.txt -rw-r - r--. 1 ფესვის ფესვი 67948 18 წლის 2013 ივნისი rfc86.0.txt drwxr-xr-x. 2 ფესვის ფესვი 4096 9 აპრილი 06:28 ტექსტები

[root @ linuxbox] # ls /usr/share/doc/pam-1.1.8/txts/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .პამ_როსტები

დიახ, ჩვენ ასევე ვუწოდებთ CentOS გუნდს "linuxbox" - ს, როგორც Debian- ს, რომელიც დაგვეხმარება SMB ქსელების შესახებ სტატიების შესახებ.

CentOS GNOME3 GUI– ით

როდესაც ინსტალაციის დროს ვირჩევთ ოფციას «სერვერი GUI- ს საშუალებით«, GNOME3 სამუშაო მაგიდა და სხვა პროგრამები და ბაზისური პროგრამები დამონტაჟებულია სერვერის შესაქმნელად. კონსოლის დონეზე, ავთენტიფიკაციის სტატუსის ცოდნისთვის, ჩვენ ვასრულებთ:

[root @ linuxbox] # authconfig-tui

ჩვენ ვამოწმებთ, რომ ჩართულია მხოლოდ PAM მოდულები, რომლებიც აუცილებელია სერვერის ამჟამინდელი კონფიგურაციისთვის, თუნდაც მოდული თითის ანაბეჭდების წასაკითხად, ავთენტიფიკაციის სისტემა, რომელსაც ლეპტოპის ზოგიერთ მოდელში ვხვდებით.

CentOS GNOME3 GUI– ით შეუერთდა Microsoft– ის აქტიურ დირექტორიას

როგორც ვხედავთ, დამატებულია და ჩართულია საჭირო მოდულები -მოიმარჯვე- აქტიური დირექტორიის ავტორიზაციისთვის, ხოლო ჩვენ განზრახ გავთიშავთ მოდულს თითის ანაბეჭდების წაკითხვისთვის, რადგან ეს არ არის საჭირო.

მომავალ სტატიაში დეტალურად განვიხილავთ თუ როგორ უნდა შეუერთდეთ CentOS 7 კლიენტს Microsoft– ის აქტიურ დირექტორიაში. ამას მხოლოდ ინსტრუმენტის საშუალებით ველით autoconfig-gtk აუცილებელი პაკეტების ინსტალაცია, დომენის მომხმარებლების დირექტორიების ავტომატური შექმნის კონფიგურაცია, რომლებიც ავთენტიფიკაციას ახდენენ ადგილობრივად, და კლიენტის აქტიური დირექტორიის დომენში შესვლის პროცესი ძალზე ავტომატიზირებულია. კავშირის შემდეგ, მხოლოდ კომპიუტერის გადატვირთვა იქნება საჭირო.

ძირითადი ფაილები

CentOS ავთენტიფიკაციასთან დაკავშირებული ფაილები განლაგებულია დირექტორიაში /და ა.შ/pam.d/:

[root @ linuxbox] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig სისტემა system-auth fingerprint-auth postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config- ავტორიზაცია gdm-autologin დისტანციური systemd- მომხმარებელი gdm- თითის ანაბეჭდი runuser vlock gdm- გაშვება-გარემო runuser-l vmtoolsd gdm- პაროლი samba xserver gdm-pin დაყენება gdm-smartcard smartcard-auth

ხელმისაწვდომია PAM მოდულები

ჩვენ გვაქვს საცავები ბაზა, centosplus, epel, y განახლებები. მათში ვხვდებით –სხვათა შორის– შემდეგ მოდულებს ბრძანებების გამოყენებით yum ძებნა pam-,  yum ძებნა pam_, ხოლო yum ძებნა libpam:

nss-pam-ldapd.i686: nsswitch მოდული, რომელიც იყენებს დირექტორიების სერვერებს nss-pam-ldapd.x86_64: nsswitch მოდული, რომელიც იყენებს დირექტორია სერვერებს ovirt-guest-agent-pam-module.x86_64: PAM მოდული oVirt სასტუმრო აგენტის pam -kwallet.x86_64: PAM მოდული KWallet pam_afs_session.x86_64: AFS PAG და AFS სიმბოლოები შესვლისას pam_krb5.i686: Pluggable ავთენტიფიკაციის მოდული Kerberos 5 pam_krb5.x86_64: Pluggable ავთენტიფიკაციის მოდული Kerberos 5 MAPI– ს საშუალებით Zarafa სერვერის წინააღმდეგ pam_oath.x86_64: PAM მოდული OATH შესასვლელი ავტორიზაციისთვის pam_pkcs86.i64: PKCS # 11 / NSS PAM შესვლის მოდული pam_pkcs686.x11_11: PKCS # 86 / NSS PAM შესვლის მოდული pam_radius.x64 RADIUS ავთენტიფიკაციის pam_script.x11_86: PAM მოდული სკრიპტების შესასრულებლად pam_snapper.i64: PAM მოდული snapper pam_snapper.x86_64 დარეკვისთვის: PAM მოდული snapper pam_ssh.x686_86 დარეკვისთვის: PAM მოდული გამოსაყენებლად SSH გასაღებებთან და ssh-agent pam_64sh_age 86: PAM მოდული ავტორიზაციისთვის ssh-agent pam_ssh_agent_auth.x64_686: PAM მოდული ავთენტიფიკაციისთვის ssh-agent pam_url.x86_64: PAM მოდული ავტორიზაციისთვის HTTP სერვერებთან pam_wrapper.x86_64: PAM პროგრამებისა და PAM მოდულების pam_yubico.x86_64 შემოწმების ინსტრუმენტი: დამადასტურებელი ავთენტიფიკაციის მოდული yubikeys libpamtest-doc.x86_64: libpamtest API დოკუმენტაცია python-libpamtest.x86_64: python შეფუთვა libpamtest libpamtest.x86_64: PAM პროგრამებისა და PAM მოდულების შესამოწმებლად ინსტრუმენტი libpamtest_86: PAM პროგრამები და PAM მოდულები

რეზიუმე

მნიშვნელოვანია მინიმალური ცოდნა გვქონდეს PAM– ის შესახებ, თუ ზოგადად გვსურს გავიგოთ, როგორ ხდება ავთენტიფიკაცია ყოველ ჯერზე, როდესაც შევალთ ჩვენს Linux / UNIX კომპიუტერში. ასევე მნიშვნელოვანია იცოდეთ, რომ მხოლოდ ადგილობრივი ავთენტიფიკაციის საშუალებით შეგვიძლია მომსახურება სხვა კომპიუტერებისთვის მცირე SME ქსელში, როგორიცაა Proxy, Mail, FTP და ა.შ., ყველა კონცენტრირებულია ერთ სერვერზე. ყველა წინა სერვისს - და ბევრ სხვას, როგორც ადრე ვნახეთ - აქვს მათი PAM მოდული.

კონსულტაციები მიიღეს წყაროებმა

• ბრძანებების სახელმძღვანელოები - კაცი გვერდები.
• ავთენტიფიკაცია: ვიკიპედიის გვერდი ესპანურად
• Pluggable ავთენტიფიკაციის მოდულები
• Red_Hat_Enterprise_Linux-6-განლაგების_ სახელმძღვანელო აშშ-ში

PDF ვერსია

ჩამოტვირთეთ PDF ვერსია აქ.

შემდეგ სტატიამდე!

ავტორი: ფედერიკო ა. ვალდეს ტუიგა
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico