PAM

Trung tâm Đào tạo Mạng Máy Tính

NHẤT NGHỆ

1
Nội dung
 Pluggable Authentication Modules (PAM).
 Giới thiệu
 Cấu hình

2
Pluggable Authentication Modules
 Mỗi ứng dụng có một kiểu xác thực => phức tạp hệ
thống.
 Pluggable Authentication Modules – PAM: cung cấp
một phương thức xác thực tập trung.
 Ứng dụng không trực tiếp xác thực, mà chuyển
request cho PAM, yêu cầu xác thực.
 PAM làm việc và trả về kết quả xác thực cho ứng
dụng.
 Ứng dụng quyết định cho phép user login hay không.

3
PAM (tt)
 Theo cách hiểu của Windows, PAM đóng vai trò như
DLL đối với các ứng dụng khác.
 Theo cách hiểu của Linux, PAM là một thư viện.
 PAM cung cấp nhiều module xác thực /lib/security từ
đơn giản đến phức tạp.
 Khi ứng dụng cần xác thực theo phương thức nào thì
gọi phương thức đó của trong thư viện của PAM.
 Thông tin về các module xác thực của PAM:
 man [pam_module]

4
PAM (tt)
 /lib/security: những module xác thực của
PAM.
 /etc/security: file cấu hình tương ứng của
từng module xác thực của PAM.
 /etc/pam.d: file cấu hình của những ứng dụng
sử dụng PAM xác thực.
 => mỗi ứng dụng xác thực bằng PAM có một
file cấu hình trong /etc/pam.d

5
PAM (tt)
 module_type control_flag module_path arguments
 module_type: nhận một trong 4 giá trị: auth, account,
session, password.
 control_flag: cấu hình cách xử lí của ứng dụng với
kết quả xác thực do PAM trả về.
 module_path: đường dẫn cụ thể của module xác
thực.
 arguments: các tham số khác.

6
PAM (tt)
module_type Mô tả
auth Ứng dụng yêu cầu user phải nhập
password.

account Không thực hiện chứng thực, dựa vào

các yếu tố khác để quyết định user có
được login không: login từ đâu, vào giờ
nào…
session Chỉ định những thao tác cần thực hiện
trước hoặc sau khi user login.

password Cho phép user đổi password.

7
PAM (tt)
control_flag Mô tả
required Module phải chứng thực thành công,
nếu không kết quả fail sẽ được gởi về.

requisite Nếu module này fail, kết quả sẽ được trả

về ngay lập tức, không sử dụng đến các
module sau.
sufficient Nếu module này thành công, và không
có module required nào nữa, kết quả
thành công sẽ được trả về.
optional Cho phép tiếp tục kiểm tra module khác,
dù module này bị fail.
8
PAM (tt)
argument Mô tả
debug Log lại thông tin debug
no_warn Không gởi msg waring đến ứng dụng.
use_first_pass Lưu lại password, để sử dụng cho lần
xác thực sau.
try_first_pass Giống option trên, tuy nhiên nếu
password fail, yêu cầu user nhập lại.

9
 PAM (tt)

Dùng lệnh man [pam_module] để tìm hiểu về từng module xác

thực:
Vd: man pam_nologin
10
Hỏi & Đáp

11