Xác thực PAM - Mạng SME

Chỉ số chung của bộ truyện: Mạng máy tính cho doanh nghiệp vừa và nhỏ: Giới thiệu

Xin chào quý vị và các bạn!

Với bài viết này, chúng tôi dự định cung cấp một cái nhìn tổng quan về chủ đề Xác thực thông qua PAM. Chúng tôi đã quen với việc sử dụng Máy trạm của mình với hệ điều hành Linux / UNIX hàng ngày và đôi khi chúng tôi dừng lại để nghiên cứu cách cơ chế xác thực xảy ra mỗi khi chúng tôi bắt đầu một phiên. Chúng ta có biết về sự tồn tại của các kho lưu trữ không / etc / passwd, Và / etc / shadow tạo thành cơ sở dữ liệu chính của Thông tin xác thực của người dùng cục bộ. Chúng tôi hy vọng rằng sau khi đọc bài đăng này, bạn sẽ-ít nhất- một ý tưởng rõ ràng về cách hoạt động của PAM.

Xác thực

Xác thực - cho các mục đích thực tế - là cách người dùng được xác minh dựa trên hệ thống. Quá trình xác thực yêu cầu sự hiện diện của một tập hợp danh tính và thông tin xác thực - tên người dùng và mật khẩu - được so sánh với thông tin được lưu trữ trong cơ sở dữ liệu. Nếu thông tin đăng nhập được trình bày giống với thông tin được lưu trữ và tài khoản của người dùng đang hoạt động, người dùng được cho là xác thực thành công hoặc vượt qua thành công xác thực.

Khi người dùng được xác thực, thông tin đó sẽ được chuyển đến dịch vụ kiểm soát truy cập để xác định những gì người dùng đó có thể làm trong hệ thống và những tài nguyên mà họ có ủy quyền để truy cập chúng.

Thông tin để xác minh người dùng có thể được lưu trữ trong cơ sở dữ liệu cục bộ trên hệ thống hoặc hệ thống cục bộ có thể tham chiếu đến cơ sở dữ liệu hiện có trên hệ thống từ xa, chẳng hạn như cơ sở dữ liệu LDAP, Kerberos, NIS, v.v.

Hầu hết các hệ điều hành UNIX® / Linux đều có các công cụ cần thiết để cấu hình dịch vụ xác thực máy khách / máy chủ cho các loại cơ sở dữ liệu người dùng phổ biến nhất. Một số hệ thống này có các công cụ đồ họa rất hoàn chỉnh như Red Hat / CentOS, SUSE / openSUSE và các bản phân phối khác.

PAM: Mô-đun xác thực có thể cắm được

Các Các mô-đun được chèn để xác thực Chúng tôi sử dụng chúng hàng ngày khi chúng tôi đăng nhập vào Máy tính để bàn bằng hệ điều hành dựa trên Linux / UNIX và trong nhiều trường hợp khác khi chúng tôi truy cập các dịch vụ cục bộ hoặc từ xa có mô-đun PAM cục bộ cụ thể đưa vào để xác thực đối với dịch vụ đó.

Có thể thu được ý tưởng thực tế về cách các Mô-đun PAM được Chèn thông qua trình tự trạng thái xác thực en một nhóm Debian và en khác với CentOS mà chúng tôi phát triển tiếp theo.

Debian

Tài liệu

Nếu chúng tôi cài đặt gói libpam-doc chúng tôi sẽ có một tài liệu rất tốt nằm trong thư mục / usr / share / doc / libpam-doc / html.

root @ linuxbox: ~ # aptitude cài đặt libpam-doc
root @ linuxbox: ~ # ls -l / usr / share / doc / libpam-doc /

Ngoài ra còn có thêm tài liệu về PAM trong các thư mục:

root @ linuxbox: ~ # ls -l / usr / share / doc / | grep pam
drwxr-xr-x 2 root root 4096 May 5 21:11 libpam0g drwxr-xr-x 4 root root 4096 7/16 31:2 libpam-doc drwxr-xr-x 4096 root root 5 May 21 30:3 libpam-gnome- keyring drwxr-xr-x 4096 root root 5 May 21 11:2 libpam-modules drwxr-xr-x 4096 root root 5 May 21 11:2 libpam-modules-bin drwxr-xr-x 4096 root root 5 May 21 11: 2 libpam-runtime drwxr-xr-x 4096 root root 5 ngày 21 tháng 26 3:4096 libpam-systemd drwxr-xr-x 5 root root 21 ngày 31 tháng XNUMX XNUMX:XNUMX python-pam

Chúng tôi tin rằng trước khi đi tìm tài liệu trên Internet, chúng tôi nên xem lại tài liệu đã được cài đặt hoặc tài liệu mà chúng tôi có thể cài đặt trực tiếp từ kho chương trình tồn tại cho một thứ gì đó và trong nhiều trường hợp, chúng tôi sao chép chúng vào ổ cứng của mình. Mẫu này là như sau:

root @ linuxbox: ~ # less / usr / share / doc / libpam-gnome-keyring / README
gnome-keyring là một chương trình giữ mật khẩu và các bí mật khác cho người dùng. Nó được chạy như một daemon trong phiên, tương tự như ssh-agent và các ứng dụng khác định vị nó thông qua một biến môi trường hoặc một D-Bus. Chương trình có thể quản lý một số chuỗi khóa, mỗi khóa có mật khẩu chính của riêng nó, và cũng có một khóa phiên không bao giờ được lưu trữ vào đĩa, nhưng sẽ bị quên khi phiên kết thúc. Thư viện libgnome-keyring được các ứng dụng sử dụng để tích hợp với hệ thống keyring GNOME.

Điều đó được dịch rất tự do muốn diễn đạt:

  • gnome-keyring là chương trình phụ trách giữ mật khẩu và các bí mật khác cho người dùng. Trong mỗi phiên, nó chạy như một daemon, tương tự như ssh-agent và cho các ứng dụng khác được đặt thông qua một biến môi trường - môi trường hoặc thông qua D-Bus. Chương trình có thể xử lý một số chuỗi khóa, mỗi chuỗi có mật khẩu chính của riêng nó. Ngoài ra còn có một phiên khóa không bao giờ được lưu trữ trên đĩa cứng và bị quên khi phiên kết thúc. Các ứng dụng sử dụng thư viện keyring libgnome để tích hợp với hệ thống keyring GNOME..

Debian với Hệ điều hành Cơ sở

Chúng tôi bắt đầu từ một máy tính mà chúng tôi vừa cài đặt Debian 8 "Jessie" làm Hệ điều hành và trong quá trình cài đặt, chúng tôi chỉ chọn "Tiện ích hệ thống cơ bản" mà không đánh dấu bất kỳ tùy chọn nào khác để cài đặt các tác vụ - nhiệm vụ hoặc các gói được xác định trước như máy chủ OpenSSH. Nếu sau khi bắt đầu phiên đầu tiên, chúng tôi thực hiện:

root @ master: ~ # pam-auth-update

chúng ta sẽ nhận được các kết quả sau: Xác thực PAM - 01

Xác thực PAM - 02

Điều này cho chúng ta thấy rằng Mô-đun PAM duy nhất được sử dụng cho đến thời điểm đó là Xác thực UNIX. Tiện ích pam-auth-cập nhật Nó cho phép chúng tôi định cấu hình chính sách xác thực trung tâm cho hệ thống bằng cách sử dụng Cấu hình được xác định trước do Mô-đun PAM cung cấp. Để biết thêm thông tin, hãy xem người đàn ông pam-auth-cập nhật.

Vì chúng tôi chưa cài đặt máy chủ OpenSSH, chúng tôi sẽ không tìm thấy mô-đun PAM của nó trong thư mục /etc/pam.d/, sẽ chứa các mô-đun PAM và cấu hình được tải đến những thời điểm sau:

root @ master: ~ # ls -l /etc/pam.d/
tổng số 76 -rw-r - r-- 1 root root 235 Sep 30 2014 atd -rw-r - r-- 1 root root 1208 Apr 6 22:06 common-account -rw-r - r-- 1 root root 1221 6 thg 22 06:1 common-auth -rw-r - r-- 1440 root root 6 22 thg 06 1:1156 common-password -rw-r - r-- 6 root root 22 06 thg 1 1154:6 common-session -rw-r - r-- 22 root root 06 1 thg 606 11:2015 common-session-noninteractive -rw-r - r-- 1 root root 384 Jun 19 2014 cron -rw-r - r - 1 root root 92 Nov 19 2014 chfn -rw-r - r-- 1 root root 581 Nov 19 2014 chpasswd -rw-r - r-- 1 root root 4756 Nov 19 2014 chsh -rw-r-- r-- 1 root root 92 19 thg 2014 1 đăng nhập -rw-r - r-- 520 root root 6 thg 2016 1 92 newusers -rw-r - r-- 19 root root 2014 Jan 1 143 other -rw-r- -r-- 29 root root 2015 Nov 1 138 passwd -rw-r - r-- 29 root root 2015 Mar 1 2257 runuser -rw-r - r-- 19 root root 2014 Mar 1 220 runuser-l -rw -r - r-- 2 root root 2016 Nov XNUMX XNUMX su -rw-r - r-- XNUMX root root XNUMX Sep XNUMX XNUMX systemd-user

Ví dụ: sử dụng mô-đun PAM /etc/pam.d/chfn hệ thống cấu hình dịch vụ Bóng tối, trong khi thông qua /etc/pam.d/cron daemon được cấu hình cron. Để tìm hiểu thêm một chút, chúng ta có thể đọc nội dung của mỗi tệp này rất hướng dẫn. Như một ví dụ, chúng tôi đưa ra bên dưới nội dung của mô-đun /etc/pam.d/cron:

root @ master: ~ # less /etc/pam.d/cron
# Tệp cấu hình PAM cho trình nền cron

@include chung-auth

# Đặt phiên thuộc tính quy trình loginuid bắt buộc pam_loginuid.so # Đọc các biến môi trường từ tệp mặc định của pam_env, / etc / environment # và /etc/security/pam_env.conf. phiên yêu cầu pam_env.so # Ngoài ra, đọc thông tin ngôn ngữ hệ thống phiên bắt buộc pam_env.so envfile = / etc / default / locale

@include tài khoản chung
@include chung-session-noninteractive 

# Thiết lập giới hạn người dùng, vui lòng xác định giới hạn cho các tác vụ cron # đến /etc/security/limits.conf phiên bắt buộc pam_limits.so

Thứ tự của các câu lệnh trong mỗi tệp là quan trọng. Nói chung, chúng tôi không khuyên bạn nên sửa đổi bất kỳ cái nào trong số chúng trừ khi chúng tôi biết rất rõ những gì chúng tôi đang làm.

Debian với hệ điều hành cơ sở + OpenSSH

root @ master: ~ # aptitude cài đặt task-ssh-server
Các gói MỚI sau đây sẽ được cài đặt: openssh-server {a} openssh-sftp-server {a} task-ssh-server

Chúng tôi sẽ xác minh rằng mô-đun PAM đã được thêm và định cấu hình chính xác sshd:

root @ master: ~ # ls -l /etc/pam.d/sshd 
-rw-r - r-- 1 root root 2133 Jul 22 2016 /etc/pam.d/sshd

Nếu chúng tôi muốn biết nội dung của hồ sơ đó:

root @ master: ~ # less /etc/pam.d/sshd

Nói cách khác, khi chúng tôi cố gắng bắt đầu một phiên từ xa từ một máy tính khác bằng cách sử dụng ssh, xác thực trên máy tính cục bộ được thực hiện thông qua mô-đun PAM sshd chủ yếu, mà không quên các khía cạnh ủy quyền và bảo mật khác liên quan đến dịch vụ ssh như vậy.

Khi chuyển, chúng tôi thêm rằng tệp cấu hình chính của dịch vụ này là / etc / ssh / sshd_configvà ít nhất trong Debian, nó được cài đặt theo mặc định mà không cho phép người dùng tương tác đăng nhập nguồn gốc. Để cho phép nó, chúng tôi phải sửa đổi tệp / etc / ssh / sshd_config và thay đổi dòng:

PermitRootLogin không cần mật khẩu

qua

PermitRootLogin có

và sau đó khởi động lại và kiểm tra trạng thái của dịch vụ bằng cách:

root @ master: ~ # systemctl khởi động lại ssh
root @ master: ~ # trạng thái systemctl ssh

Debian với màn hình LXDE

Chúng tôi tiếp tục với cùng một nhóm - chúng tôi thay đổi tên của họ hoặc hostname bởi "hộp linux»Để sử dụng trong tương lai- mà chúng tôi đã hoàn tất cài đặt LXDE Desktop. Chạy thôi pam-auth-cập nhật và chúng tôi sẽ thu được các kết quả sau: Xác thực PAM - 03

Xác thực PAM - 04

Hệ thống đã kích hoạt tất cả các Cấu hình -Mô-đun- cần thiết để xác thực chính xác trong quá trình cài đặt máy tính để bàn LXDE, các cấu hình sau:

  • Mô-đun xác thực UNIX.
  • Mô-đun ghi lại các phiên của người dùng trong Nhóm kiểm soát phân cấp của systemd.
  • GNOME Keyring Daemon Module
  • Chúng tôi nhân cơ hội này để khuyên rằng trong mọi trường hợp, khi chúng tôi được yêu cầu "bật cấu hình PAM", chúng tôi sẽ chọn tùy chọn Trừ khi chúng ta biết rất rõ những gì chúng ta đang làm. Nếu chúng tôi thay đổi cấu hình PAM do Hệ điều hành tự động thực hiện, chúng tôi có thể dễ dàng vô hiệu hóa đăng nhập trên máy tính.

Trong những trường hợp trên chúng ta đang nói đến Xác thực cục bộ hoặc Xác thực với máy tính cục bộ khi chúng tôi bắt đầu một phiên từ xa thông qua ssh.

Nếu chúng ta triển khai một phương pháp Xác thực từ xa trong đội địa phương Đối với người dùng có thông tin đăng nhập của họ được lưu trữ trong máy chủ OpenLDAP từ xa hoặc trong Active Directory, hệ thống sẽ tính đến hình thức xác thực mới và sẽ thêm các mô-đun PAM cần thiết.

dữ liệu chính

  • / etc / passwd: Thông tin tài khoản người dùng
  • / etc / shadow: Thông tin bảo mật của tài khoản người dùng
  • /etc/pam.conf: Tệp chỉ nên được sử dụng nếu thư mục không tồn tại /etc/pam.d/
  • /etc/pam.d/: Thư mục nơi các chương trình và dịch vụ cài đặt mô-đun PAM của chúng
  • /etc/pam.d/passwd: Cấu hình PAM cho passwd.
  • /etc/pam.d/common-account: Thông số ủy quyền chung cho tất cả các dịch vụ
  • /etc/pam.d/common-auth: Tham số xác thực chung cho tất cả các dịch vụ
  • /etc/pam.d/common-password: Mô-đun PAM chung cho tất cả các dịch vụ liên quan đến mật khẩu - mật khẩu
  • /etc/pam.d/common-session: Mô-đun PAM chung cho tất cả các dịch vụ liên quan đến phiên người dùng
  • /etc/pam.d/common-session-noninteractive: Mô-đun PAM chung cho tất cả các dịch vụ liên quan đến các phiên không tương tác hoặc không yêu cầu sự can thiệp của người dùng, chẳng hạn như các tác vụ chạy ở đầu và cuối của các phiên không tương tác.
  • / usr / share / doc / passwd /: Thư mục tài liệu.

Chúng tôi khuyên bạn nên đọc các trang hướng dẫn của passwd y bóng tối thông qua người đàn ông quá khích y bóng người. Nó cũng tốt cho sức khỏe khi đọc nội dung của các tệp tài khoản chung, xác thực chung, mật khẩu chung, phiên chung y thông thường-phiên-không tương tác.

Mô-đun PAM có sẵn

Để có ý tưởng về các mô-đun PAM có sẵn một ưu tiên Trong kho lưu trữ Debian chuẩn, chúng tôi chạy:

buzz @ linuxbox: ~ $ aptitude search libpam

Danh sách dài và chúng tôi sẽ chỉ phản ánh các mô-đun cho thấy nó bao quát như thế nào:

libpam-afs-session          - PAM module to set up a PAG and obtain AFS tokens                    
libpam-alreadyloggedin      - PAM module to skip password authentication for logged users
libpam-apparmor             - changehat AppArmor library as a PAM module
libpam-barada               - PAM module to provide two-factor authentication based on HOTP
libpam-blue                 - PAM module for local authenticaction with bluetooth devices
libpam-ca                   - POSIX 1003.1e capabilities (PAM module)                             
libpam-ccreds               - Pam module to cache authentication credentials                      
libpam-cgrou                - control and monitor control groups (PAM)                            
libpam-chroot               - Chroot Pluggable Authentication Module for PAM                      
libpam-ck-connector         - ConsoleKit PAM module                 
libpam-cracklib             - PAM module to enable cracklib support 
libpam-dbus                 - A PAM module which asks the logged in user for confirmation         
libpam-duo                  - PAM module for Duo Security two-factor authentication               
libpam-dynalogin            - two-factor HOTP/TOTP authentication - implementation libs           
libpam-encfs                - PAM module to automatically mount encfs filesystems on login        
libpam-fprintd              - PAM module for fingerprint authentication trough fprintd            
libpam-geo                  - PAM module checking access of source IPs with a GeoIP database      
libpam-gnome-keyring        - PAM module to unlock the GNOME keyring upon login                   
libpam-google-authenticator - Two-step verification                 
libpam-heimdal              - PAM module for Heimdal Kerberos       
libpam-krb5                 - PAM module for MIT Kerberos           
libpam-krb5-migrate-heimdal - PAM module for migrating to Kerberos  
libpam-lda                  - Pluggable Authentication Module for LDA                         
libpam-ldapd                - PAM module for using LDAP as an authentication service              
libpam-mkhomedir            -         
libpam-mklocaluser          - Configure PAM to create a local user if it do not exist already     
libpam-modules              - Pluggable Authentication Modules for PAM                            
libpam-modules-bin          - Pluggable Authentication Modules for PAM - helper binaries          
libpam-mount                - PAM module that can mount volumes for a user session                
libpam-mysql                - PAM module allowing authentication from a MySQL server              
libpam-nufw                 - The authenticating firewall [PAM module]                            
libpam-oath                 - OATH Toolkit libpam_oath PAM module   
libpam-ocaml                - OCaml bindings for the PAM library (runtime)                        
libpam-openafs-kaserver     - AFS distributed filesystem kaserver PAM module                      
libpam-otpw                 - Use OTPW for PAM authentication       
libpam-p11                  - PAM module for using PKCS#11 smart cards                            
libpam-passwdqc             - PAM module for password strength policy enforcement                 
libpam-pgsql                - PAM module to authenticate using a PostgreSQL database              
libpam-pkcs11               - Fully featured PAM module for using PKCS#11 smart cards             
libpam-pold                 - PAM module allowing authentication using a OpenPGP smartcard        
libpam-pwdfile              - PAM module allowing authentication via an /etc/passwd-like file     
libpam-pwquality            - PAM module to check password strength 
libpam-python               - Enables PAM modules to be written in Python                         
libpam-python-doc           - Documentation for the bindings provided by libpam-python            
libpam-radius-auth          - The PAM RADIUS authentication module  
libpam-runtime              - Runtime support for the PAM library   
libpam-script               - PAM module which allows executing a script                          
libpam-shield               - locks out remote attackers trying password guessing                 
libpam-shish                - PAM module for Shishi Kerberos v5     
libpam-slurm                - PAM module to authenticate using the SLURM resource manager         
libpam-smbpass              - pluggable authentication module for Samba                           
libpam-snapper              - PAM module for Linux filesystem snapshot management tool            
libpam-ssh                  - Authenticate using SSH keys           
libpam-sshauth              - authenticate using an SSH server      
libpam-sss                  - Pam module for the System Security Services Daemon                  
libpam-systemd              - system and service manager - PAM module                             
libpam-tacplus              - PAM module for using TACACS+ as an authentication service           
libpam-tmpdir               - automatic per-user temporary directories                            
libpam-usb                  - PAM module for authentication with removable USB block devices      
libpam-winbind              - Windows domain authentication integration plugin                    
libpam-yubico               - two-factor password and YubiKey OTP PAM module                      
libpam0g                    - Pluggable Authentication Modules library                            
libpam0g-dev                - Development files for PAM             
libpam4j-java               - Java binding for libpam.so            
libpam4j-java-doc           - Documentation for Java binding for libpam.so

Rút ra kết luận của riêng bạn.

CentOS

Nếu trong quá trình cài đặt chúng ta chọn tùy chọn «Máy chủ với GUI«, Chúng tôi sẽ có được một nền tảng tốt để triển khai các dịch vụ khác nhau cho Mạng SME. Không giống như Debian, CentOS / Red Hat® cung cấp một loạt bảng điều khiển và công cụ đồ họa giúp cho việc quản trị Hệ thống hoặc Mạng trở nên dễ dàng hơn.

Tài liệu

Được cài đặt theo mặc định, chúng tôi tìm thấy nó trong thư mục:

[root @ linuxbox ~] # ls -l /usr/share/doc/pam-1.1.8/
tổng 256 -rw-r - r--. 1 root root 2045 Jun 18 2013 Bản quyền drwxr-xr-x. 2 root root 4096 ngày 9 tháng 06 28:XNUMX html
-rw-r - r--. 1 root root 175382 5 tháng 19 13:1 Linux-PAM_SAG.txt -rw-r - r--. 67948 root root 18 Jun 2013 86.0 rfc2.txt drwxr-xr-x. 4096 root root 9 ngày 06 tháng 28 XNUMX:XNUMX txt
[root @ linuxbox ~] # ls /usr/share/doc/pam-1.1.8/txts/
README.pam_access README.pam_exec README.pam_lastlog README.pam_namespace README.pam_selinux README.pam_timestamp README.pam_console README.pam_faildelay README.pam_limits README.pam_nologin README.pam_sepermit README.pam_tty_audit README.pam_cracklib README.pam_faillock README.pam_listfile README.pam_permit README. pam_shells README.pam_umask README.pam_chroot README.pam_filter README.pam_localuser README.pam_postgresok README.pam_stress README.pam_unix README.pam_debug README.pam_ftp README.pam_loginuid README.pam_pwhistory README.pam_succeed_if README.pam_userdb README.pam_deny README.pam_group README.pam_mail README .pam_rhosts README.pam_tally README.pam_warn README.pam_echo README README.pam_issue README.pam_mkhomedir README.pam_rootok README.pam_tally2 README.pam_wheel README.pam_ADME_wheel README.pam_ADME_ADME_ADME

Có, chúng tôi cũng gọi nhóm CentOS là "linuxbox" như với Debian, nhóm này sẽ phục vụ chúng tôi cho các bài viết trong tương lai trên Mạng SMB.

CentOS với GUI GNOME3

Khi chúng tôi chọn trong khi cài đặt, tùy chọn «Máy chủ với GUI«, Máy tính để bàn GNOME3 và các tiện ích và chương trình cơ sở khác được cài đặt để phát triển máy chủ. Ở cấp bảng điều khiển, để biết trạng thái xác thực, chúng tôi thực thi:

[root @ linuxbox ~] # authconfig-tui

Xác thực PAM - 05

Chúng tôi kiểm tra để đảm bảo rằng chỉ các mô-đun PAM cần thiết cho cấu hình máy chủ hiện tại mới được kích hoạt, thậm chí là một mô-đun để đọc dấu vân tay, một hệ thống xác thực mà chúng tôi tìm thấy trong một số kiểu máy tính xách tay.

CentOS với GUI GNOME3 đã tham gia vào Microsoft Active Directory

Xác thực PAM - 06

Như chúng ta có thể thấy, các mô-đun cần thiết đã được thêm vào và kích hoạt -winbind- để xác thực đối với Active Directory, trong khi chúng tôi cố tình vô hiệu hóa mô-đun để đọc dấu vân tay, vì nó không cần thiết.

Trong một bài viết tới, chúng tôi sẽ trình bày chi tiết cách kết hợp máy khách CentOS 7 với Microsoft Active Directory. Chúng tôi chỉ dự đoán điều đó thông qua công cụ Authoconfig-gtk Việc cài đặt các gói cần thiết, cấu hình tự động tạo thư mục của người dùng miền xác thực cục bộ và bản thân quá trình tham gia máy khách vào Miền của Active Directory được tự động hóa rất nhiều. Có lẽ sau khi hợp nhất, sẽ chỉ cần khởi động lại máy tính.

dữ liệu chính

Các tệp liên quan đến Xác thực CentOS nằm trong thư mục /etc/pam.d/:

[root @ linuxbox ~] # ls /etc/pam.d/
atd liveinst smartcard-auth-ac authconfig đăng nhập smtp authconfig-gtk khác smtp.postfix authconfig-tui passwd sshd config-use password-auth su crond password-auth-ac sudo cup pluto sudo-i chfn polkit-1 su-l chsh postlogin hệ thống-auth vân tay-auth postlogin-ac system-auth-ac vân tay-auth-ac ppp system-config-xác thực gdm-autologin từ xa systemd-user gdm-vân tay runuser vlock gdm-khởi chạy-môi trường runuser-l vmtoolsd gdm-password samba xserver gdm-pin setup gdm-smartcard smartcard-auth

Mô-đun PAM có sẵn

Chúng tôi có các kho lưu trữ cơ sở, centosplus, epel, y cập nhật. Trong chúng, chúng tôi tìm thấy -among những người khác- các mô-đun sau bằng cách sử dụng các lệnh yum tìm kiếm pam-yum tìm kiếm pam_, Và yum tìm kiếm libpam:

nss-pam-ldapd.i686: Mô-đun nsswitch sử dụng máy chủ thư mục nss-pam-ldapd.x86_64: Mô-đun nsswitch sử dụng máy chủ thư mục ovirt-guest-agent-pam-module.x86_64: Mô-đun PAM cho pam oVirt Guest Agent -kwallet.x86_64: Mô-đun PAM cho KWallet pam_afs_session.x86_64: Mã thông báo AFS PAG và AFS khi đăng nhập pam_krb5.i686: Mô-đun xác thực có thể cắm cho Kerberos 5 pam_krb5.x86_64: Mô-đun xác thực có thể cắm được cho Kerberos 5 pam_ Mô-đun xác thực có thể cắm được cho Kerberos 86 pam_ Mô-đun xác thực có thể lắp ráp qua MAPI chống lại máy chủ Zarafa pam_oath.x64_86: Mô-đun PAM để xác thực đăng nhập có thể cắm thêm cho OATH pam_pkcs64.i11: PKCS # 686 / NSS PAM mô-đun đăng nhập pam_pkcs11.x11_86: Mô-đun đăng nhập PKCS # 64 / NSS PAM pam_radius.x11_86: Mô-đun PAM cho Xác thực RADIUS pam_script.x64_86: Mô-đun PAM để thực thi tập lệnh pam_snapper.i64: Mô-đun PAM để gọi snapper pam_snapper.x686_86: Mô-đun PAM để gọi snapper pam_ssh.x64_86: Mô-đun PAM để sử dụng với các khóa SSH và ssh-agent pam_ssh_agent_64 686: Mô-đun PAM để xác thực với ssh-agent pam_ssh_agent_auth.x86_64: Mô-đun PAM để xác thực với ssh-agent pam_url.x86_64: Mô-đun PAM để xác thực với máy chủ HTTP pam_wrapper.x86_64: Một công cụ để kiểm tra các ứng dụng PAM và mô-đun PAM pam_yubico.x86_64: Mô-đun xác thực có thể cài đặt cho yubikeys libpamtest-doc.x86_64: Tài liệu API libpamtest python-libpamtest.x86_64: Trình bao bọc python cho libpamtest libpamtest.x86_64: Một công cụ để kiểm tra các ứng dụng PAM và mô-đun PAM libpamtest-devel.x86_64: Một công cụ để kiểm tra Ứng dụng PAM và mô-đun PAM

tóm lại

Điều quan trọng là phải có kiến ​​thức tối thiểu về PAM nếu chúng ta muốn hiểu một cách tổng quát cách Xác thực được thực hiện mỗi khi chúng ta đăng nhập vào máy tính Linux / UNIX của mình. Cũng cần biết rằng chỉ với Xác thực cục bộ, chúng tôi mới có thể cung cấp dịch vụ cho các máy tính khác trong mạng SME nhỏ như Proxy, Mail, FTP, v.v., tất cả đều tập trung trên một máy chủ duy nhất. Tất cả các dịch vụ trước đó - và nhiều dịch vụ khác như chúng ta đã thấy trước đây - đều có mô-đun PAM của chúng.

Nguồn đã tham khảo

Phiên bản PDF

Tải xuống phiên bản PDF đây.

Cho đến bài viết tiếp theo!

Tác giả: Federico A. Valdes Toujague
Federationricotoujague@gmail.com
https://blog.desdelinux.net/author/fico


6 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   con thằn lằn dijo

    Một bài viết rất chi tiết về xác thực bằng PAM, thú thật là tôi không biết chi tiết hoạt động của xác thực và vô số các ứng dụng chi tiết và an toàn hơn mà chúng tôi có thể cung cấp cho bạn. Đây là một bài viết tuyệt vời cho phép bạn hình dung phạm vi của Xác thực PAM, cũng có thể có nhiều mục tiêu trong các doanh nghiệp vừa và nhỏ.

    Một trong những đóng góp tuyệt vời của bạn, rất cảm ơn bạn vì Fico Material tốt như vậy

  2.   Vô danh dijo

    Cảm ơn bạn đã bình luận, Luigys thân mến. Mục đích của bài viết là để mở mang suy nghĩ của độc giả về PAM và các mô-đun của nó. Tôi nghĩ rằng bài viết thành công.
    Nhân đây, tôi thông báo với bạn rằng các ý kiến ​​không đến được với tôi qua đường bưu điện.

  3.   Federico dijo

    lol, tôi quên viết địa chỉ email của tôi trong bình luận trước. Đó là lý do tại sao Anonymous ra mắt. 😉

  4.   HO2GI dijo

    Bài viết tuyệt vời, như mọi khi.

  5.   thợ săn dijo

    Federico rất hướng dẫn, tôi đã phải đối phó với PAM nhiều hơn một lần và tôi ngưỡng mộ thiết kế này, rất hữu ích khi có thể chèn chức năng vào các móc mà nó cho phép, ví dụ như điều cuối cùng tôi đã làm là một API REST trong Python / Flask để thu thập thông tin đăng nhập và đăng xuất của người dùng miền của tôi (phong cách anh cả, để biết mọi thứ), vì họ không đoán tôi đặt các lệnh gọi đến đâu để thông báo cho api? Vâng, với PAM.

  6.   Federico dijo

    Cảm ơn HO2GI đã đánh giá bài viết.
    Dhunter: Xin chào một lần nữa. Như mọi khi bạn đang làm những điều rất thú vị. Không có gì, bài đăng này là một trong những bài mà tôi liệt kê "để mở mang đầu óc."