LPIC-2

lauthentification PAM

Authentification avec le service PAM

I. Dfinition :
PAM signifie Pluggable Authentication Modules (Modules d'authentification enfichables) est un moyen modulable d'authentifier des utilisateurs. PAM est constitue d'un ensemble de bibliothques et une API (interface de programmation d'application) qui peut tre utilis pour effectuer des tches d'authentification. Les modules appels dans les diffrents fichiers de configuration se trouvent dans /lib/security (ou /usr/lib/) cela dpend de la distribution.

II.

Les tches d'authentification peuvent tre subdivises en quatre groupes fonctionnels:

account : restriction du compte : expiration, en fonction de l'heure, de la machine source, des ressources disponibles. auth : authentifie l'utilisateur par une demande de mot de passe ou par une autre mthode. password : Gestion des mots de passe. session : Tout ce qui concerne l'ouverture d'une session, avant et aprs. PAM peut tre configur l'aide du fichier /etc/pam.conf qui a le format suivant:
service type control modul-path module-arguments service Type control

indique le nom de l'application, par exemple : login, ssh ou passwd. indique le type de module. Il peut prendre les valeurs suivantes : auth, account, password ou session est ce que l'on appelle un drapeau de contrle. Il peut prendre les valeurs suivantes : required : doit russir, mais on continue tester les autres modules malgr tout. Echec est renvoy. L'avantage par rapport requisite tant que l'on ne donne pas la raison de l'chec de la connexion. requisite : doit russir, on ne continue pas lire les autres modules, Echec est renvoy immdiatement. optimal : est ignor, le succs ou l'chec de ce module n'est important que si c'est le seul module associ ce service et ce type. sufficient : si le test est correct, on obtient immdiatement une acceptation, mme si un module pralable requise n'a pas l'authentification.
modul-path

C'est le nom du fichier, y compris le chemin d'accs complet, de la qui doit tre utilis par l'application.
module-arguments

Ce sont des arguments de modules spcifiques, spars par des espaces, qui doivent tre transmises au module.

BTS-SRI2_Sal

2012-2013

Page 1

LPIC-2

lauthentification PAM

III.

Modules connatre

pam_unix : Module de base, il permet de configurer l'authentification via le fichier /etc/passwd et/etc/shadow. Il peut tre avec les quatre types de modules : account (tabli la validit utilisateur/mot de passe et peut forcer la modification de celui l), auth (compare avec la base le mot de passe), password (la politique de changement du mot de passe), session (pour loguer les connexions). Vous pouvez associer quelques options dont : nullock pour autoriser un mot de passe vide, md5 pour le type de cryptage, debug pour loguer les informations syslog, remember=n pour ce souvenir des n derniers mots de passe utiliss. pam_nis : Ce module permet de configurer l'authentification via NIS Pour tre en mesure d'authentifier via NIS, le module pam_nis.so est ncessaire. pam_ldap : permet d'effectuer l'authentification sur une base ldap. Ce module demande une documentation lui tout seul. pam_cracklib : Permet d'accepter ou de rejeter un mot de passe, si celui-ci se trouve dans un dictionnaire. Il permet aussi de vrifier que vous ne rutilisez pas le mme mot de passe. Vous pouvez le faire suivre de retry=n (le nombre de tentatives) minlen=n (la longueur impose) difok=n (nombre de caractres qui sont dans le vieux mot de passe et que l'on ne peut pas retrouver dans le nouveau). pam_limits : Permet de limiter les ressources mis la disposition d'un utilisateur. Il faut alors configurer le fichier /etc/security/limits.conf.

IV.

Exemples :

Il y a une petite diffrence si vous avez cela dans pam.conf ou dans /etc/pam.d, mais le principe est le mme. auth required pam_unix.so nullok

# Procdez l'authentification mot de passe et autoriser les comptes sans mot de passe password required pam_unix.so nullok obscure min=4 max=8

# Permettre l'utilisateur de changer les mots de passe vides (nullok), effectuer quelques vrifications supplmentaires (obscure) avant un changement de mot de passe est accept et appliquer un mot de passe qui a un longueur minimum de 4 (min=4) et un Longueur maximum de 8 caractres (max=8).

session

required

pam_unix.so

# Identifiez-vous le nom d'utilisateur et le type de session pour syslog la fois le dbut et la fin de la session.

auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass account sufficient pam_ldap.so account required pam_unix.s # les lignes qui font le tour dans /etc/pam.d/login ,pour faire une configuration de telle sorte que l'authentification LDAP est suffisant.

BTS-SRI2_Sal

2012-2013

Page 2