Verwenden Sie PAM am Linux -Tutorial

Verwenden Sie PAM am Linux -Tutorial
„Pam ist kein neues System. Es stammt aus dem Jahr 1997. Benutzer und Administratoren von Linux -Systemen verwenden PAM unter Linux zur Authentifizierung und anderen Aufgaben. Programme wie GDM, FTP, Telnet, SSH, IMAP, Login und viele andere verwenden jetzt Linux-PAM, um Benutzer zu authentifizieren.

Durch die Verwendung von PAM können diese Programme feststellen. Mit PAM können Benutzer Zugriff erhalten, indem sie Benutzernamen und Kennwörter bereitstellen, die in virtuellen Protokollen wie Kerberos oder LDAP gespeichert sind. Benutzer können auch Zertifikate, Token oder Biometrie zur Authentifizierung bereitstellen.

Im Gegensatz zu typischen Authentifizierungsprotokollen, PAM oder steckbaren Authentifizierungsmodulen befindet sich eine Anwendungsprogrammierschnittstelle (API). Anstatt Codes für jedes Programm oder jede Anwendung neu zu schreiben, um die PAM -Kompatibilität sicherzustellen, verändert PAM die Quellcodes bequem.

Das folgende Diagramm beschreibt einige der Programme, die Sie in PAM integrieren können, und die verwendeten Methoden.”

Linux Pam Tutorial

Im Idealfall bietet PAM ein einheitliches Anmeldesystem für Linux -Programme und -Anwendungen an. Aber um PAM richtig zu verwenden, wird dieses Tutorial nützlich sein.

Überprüfen Sie die Linux -Systeme, die mit PAM kompatibel sind

Die Verwendung von PAM beginnt mit der Überprüfung, ob das von Ihnen beabsichtigte Programm PAM-ANTWORT ist oder nicht. Und Sie können das mit diesem Befehl überprüfen

Alternativ können Sie den folgenden Befehl verwenden, um die Linux -Programme oder -Dienste aufzulisten, die PAM verwenden. Mit dem Befehl können Sie den Inhalt des Verzeichnisses überprüfen.

Eine Auflistung mit dem obigen Befehl erzeugt immer ein Ergebnis, das dem in der folgenden Abbildung ähnelt

Das Öffnen einer Dienstdatei zeigt Ihnen, dass jede Datei drei Spalten enthält. Die erste Spalte bedeutet die Verwaltungsgruppe, die mittlere Spalte repräsentiert die Steuerflags und das dritte ist das Modul, das für jede Kategorie verwendet wird.

In der obigen Abbildung repräsentiert das „Konto“ die Verwaltungsgruppe „Erforderlich“ das Kontrollflag, während das „pam_nologin.Also ”ist das verwendete Modul. Gelegentlich kann eine vierte Spalte vorhanden sein, die die Modulparameter darstellen.

PAM -Konfigurationsdateien für PAM erstellen oder bearbeiten-ified Dienstleistungen oder Programme

Als Linux -Server- oder Systemadministrator können Sie alle PAM -Module auflisten, die für die Implementierung der Zugriffsrichtlinie für jedes Programm geeignet sind. Die Liste ist als Stapel bekannt. Sie müssen jedes Modul wie im Stapel der Konfigurationsdatei für ein bestimmtes Programm aufrufen. Dies sollte natürlich geschehen, bevor ein Benutzer authentifiziert wird.

Sie können die Konfigurationsdatei für ein Programm ändern, falls ein bestimmtes Modul fehlschlägt. Mit dieser Änderung können Sie komplexere Richtlinien wie Authentifizierung mit LDAP zuerst implementieren oder lokale Dateien ausprobieren, falls dies fehlschlägt.

Zum Beispiel wird Hwbrowser geschrieben, um Linux PAM zur Authentifizierung von Benutzern zu verwenden. Die /etc /pam.D steuert den gleichen Satz von Modulen in den Konfigurationsdateien. Sie können die Konfigurationsdatei des Programms bearbeiten, damit Sie die gewünschten Zugriffsrichtlinien durchsetzen können.

Dies ist das Standard -Erscheinungsbild der Konfigurationsdatei des Programms vor der Bearbeitung

Wie oben erkennbar, enthält die Datei eine Auflistung der DLLs zur Verwendung, wobei einige zusätzliche Details enthalten.

3. Verwenden Sie PAM, um einzuschränken Wurzel Zugang oder Zulassung zu SSH

Insbesondere ist PAM auch nützlich, um den Zugriff des Root -Benutzerzugriffs auf Programme oder Systeme über SSH und andere Anmeldungsprogramme zu deaktivieren. Sie können dies erreichen, indem Sie den Zugriff auf SSHD- und Login -Dienste einschränken.

Die/lib/security/pam_listfile.So ist Ihr bevorzugtes Modul, da es eine immense Flexibilität bei der Begrenzung der Fähigkeiten und Berechtigungen bestimmter Konten bietet. Öffnen und bearbeiten Sie die Zieldateien in /etc /pam.D/ Verwenden eines der folgenden Befehle;

ODER

Was auch immer der Fall ist, fügen Sie das folgende Ergebnis zu beiden Dateien hinzu

Stapel mit Linux PAM

Schließlich möchten wir kein PAM -Tutorial beenden, ohne das Stapeln zu besprechen, wie Pam unterstützt. Dieses Konzept ermöglicht es einem bestimmten Dienst oder einem bestimmten Programm, mehrere Mechanismen zu verwenden. Sie können in der Konfigurationsdatei einen Stapel erstellen, indem Sie mehrere Einträge für das Zielprogramm mit einer ähnlichen Module_Type -Datei erstellen.

Sie können die Module in der Reihenfolge aufrufen, in der sie im Stapel erscheinen. Das Feld Control_flag gibt das Endergebnis an.

Insbesondere haben PAM Control_flags das folgende Verhalten

  • Erforderlich- diese Module müssen verabschieden, um ein erfolgreiches Ergebnis zu erzielen. Andere erforderliche Module im Stapel werden auch dann ausprobiert, wenn einer oder mehrere in der Kategorie fehlschlagen. Der Fehler aus dem ersten fehlgeschlagenen Modul wirkt sich jedoch auf das Ergebnis aus.
  • Erforderlich- Dies ähnelt dem erforderlichen Modul. Im Falle eines Scheiterns eines erforderlichen Moduls versucht das System jedoch keine anderen erforderlichen Module im Stapel zur Verarbeitung.
  • ausreichend- Wenn alle vorherigen erforderlichen Module erfolgreich erfolgen und ein ausreichendes Modul passt, werden die anderen Module nicht zur Verarbeitung angeboten. Das System ignoriert die verbleibenden Module und gibt ein erfolgreiches Ergebnis zurück.
  • Optional- Ein optionales Modul muss erfolgreich sein, falls es keine erforderlichen Module im Stapel gibt und keines der ausreichenden Module bestanden wurde. Wenn jedoch ein anderes erfolgreiches Modul im Stapel vorhanden ist, ignoriert das System ein fehlgeschlagenes optionales Modul.

Diese /etc /pam.conf ist ein Beispiel für ein typisches Stapeln in PAM für das Anmeldungsprogramm im Auth_Module -Typ.

Abschluss

PAM ist eine robuste API, mit der Dienste und Programme auf Linux -Systemen Benutzer authentifizieren können. Während es für die Authentifizierung von Benutzern in einer Linux -Umgebung von entscheidender Bedeutung ist, kann das Verständnis und die Verwendung von Linux PAM ein Albtraum für Anfänger sein. Dieses Tutorial zielte darauf ab, den gesamten Prozess zu erleichtern. Hoffentlich hat es sein Ziel erreicht.

Quellen:

  • https: // www.IBM.com/docs/en/aix/7.2?Topie = Modules-PAM-Konfigurations-Datei
  • https: // www.Tecmint.com/configure-pam-in-centos-subuntu-linux/
  • http: // www.Linuxgeek.Netto-/Dokumentation/Authentifizierung.Phtml
  • https: // docs.Orakel.COM/CD/E19683-01/816-4883/PAM-32/INDEX.html.