Upload
con-gio
View
80
Download
1
Embed Size (px)
Citation preview
1
14 PAM14 PAM
P3 Intranet servicesP3 Intranet services
2
Nội dungNội dung Pluggable Authentication Modules (PAM).
Giới thiệu Cấu hình
3
Pluggable Authentication ModulesPluggable Authentication Modules
Mỗi ứng dụng có một kiểu xác thực => phức tạp hệ thống.
Pluggable Authentication Modules – PAM: cung cấp một phương thức xác thực tập trung.
Ứng dụng không trực tiếp xác thực, mà chuyển request cho PAM, yêu cầu xác thực.
PAM làm việc và trả về kết quả xác thực cho ứng dụng.
Ứng dụng quyết định cho phép user login hay không.
4
PAM (tt)PAM (tt)
Theo cách hiểu của Windows, PAM đóng vai trò như DLL đối với các ứng dụng khác.
Theo cách hiểu của Linux, PAM là một thư viện. PAM cung cấp nhiều module xác thực /lib/security từ
đơn giản đến phức tạp. Khi ứng dụng cần xác thực theo phương thức nào thì
gọi phương thức đó của trong thư viện của PAM. Thông tin về các module xác thực của PAM:
man [pam_module]
5
PAM (tt)PAM (tt)
/lib/security: những module xác thực của PAM.
/etc/security: file cấu hình tương ứng của từng module xác thực của PAM.
/etc/pam.d: file cấu hình của những ứng dụng sử dụng PAM xác thực. => mỗi ứng dụng xác thực bằng PAM có một
file cấu hình trong /etc/pam.d
6
PAM (tt)PAM (tt)
module_type control_flag module_path arguments
module_type: nhận một trong 4 giá trị: auth, account, session, password.
control_flag: cấu hình cách xử lí của ứng dụng với kết quả xác thực do PAM trả về.
module_path: đường dẫn cụ thể của module xác thực.
arguments: các tham số khác.
7
PAM (tt)PAM (tt)
module_type Mô tả
auth Ứng dụng yêu cầu user phải nhập password.
account Không thực hiện chứng thực, dựa vào các yếu tố khác để quyết định user có được login không: login từ đâu, vào giờ nào…
session Chỉ định những thao tác cần thực hiện trước hoặc sau khi user login.
password Cho phép user đổi password.
8
PAM (tt)PAM (tt)
control_flag Mô tả
required Module phải chứng thực thành công, nếu không kết quả fail sẽ được gởi về.
requisite Nếu module này fail, kết quả sẽ được trả về ngay lập tức, không sử dụng đến các module sau.
sufficient Nếu module này thành công, và không có module required nào nữa, kết quả thành công sẽ được trả về.
optional Cho phép tiếp tục kiểm tra module khác, dù module này bị fail.
9
PAM (tt)PAM (tt)
argument Mô tả
debug Log lại thông tin debug
no_warn Không gởi msg waring đến ứng dụng.
use_first_pass Lưu lại password, để sử dụng cho lần xác thực sau.
try_first_pass Giống option trên, tuy nhiên nếu password fail, yêu cầu user nhập lại.
10
PAM (tt)PAM (tt)
Dùng lệnh man [pam_module] để tìm hiểu về từng module xác thực:
Vd: man pam_nologin
11
Hỏi & ĐápHỏi & Đáp