Utilisation du tutoriel PAM sur Linux

Utilisation du tutoriel PAM sur Linux
«Pam n'est pas un nouveau système. Il remonte à 1997. Les utilisateurs et administrateurs du système Linux utilisent PAM sur Linux pour l'authentification et d'autres tâches. Des programmes tels que GDM, FTP, Telnet, SSH, IMAP, Login et bien d'autres utilisent désormais Linux-PAM pour authentifier les utilisateurs.

En utilisant PAM, ces programmes peuvent déterminer si un utilisateur est ce qu'il prétend être. Avec PAM, les utilisateurs peuvent accéder en fournissant des noms d'utilisateur et des mots de passe stockés dans des protocoles virtuels tels que Kerberos ou LDAP. Les utilisateurs peuvent également fournir des certificats, des jetons ou une biométrie pour l'authentification.

Et contrairement aux protocoles d'authentification typiques, PAM ou modules d'authentification enfichables, est une interface de programmation d'application (API). Ainsi, plutôt que de réécrire les codes pour chaque programme ou application pour assurer la compatibilité PAM, PAM modifie les codes source de manière pratique.

Le diagramme ci-dessous détaille certains des programmes que vous pouvez intégrer avec PAM et les méthodes utilisées."

Tutoriel Linux Pam

Idéalement, PAM fournit un système de connexion unifié pour les programmes et applications Linux. Mais pour utiliser correctement PAM, ce tutoriel sera utile.

Vérifiez les systèmes Linux compatibles avec PAM

L'utilisation de PAM commence par vérifier si le programme que vous avez l'intention d'utiliser est ou non Pam-Aware. Et vous pouvez vérifier que l'utilisation de cette commande;

Alternativement, vous pouvez utiliser la commande ci-dessous pour répertorier les programmes ou services Linux qui utilisent PAM. La commande vous permet de vérifier le contenu du répertoire.

Une liste utilisant la commande ci-dessus produira toujours un résultat similaire à ce qui est dans la figure ci-dessous;

L'ouverture de n'importe quel fichier de service vous montrera que chaque fichier a trois colonnes. La première colonne signifie le groupe de gestion, la colonne du milieu représente les indicateurs de contrôle et le troisième est le module utilisé pour chaque catégorie.

Dans la figure ci-dessus, le «compte» représente le groupe de gestion, «requis» est l'indicateur de contrôle, tandis que le «PAM_NOLOGINE.Donc »est le module utilisé. Une quatrième colonne peut parfois exister, et cela représentera les paramètres du module.

Créer ou modifier des fichiers de configuration PAM pour PAM-idiot Services ou programmes

En tant que serveur Linux ou administrateur système, vous pouvez répertorier tous les modules PAM appropriés pour implémenter la stratégie d'accès pour tout programme. La liste est connue comme une pile. Vous devrez invoquer chaque module comme indiqué dans la pile du fichier de configuration pour un programme particulier. Bien sûr, cela devrait se produire avant d'authentifier tout utilisateur.

Vous pouvez modifier le fichier de configuration configuré pour un programme au cas où un module donné échoue. Cette modification vous permettra d'implémenter des politiques plus complexes telles que l'authentification avec LDAP d'abord ou d'essayer les fichiers locaux au cas où cela échoue.

Par exemple, Hwbrowser est écrit pour utiliser Linux Pam pour authentifier les utilisateurs. Le / etc / pam.D contrôle le même ensemble de modules dans les fichiers de configuration. Vous pouvez modifier le fichier de configuration du programme pour vous permettre d'appliquer les politiques d'accès souhaitées.

Il s'agit de l'aspect par défaut du fichier de configuration du programme avant l'édition;

Comme il est évident ci-dessus, le fichier contient une liste des DLL à utiliser, certains contenant des détails supplémentaires.

3. Utilisation de PAM pour restreindre racine Accès ou admission à SSH

Notamment, PAM est également utile pour désactiver l'accès des utilisateurs racinaires aux programmes ou systèmes via SSH et d'autres programmes de connexion. Vous pouvez y parvenir en restreignant l'accès à SSHD et aux services de connexion.

Le / lib / security / pam_listfile.Il en va de même pour votre module préféré car il offre une immense flexibilité pour limiter les capacités et les privilèges de certains comptes. Ouvrez et modifiez les fichiers cibles dans le / etc / pam.d / en utilisant l'une des commandes ci-dessous;

OU

Quel que soit le cas, ajoutez le résultat ci-dessous aux deux fichiers;

Empilement à l'aide de Linux Pam

Enfin, nous ne voudrions pas mettre fin à un tutoriel PAM sans discuter de l'empilement, comme le support PAM. Ce concept permet à un service ou un programme particulier d'utiliser plusieurs mécanismes. Vous pouvez créer une pile dans le fichier de configuration en créant plusieurs entrées pour le programme cible avec un fichier module_type similaire.

Vous pouvez invoquer les modules dans l'ordre dans lequel ils apparaissent dans la pile. Le champ Control_Flag spécifie le résultat final.

Notamment, Pam Control_Flags a le comportement suivant;

  • requis - ces modules doivent passer pour produire un résultat réussi. D'autres modules requis dans la pile seront essayés même lorsqu'une ou plusieurs dans la catégorie échoue. Cependant, l'erreur du premier module échoué affectera le résultat.
  • requis - Ceci est similaire au module requis. Mais en cas de défaillance d'un module requis, le système ne tentera aucun autre module requis dans la pile pour le traitement.
  • suffisant - Si tous les modules requis précédents passent avec succès et qu'un module suffisant passe, les autres modules ne seront pas dus pour le traitement. Le système ignorera les modules restants et renverra un résultat réussi.
  • Facultatif - Un module facultatif doit réussir au cas où il n'y a pas de modules requis dans la pile et aucun des modules suffisants n'a réussi. Mais s'il y a un autre module réussi dans la pile, le système ignorera tout module facultatif échoué.

Ce / etc / pam.Conf est un exemple d'empilement typique dans PAM pour le programme de connexion dans le type Auth_Module.

Conclusion

PAM est une API robuste qui permet aux services et programmes sur les systèmes Linux pour authentifier les utilisateurs. Bien qu'il reste essentiel pour l'authentification des utilisateurs dans un environnement Linux, la compréhension et l'utilisation de Linux Pam peuvent être un cauchemar pour les techniciens novices. Ce tutoriel visait à faciliter l'ensemble du processus. J'espère qu'il a atteint son objectif.

Sources:

  • https: // www.ibm.com / docs / en / aix / 7.2?Sujet = modules-pam-configuration-file
  • https: // www.Tecmint.com / configurer-pam-in-centos-ubuntu-linux /
  • http: // www.linuxgeek.net / documentation / authentification.phtml
  • https: // docs.oracle.com / cd / e19683-01 / 816-4883 / pam-32 / index.html.