Pagpapatotoo ng PAM - Mga Network ng SME

Pangkalahatang index ng serye: Mga Network ng Computer para sa mga SME: Panimula

Kamusta mga kaibigan at kaibigan!

Sa artikulong ito nilalayon naming mag-alok ng isang Pangkalahatang-ideya sa paksa ng Pagpapatotoo sa pamamagitan ng WFP. Nasanay kami na ginagamit ang aming Workstation sa isang operating system na Linux / UNIX sa araw-araw at sa ilang mga pagkakataong humihinto kami upang pag-aralan kung paano nangyayari ang mekanismo ng pagpapatunay sa bawat pagsisimula namin ng isang sesyon. Alam ba natin ang pagkakaroon ng mga archive / etc / passwd, At / etc / anino na bumubuo sa pangunahing database ng Mga Kredensyal sa Pagpapatotoo ng mga lokal na gumagamit. Inaasahan namin na pagkatapos basahin ang post na ito ay magkakaroon ka-sa pinakamaliit- isang malinaw na ideya kung paano gumagana ang PAM.

Pagpapatunay

Ang pagpapatotoo - para sa mga praktikal na layunin - ay ang paraan ng pag-verify ng isang gumagamit laban sa isang system. Ang proseso ng pagpapatotoo ay nangangailangan ng pagkakaroon ng isang hanay ng pagkakakilanlan at mga kredensyal - username at password - na inihambing sa impormasyong nakaimbak sa isang database. Kung ang ipinakitang mga kredensyal ay pareho sa mga nakaimbak at ang account ng gumagamit ay aktibo, ang gumagamit ay sinabi na tunay matagumpay o matagumpay na naipasa ang pagpapatunay.

Kapag ang gumagamit ay napatunayan, ang impormasyong iyon ay naipasa sa access control service upang matukoy kung ano ang magagawa ng gumagamit na iyon sa system at kung anong mga mapagkukunan ang mayroon sila pahintulot upang ma-access ang mga ito.

Ang impormasyon upang ma-verify ang gumagamit ay maaaring maimbak sa mga lokal na database sa system, o ang lokal na system ay maaaring mag-refer sa isang mayroon nang database sa isang remote system, tulad ng LDAP, Kerberos, NIS database, at iba pa.

Karamihan sa mga operating system ng UNIX® / Linux ay may kinakailangang mga tool upang mai-configure ang serbisyo sa pagpapatotoo ng client / server para sa pinakakaraniwang uri ng mga database ng gumagamit. Ang ilan sa mga system na ito ay may kumpletong mga kagamitang grapiko tulad ng Red Hat / CentOS, SUSE / openSUSE, at iba pang mga pamamahagi.

PAM: Pluggable Authentication Module

Los Mga module na naipasok para sa Pagpapatotoo Ginagamit namin ang mga ito araw-araw kapag nag-log on sa aming Desktop gamit ang isang operating system na nakabase sa Linux / UNIX, at sa maraming iba pang mga okasyon kapag na-access namin ang mga lokal o malalayong serbisyo na mayroong isang tukoy na lokal na module ng PAM naipasok para sa pagpapatotoo laban sa serbisyong iyon.

Ang isang praktikal na ideya kung paano naipasok ang PAM Modules ay maaaring makuha sa pamamagitan ng pagkakasunud-sunod ng estado ng pagpapatunay en isang koponan kasama si Debian at en isa pa kasama ang CentOS na susunod nating pagbuo.

Debian

dokumentasyon

Kung mai-install namin ang package libpam-doc magkakaroon kami ng napakahusay na dokumentasyon na matatagpuan sa direktoryo / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # aptitude install libpam-doc
root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /

Mayroon ding higit na dokumentasyon sa PAM sa mga direktoryo:

root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam0g drwxr-xr-x 4 root root 4096 Apr 7 16:31 libpam-doc drwxr-xr-x 2 root root 4096 Abr 5 21:30 libpam-gnome- keyring drwxr-xr-x 3 root root 4096 Apr 5 21:11 libpam-modules drwxr-xr-x 2 root root 4096 Apr 5 21:11 libpam-modules-bin drwxr-xr-x 2 root root 4096 Abr 5 21: 11 libpam-runtime drwxr-xr-x 2 root root 4096 Apr 5 21:26 libpam-systemd drwxr-xr-x 3 root root 4096 Abr 5 21:31 python-pam

Naniniwala kami na bago lumabas upang maghanap ng mga dokumentasyon sa Internet, dapat naming repasuhin ang na-install na o ang isa na maaari nating mai-install nang direkta mula sa mga repository ng programa na mayroon para sa isang bagay at sa maraming mga okasyon ay kinokopya namin ang mga ito sa aming hard drive . Ang sample ng mga ito ay ang sumusunod:

root @ linuxbox: ~ # mas kaunti / usr / share / doc / libpam-gnome-keyring / README
ang gnome-keyring ay isang programa na pinapanatili ang password at iba pang mga lihim para sa mga gumagamit. Ito ay pinapatakbo bilang isang daemon sa session, katulad ng ssh-agent, at iba pang mga application na hanapin ito sa pamamagitan ng isang variable ng kapaligiran o isang D-Bus. Maaaring pamahalaan ng programa ang maraming mga keyrings, bawat isa ay may sariling master password, at mayroon ding session keyring na hindi naimbak sa disk, ngunit nakalimutan kapag natapos ang session. Ginagamit ang library libgnome-keyring ng mga application upang maisama sa GNOME keyring system.

Malayang nais i-translate ang naisalin na:

• ang gnome-keyring ay ang program na namamahala sa pag-iingat ng mga password at iba pang mga lihim para sa mga gumagamit. Sa bawat session pinapatakbo ito bilang isang daemon, katulad ng ssh-agent, at sa iba pang mga application na matatagpuan sa pamamagitan ng isang variable ng kapaligiran - kapaligiran o sa pamamagitan ng D-Bus. Maaaring hawakan ng programa ang maraming mga keyrings, bawat isa ay may sariling master password. Mayroon ding isang keyring session na hindi kailanman nakaimbak sa hard disk at nakalimutan kapag natapos ang session. Gumagamit ang mga application ng libgnome-keyring library upang isama sa GNOME keyring system..

Debian kasama ang Base Operating System

Nagsisimula kami mula sa isang computer kung saan namin na-install lang ang Debian 8 "Jessie" bilang Operating System at habang nasa proseso ng pag-install ay pinili lamang namin ang "Pangunahing mga kagamitan sa system", nang hindi minamarkahan ang anumang iba pang pagpipilian upang mai-install ang mga gawain - gawain o paunang natukoy na mga pakete tulad ng OpenSSH server. Kung pagkatapos simulan ang unang session ay nagpapatupad kami:

root @ master: ~ # pam-auth-update

makukuha namin ang mga sumusunod na output:

Na nagpapakita sa amin na ang tanging PAM Module na ginagamit hanggang sa sandaling iyon ay ang UNIX Authentication. Kagamitan pam-auth-update ay nagbibigay-daan sa amin upang mai-configure ang patakaran sa gitnang pagpapatotoo para sa isang system kapag gumagamit ng Mga Predefined na Profile na ibinigay ng PAM Modules. Para sa karagdagang impormasyon tingnan tao pam-auth-update.

Dahil hindi pa namin na-install ang OpenSSH server, hindi namin mahahanap ang module ng PAM nito sa direktoryo /etc/pam.d/, na naglalaman ng mga module ng PAM at profile na na-load hanggang sa mga sandaling ito:

root @ master: ~ # ls -l /etc/pam.d/
kabuuang 76 -rw-r - r-- 1 ugat ng ugat 235 Sep 30 2014 atd -rw-r - r-- 1 ugat ng ugat 1208 Abril 6 22:06 karaniwang-account -rw-r - r-- 1 ugat ng ugat 1221 Abr 6 22:06 karaniwang-auth -rw-r - r-- 1 ugat ng ugat 1440 Abr 6 22:06 karaniwang-password -rw-r - r-- 1 ugat ng ugat 1156 Abril 6 22:06 common-session -rw-r - r-- 1 root root 1154 Abr 6 22:06 common-session-noninteractive -rw-r - r-- 1 root root 606 Hun 11 2015 cron -rw-r - r - 1 root root 384 Nov 19 2014 chfn -rw-r - r-- 1 root root 92 Nov 19 2014 chpasswd -rw-r - r-- 1 root root 581 Nov 19 2014 chsh -rw-r-- r-- 1 ugat ng ugat 4756 Nobyembre 19 2014 pag-login -rw-r - r-- 1 ugat ng ugat 92 Nobyembre 19 2014 mga newusers -ww-r - r-- 1 ugat ng ugat 520 Ene 6 ​​2016 iba pang -rw-taf -r-- 1 root root 92 Nov 19 2014 passwd -rw-r - r-- 1 root root 143 Mar 29 2015 runuser -rw-r - r-- 1 root root 138 Mar 29 2015 runuser-l -rw -r - r-- 1 root root 2257 Nov 19 2014 su -rw-r - r-- 1 root root 220 Sep 2 2016 systemd-user

Halimbawa, gamit ang module ng PAM /etc/pam.d/chfn ang system ay nag-configure ng serbisyo Anino, habang dumadaan /etc/pam.d/cron ang daemon ay naka-configure cron. Upang matuto nang kaunti pa maaari nating basahin ang nilalaman ng bawat isa sa mga file na ito na napaka-nakapagtuturo. Bilang isang sample na ibinibigay namin sa ibaba ang nilalaman ng modyul /etc/pam.d/cron:

ugat @ master: ~ # mas kaunti /etc/pam.d/cron
# Ang file ng pagsasaayos ng PAM para sa cron daemon

@ isama ang common-auth

# Itinatakda ang session ng pagpapatungkol sa proseso ng proseso ng loginuid na kinakailangan ng pam_loginuid.so # Basahin ang mga variable ng kapaligiran mula sa mga default na file ng pam_env, / etc / environment # at /etc/security/pam_env.conf. session kinakailangan pam_env.so # Bilang karagdagan, basahin ang impormasyon ng lokal na impormasyon sa lokal na kinakailangan pam_env.so envfile = / etc / default / lokal

@ isama ang karaniwang-account
@ isama ang common-session-noninteractive 

# Nagtatakda ng mga limitasyon ng gumagamit, mangyaring tukuyin ang mga limitasyon para sa mga gawain sa cron # hanggang /etc/security/limits.conf session kinakailangan pam_limits.so

Ang pagkakasunud-sunod ng mga pahayag sa loob ng bawat isa sa mga file ay mahalaga. Sa pangkalahatang mga termino, hindi namin inirerekumenda ang pagbabago ng anuman sa mga ito maliban kung alam namin nang husto kung ano ang ginagawa namin.

Debian na may batayang OS + OpenSSH

root @ master: ~ # aptitude install task-ssh-server
Ang mga sumusunod na BAGONG pakete ay mai-install: openssh-server {a} openssh-sftp-server {a} task-ssh-server

Susuriin namin na ang module ng PAM ay naidagdag at na-configure nang tama sshd:

ugat @ master: ~ # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 root root 2133 Hul 22 2016 /etc/pam.d/sshd

Kung nais naming malaman ang nilalaman ng profile na iyon:

root @ master: ~ # mas kaunti /etc/pam.d/sshd

Sa madaling salita, kapag sinubukan naming magsimula ng isang remote session mula sa ibang computer gamit ang SSH, ang pagpapatotoo sa lokal na computer ay ginagawa sa pamamagitan ng module ng PAM sshd pangunahin, nang hindi nakakalimutan ang iba pang mga aspeto ng pahintulot at seguridad na kasangkot sa serbisyo ssh tulad nito.

Sa pagpasa, idinagdag namin na ang pangunahing file ng pagsasaayos ng serbisyong ito ay / etc / ssh / sshd_config, at kahit papaano sa Debian naka-install ito bilang default nang hindi pinapayagan ang interactive na pag-login ng gumagamit ugat. Upang payagan ito, dapat naming baguhin ang file / etc / ssh / sshd_config at baguhin ang linya:

PermitRootLogin nang walang password

sa pamamagitan ng

PermitRootLogin oo

at pagkatapos ay muling simulan at suriin ang katayuan ng serbisyo sa pamamagitan ng:

root @ master: ~ # systemctl restart ssh
root @ master: ~ # systemctl status ssh

Debian kasama ang desktop ng LXDE

Nagpapatuloy kami sa parehong koponan - binago namin ang kanilang pangalan o hostname ni "kahon ng linux»Para magamit sa hinaharap- kung saan natapos namin ang pag-install ng LXDE Desktop. Tumakbo tayo pam-auth-update at makukuha namin ang mga sumusunod na output:

Pinagana na ng system ang lahat ng Mga Profile -Module- kinakailangan para sa wastong pagpapatotoo sa panahon ng pag-install ng LXDE desktop, na kung saan ay ang mga sumusunod:

• UNIX Modyul ng Pagpapatotoo.
• Modyul na nagtatala ng mga sesyon ng gumagamit sa Hierarchical Control Group ng systemd.
• GNOME Keyring Daemon Module

• Ginagamit namin ang pagkakataong ito upang irekomenda na sa lahat ng mga kaso, kapag tinanong kami ng "Mga profile ng PAM upang paganahin", pipiliin namin ang pagpipilian Maliban kung alam na alam natin kung ano ang ginagawa. Kung babaguhin natin ang pagsasaayos ng PAM na awtomatikong ginawa ng Operating System mismo, madali nating mai-disable ang pag-login sa computer.

Sa mga kaso sa itaas ay pinag-uusapan natin Lokal na Pagpapatotoo o Pagpapatotoo laban sa lokal na computer tulad ng nangyayari kapag nagsimula kami ng isang remote session hanggang sa SSH.

Kung nagpapatupad kami ng isang pamamaraan ng Remote na Pagpapatotoo sa lokal na pangkat Para sa mga gumagamit ng kanilang Mga Kredensyang nakaimbak sa isang remote na OpenLDAP server o sa isang Aktibong Direktoryo, isasaalang-alang ng system ang bagong anyo ng pagpapatotoo at idaragdag ang kinakailangang mga module ng PAM.

Pangunahing mga file

• / etc / passwd: Impormasyon ng User Account
• / etc / anino: Ligtas na Impormasyon ng Mga Account ng Gumagamit
• /etc/pam.conf: File na dapat lamang gamitin kung wala ang direktoryo /etc/pam.d/
• /etc/pam.d/: Direktoryo kung saan mai-install ng mga programa at serbisyo ang kanilang mga module ng PAM
• /etc/pam.d/passwd: Ang pagsasaayos ng PAM para sa passwd.
• /etc/pam.d/common-account: Karaniwang mga parameter ng pahintulot sa lahat ng mga serbisyo
• /etc/pam.d/common-auth: Karaniwang mga parameter ng pagpapatotoo sa lahat ng mga serbisyo
• /etc/pam.d/common-password: Mga module ng PAM na karaniwan sa lahat ng mga serbisyong nauugnay sa mga password - mga password
• /etc/pam.d/common-session: Mga module ng PAM na karaniwan sa lahat ng mga serbisyo na nauugnay sa mga sesyon ng gumagamit
• /etc/pam.d/common-session-noninteractive: Ang mga module ng PAM na karaniwan sa lahat ng mga serbisyo na nauugnay sa mga hindi interactive na session o hindi nangangailangan ng interbensyon ng gumagamit, tulad ng mga gawain na naisasagawa sa simula at pagtatapos ng mga hindi interactive na session.
• / usr / share / doc / passwd /: Direktoryo ng dokumentasyon.

Inirerekumenda namin ang pagbabasa ng mga manu-manong pahina ng passwd y anino sa pamamagitan ng tao passwd y tao anino. Malusog din itong basahin ang mga nilalaman ng mga file karaniwang-account, karaniwang-auth, karaniwang-passwrod, karaniwang-session y common-session-noninteractive.

Magagamit ang mga module ng PAM

Upang makakuha ng isang ideya ng magagamit na mga module ng PAM walang pagsubok Sa karaniwang imbakan ng Debian, nagpapatakbo kami ng:

buzz @ linuxbox: ~ $ aptitude search libpam

Mahaba ang listahan at isasalamin lamang namin ang mga modyul na nagpapakita kung gaano ito kalawak:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

Gumuhit ng iyong sariling mga konklusyon.

CentOS

Kung sa panahon ng proseso ng pag-install pinili namin ang pagpipilian «Server na may GUI«, Makakakuha kami ng isang mahusay na platform upang magpatupad ng iba't ibang mga serbisyo para sa SME Network. Hindi tulad ng Debian, ang CentOS / Red Hat® ay nag-aalok ng isang serye ng mga console at graphic na tool na ginagawang mas madali ang buhay para sa isang System o Network Administrator.

dokumentasyon

Naka-install bilang default, nakita namin ito sa direktoryo:

[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/
kabuuang 256 -rw-r - r--. 1 ugat ng ugat 2045 Hun 18 2013 Copyright drwxr-xr-x. 2 ugat ng ugat 4096 Abril 9 06:28 html
-rw-r - r--. 1 ugat ng ugat 175382 Nob 5 19:13 Linux-PAM_SAG.txt -rw-r - r--. 1 root root 67948 Hun 18 2013 rfc86.0.txt drwxr-xr-x. 2 ugat ng ugat 4096 Abril 9 06:28 mga txt

[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/teks/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit Readme. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wheel README.adMEADE.

Oo, tinawag din namin ang koponan ng CentOS na "linuxbox" tulad ng kay Debian, na magsisilbi sa amin para sa mga susunod na artikulo sa SMB Networks.

Ang CentOS na may GNOME3 GUI

Kapag pinili namin sa panahon ng pag-install ang pagpipilian «Server na may GUI«, Ang GNOME3 Desktop at iba pang mga utility at base na programa ay naka-install upang bumuo ng isang server. Sa antas ng console, upang malaman ang katayuan ng pagpapatotoo na isinasagawa namin:

[root @ linuxbox ~] # authconfig-tui

Sinusuri namin na ang mga module ng PAM lamang na kinakailangan para sa kasalukuyang pagsasaayos ng server ang pinapagana, kahit na isang module upang mabasa ang mga fingerprint, isang sistema ng pagpapatunay na nakita namin sa ilang mga modelo ng Laptops.

Ang CentOS na may GNOME3 GUI ay sumali sa isang Microsoft Active Directory

Tulad ng nakikita natin, ang mga kinakailangang modyul ay naidagdag at pinagana -winbind- para sa pagpapatotoo laban sa isang Aktibong Direktoryo, habang sadyang hindi namin pinagana ang module upang basahin ang mga fingerprint, sapagkat hindi kinakailangan.

Sa isang hinaharap na artikulo sasaklawin namin nang detalyado kung paano sumali sa isang kliyente sa CentOS 7 sa isang Microsoft Active Directory. Inaasahan lamang namin iyon sa pamamagitan ng tool autoconfig-gtk Ang pag-install ng mga kinakailangang pakete, pagsasaayos ng awtomatikong paglikha ng mga direktoryo ng mga gumagamit ng domain na nagpapatunay nang lokal, at ang proseso mismo ng pagsali sa kliyente sa Domain ng isang Aktibong Direktoryo ay napakalaking awtomatiko. Marahil pagkatapos ng unyon, kakailanganin lamang na i-restart ang computer.

Pangunahing mga file

Ang mga file na nauugnay sa CentOS Authentication ay matatagpuan sa direktoryo /etc/pam.d/:

[root @ linuxbox ~] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig login smtp authconfig-gtk iba pang smtp.postfix authconfig-tui passwd sshd config-util password-auth su crond password-auth-ac sudo cup pluto sudo-i chfn polkit-1 su-l chsh postlogin system-auth fingerprint-auth postlogin-ac system-auth-ac fingerprint-auth-ac ppp system-config-authentication gdm-autologin remote systemd-user gdm-fingerprint runuser vlock gdm-launch-environment runuser-l vmtoolsd gdm-password samba xserver gdm-pin setup gdm-smartcard smartcard-auth

Magagamit ang mga module ng PAM

Mayroon kaming mga repository base, centosplus, epel, y Update. Sa mga ito mahahanap natin -sa iba pa- ang mga sumusunod na modyul na gumagamit ng mga utos yum search pam,  yum search pam_, At yum search libpam:

nss-pam-ldapd.i686: Isang module na nsswitch na gumagamit ng mga server ng direktoryo nss-pam-ldapd.x86_64: Isang module na nsswitch na gumagamit ng mga server ng direktoryo ovirt-bisita-ahente-pam-module.x86_64: module ng PAM para sa oVirt Guest Agent na pam -kwallet.x86_64: Modul ng PAM para sa KWallet pam_afs_session.x86_64: Mga token ng AFS PAG at AFS sa pag-login sa pam_krb5.i686: Isang Mabilis na Pagpapatunay na Modyul para sa Kerberos 5 pam_krb5.x86_64: Isang Pluggable Authentication Module para sa Kerberos 5 pam_ma86 module_ para sa Kerberos 64 pamosma86 module_ sa pamamagitan ng MAPI laban sa isang server ng Zarafa pam_oath.x64_11: Isang module ng PAM para sa maipapasok na pagpapatotoo sa pag-login para sa OATH pam_pkcs686.i11: PKCS # 11 / NSS PAM login module pam_pkcs86.x64_11: PKCS # 86 / NSS PAM module ng pag-login pam_radius.x64_86: Module ng PAM para sa RADIUS Pagpapatotoo pam_script.x64_686: module ng PAM para sa pagpapatupad ng mga script pam_snapper.i86: module ng PAM para sa pagtawag sa snapper pam_snapper.x64_86: module ng PAM para sa pagtawag sa snapper pam_ssh.x64_686: module ng PAM para magamit sa mga susi ng SSH at ssh-agent pam_ssh_agent_86 64: module ng PAM para sa pagpapatotoo na may ssh-agent pam_ssh_agent_auth.x86_64: module ng PAM para sa pagpapatotoo sa ssh-agent pam_url.x86_64: module ng PAM upang patunayan sa mga server ng HTTP pam_wrapper.x86_64: Isang tool upang subukan ang mga application ng PAM at mga module ng PAM pam_yubico.x86_64: Isang Pluggable Authentication Module para sa yubikeys libpamtest-doc.x86_64: Ang libpamtest API na dokumentasyon python-libpamtest.x86_64: Isang pambalot na python para sa libpamtest libpamtest.x86_64: Isang tool upang subukan ang mga aplikasyon ng PAM at mga module ng PAM libpamtest-devel.xXNUMX_ Ang mga aplikasyon ng PAM at mga module ng PAM

Buod

Mahalagang magkaroon ng isang minimum na kaalaman tungkol sa PAM kung nais naming maunawaan sa isang pangkalahatang paraan kung paano isinasagawa ang Pagpapatotoo sa tuwing mag-log in sa aming computer sa Linux / UNIX. Mahalaga rin na malaman na sa Local Authentication lamang tayo makakapagbigay ng mga serbisyo sa iba pang mga computer sa isang maliit na network ng SME tulad ng Proxy, Mail, FTP, atbp, lahat ay nakatuon sa isang solong server. Ang lahat ng mga nakaraang serbisyo -at marami pang iba tulad ng nakita natin dati- mayroong kanilang module na PAM.

Kumonsulta ang mga mapagkukunan

• Mga manwal ng utos - mga pahina ng tao.
• Pagpapatunay: Pahina ng Wikipedia sa Espanyol
• Mga Module na Napapatunayan na Pluggable
• Red_Hat_Enterprise_Linux-6-Pag-deploy_Guide-en-US

Bersyon ng PDF

I-download ang bersyon ng PDF dito.

Hanggang sa susunod na artikulo!

May-akda: Federico A. Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico