PAM(7) dołączalne moduły uwierzytelniania do Linuksa (ang. Pluggable

Other Alias

pam

OPIS

Podręcznik ten ma na celu danie krótkiego wprowadzenia do Linux-PAM. W celu uzyskania dalszych informacji, czytelnik jest odsyłany do Linux-PAM system administrators' guide.

Linux-PAM jest systemem bibliotek, które zajmują się zadaniami uwierzytelniania aplikacji (usług) systemu. Biblioteka daje stabilny i ogólny interfejs (API), któremu podlegają w zadaniach uwierzytelniania programy dające przywileje (takie jak login(1) i su(1)).

Podstawową właściwością podejścia PAM jest to, że natura uwierzytelniania jest dynamicznie konfigurowalna. Innymi słowy, administrator systemu ma pełne pole do popisu w wybieraniu sposobu uwierzytelniania poszczególnych aplikacji. Ta dynamiczna konfiguracja jest ustawiana zawartością pojedynczego pliku konfiguracyjnego Linux-PAM czyli /etc/pam.conf. Alternatywnie, można wszystko konfigurować pojedynczymi plikami konfiguracyjnymi, zlokalizowanymi w katalogu /etc/pam.d/. Obecność tego katalogu spowoduje, że Linux-PAM zignoruje /etc/pam.conf.

Z punktu widzenia administratora systemu, dla którego przeznaczony jest ten podręcznik, nie jest ważne zrozumienie wewnętrznego działania biblioteki Linux-PAM. Ważną rzeczą jest natomiast rozumienie, że plik(i) konfiguracyjne definiują połączenia między aplikacjami (usługami) a dołączalnymi modułami uwierzytelniania (PAM-ami), które dokonują rzeczywistych zadań uwierzytelniania.

Linux-PAM rozdziela zadania uwierzytelniania na cztery niezależne grupy zarządzania: zarządzanie kontem (account); zarządzanie uwierzytelnianiem (authentication); zarządzanie hasłami (password); i zarządzanie sesją (session). (podświetlamy skróty używane dla tych grup w pliku konfiguracyjnym.)

Po ustawieniu, grupy te będą się zajmowały różnymi aspektami typowego żądania zastrzeżonej usługi przez użytkownika:

account - daj usłudze możliwość weryfikacji konta: czy hasło użytkownika jest przedawnione?; czy użytkownik ma prawo dostępu do żądanej usługi?

authentication - ustal czy użytkownik jest tym, za którego się podaje. Zazwyczaj robi się to poprzez zapytanie użytkownika o pewną odpowiedź, której musi udzielić: jeśli jesteś tym, za kogo się podajesz, podaj proszę swoje hasło. Nie wszystkie uwierzytelnienia są tego rodzaju, istnieją też sprzętowe schematy uwierzytelniania (takie jak używanie urządzeń biometrycznych), które mają odpowiednie moduły, nadające się do bezproblemowego podstawienia za standardowe modele uwierzytelniania - oto elastyczność Linux-PAM.

password - zadaniem tej grupy jest odświeżanie mechanizmów uwierzytelniania. Zazwyczaj usługi takie są ściśle związane z tymi z auth. Niektóre mechanizmy uwierzytelniania dobrze nadają się do odświeżania tą funkcją. Oczywistym przykładem jest standardowy UN*X-owy dostęp oparty o hasło: proszę wstawić hasło zamienne.

session - zadania tej grupy obejmują rzeczy, które powinny być dokonane przed daniem usługi oraz po jej wycofaniu. Zadania takie to m.in obsługa śladów rewizyjnych i montowanie katalogu domowego użytkownika. Grupa obsługi sesji jest ważna, gdyż udostępnia zarówno hak otwierający, jak i zamykający modułów.

PLIKI

/etc/pam.conf

plik konfiguracyjny

/etc/pam.d

Katalog konfiguracji Linux-PAM. Generalnie, jeśli katalog ten jest obecny, to plik /etc/pam.conf jest ignorowany.

BŁĘDY

Typowe błędy generowane przez system Linux-PAM są zapisywane do syslog(3).

ZGODNE Z

DCE-RFC 86.0, Październik 1995. Zawiera dodatkowe właściwości, ale jest wstecznie kompatybilny z tym RFC.

TŁUMACZENIE

Autorami polskiego tłumaczenia niniejszej strony podręcznika man są: Przemek Borys (PTM) <[email protected]> i Michał Kułach <[email protected]>.

Polskie tłumaczenie jest częścią projektu manpages-pl; uwagi, pomoc, zgłaszanie błędów na stronie http://sourceforge.net/projects/manpages-pl/. Jest zgodne z wersją 1.1.8 oryginału.