Professional Documents
Culture Documents
lauthentification PAM
II.
account : restriction du compte : expiration, en fonction de l'heure, de la machine source, des ressources disponibles. auth : authentifie l'utilisateur par une demande de mot de passe ou par une autre mthode. password : Gestion des mots de passe. session : Tout ce qui concerne l'ouverture d'une session, avant et aprs. PAM peut tre configur l'aide du fichier /etc/pam.conf qui a le format suivant:
service type control modul-path module-arguments service Type control
indique le nom de l'application, par exemple : login, ssh ou passwd. indique le type de module. Il peut prendre les valeurs suivantes : auth, account, password ou session est ce que l'on appelle un drapeau de contrle. Il peut prendre les valeurs suivantes : required : doit russir, mais on continue tester les autres modules malgr tout. Echec est renvoy. L'avantage par rapport requisite tant que l'on ne donne pas la raison de l'chec de la connexion. requisite : doit russir, on ne continue pas lire les autres modules, Echec est renvoy immdiatement. optimal : est ignor, le succs ou l'chec de ce module n'est important que si c'est le seul module associ ce service et ce type. sufficient : si le test est correct, on obtient immdiatement une acceptation, mme si un module pralable requise n'a pas l'authentification.
modul-path
C'est le nom du fichier, y compris le chemin d'accs complet, de la qui doit tre utilis par l'application.
module-arguments
Ce sont des arguments de modules spcifiques, spars par des espaces, qui doivent tre transmises au module.
BTS-SRI2_Sal
2012-2013
Page 1
LPIC-2
lauthentification PAM
III.
Modules connatre
pam_unix : Module de base, il permet de configurer l'authentification via le fichier /etc/passwd et/etc/shadow. Il peut tre avec les quatre types de modules : account (tabli la validit utilisateur/mot de passe et peut forcer la modification de celui l), auth (compare avec la base le mot de passe), password (la politique de changement du mot de passe), session (pour loguer les connexions). Vous pouvez associer quelques options dont : nullock pour autoriser un mot de passe vide, md5 pour le type de cryptage, debug pour loguer les informations syslog, remember=n pour ce souvenir des n derniers mots de passe utiliss. pam_nis : Ce module permet de configurer l'authentification via NIS Pour tre en mesure d'authentifier via NIS, le module pam_nis.so est ncessaire. pam_ldap : permet d'effectuer l'authentification sur une base ldap. Ce module demande une documentation lui tout seul. pam_cracklib : Permet d'accepter ou de rejeter un mot de passe, si celui-ci se trouve dans un dictionnaire. Il permet aussi de vrifier que vous ne rutilisez pas le mme mot de passe. Vous pouvez le faire suivre de retry=n (le nombre de tentatives) minlen=n (la longueur impose) difok=n (nombre de caractres qui sont dans le vieux mot de passe et que l'on ne peut pas retrouver dans le nouveau). pam_limits : Permet de limiter les ressources mis la disposition d'un utilisateur. Il faut alors configurer le fichier /etc/security/limits.conf.
IV.
Exemples :
Il y a une petite diffrence si vous avez cela dans pam.conf ou dans /etc/pam.d, mais le principe est le mme. auth required pam_unix.so nullok
# Procdez l'authentification mot de passe et autoriser les comptes sans mot de passe password required pam_unix.so nullok obscure min=4 max=8
# Permettre l'utilisateur de changer les mots de passe vides (nullok), effectuer quelques vrifications supplmentaires (obscure) avant un changement de mot de passe est accept et appliquer un mot de passe qui a un longueur minimum de 4 (min=4) et un Longueur maximum de 8 caractres (max=8).
session
required
pam_unix.so
# Identifiez-vous le nom d'utilisateur et le type de session pour syslog la fois le dbut et la fin de la session.
auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass account sufficient pam_ldap.so account required pam_unix.s # les lignes qui font le tour dans /etc/pam.d/login ,pour faire une configuration de telle sorte que l'authentification LDAP est suffisant.
BTS-SRI2_Sal
2012-2013
Page 2