[ Pobierz całość w formacie PDF ]
.passwordZadaniem tej grupy jest odświeżanie mechanizmów autentykacji.Zazwyczaj usługitakie są ściśle związane z tymi z auth.Niektóre mechanizmy autentykacji dobrzenadają się do odświeżania tą funkcją.sessionZadania tej grupy obejmują rzeczy, które powinny być dokonane przed daniemusługi oraz po jej wycofaniu.Zadania takie to m.in.obsługa śladów rewizyjnychi montowanie katalogu domowego użytkownika.Grupa obsługi sesji jest ważna,gdyż udostępnia zarówno hak otwierający, jak i zamykający modułów.- 110 - M.Klesiewicz  Instalacja, konfiguracja i administrowanie serwera sieciowegoKonfiguracja PAMówGdy uruchamiana jest aplikacja świadoma przyznawania uprawnień poprzezbibliotekę Linux-PAM, aktywuje ona swoje powiązanie z PAM-API.Aktywacja ta określawiele rzeczy, wśród których najważniejszą jest przeczytanie plików konfiguracyjnych:/etc/pam.conf, lub w wypadku istnienia odpowiedniego katalogu, pliki z /etc/pam.d/.Plik /etc/pam.confPliki te wymieniają PAMy, które będą się zajmowały zadaniami autentykacji danejusługi i odpowiednie zachowanie PAM-API, gdy któryś z PAMów zawiedzie.Składnia pliku konfiguracyjnego /etc/pam.conf jest następująca.Plik jest złożonyz listy reguł, przy czym każda z nich zwykle jest umieszczana w pojedynczej linii, choćmoże być też złożona na końcu linii.Format każdej reguły to rozdzielona spacjamikolekcja elementów, z których pierwsze trzy nie rozróżniają wielkości liter:gdzie usługa jest nazwą odpowiadającej aplikacji (usługa other jest zarezerwowana natworzenie reguł domyślnych), rodzaj określa grupę zarządzania, której odpowiada reguła(poprawne wpisy to: account, auth, password i session), pole kontrola określazachowanie PAM-API po niepowodzeniu modułu w procesie autentykacji, ścieżkamodułu jest pełną nazwą pliku PAMu używanego przez aplikację, zaś argumentymodułu to lista rozdzielonych spacjami elementów, używanych do modyfikowaniaokreślonego zachowania danego PAMu.Flaga kontroli Działanierequisite W przypadku niepowodzenia takiego PAM, nastąpi natychmiastowezatrzymanie procesu autentykacjirequired W przypadku niepowodzenie takiego PAM, zostanie zwrócony błądprzez PAM-AMI, lecz dopiero po tym, jak pozostałe moduły dla tejusługi i rodzaju PAM zostaną wykonanesufficient Sukces takiego modułu wystarcza do zadowolenia wymagańautentykacji w stosie modułów (jeżeli wcześniej nie powiódł się modułrequired, sukces tego jest ignorowany)optional Sukces lub niepowodzenie tego modułu jest istotny tylko jeśli jestjedynym modułem na stosie związanym z daną usługą i rodzajem PAMTab.52.Flagi kontrolne w pliku /etc/pam.confSkładnia plików z /etc/pam.d/ jest taka sama, z tą różnicą że nie ma tam pól usług.W tym wypadku, usługa jest nazwą pliku z /etc/pam.d/.Nazwa pliku musi być zapisanamałymi literami.Ważną właściwością Linux-PAM jest to, że można zestawić na stosie wiele regułi łączyć tak usługi wielu PAMów dla danego zadania autentykacji.- 111 - M.Klesiewicz  Instalacja, konfiguracja i administrowanie serwera sieciowegoPlik /etc/pam.d/login# Przykładowy plik /etc/pam.d/loginauth requisite pam_securetty.so#Wyłącza możliwość zalogowania jako root z wyjątkiem terminali#określonych w pliku /etc/securettyauth requisite pam_nologin.so#Wyłącza możliwość zalogowania innego niż root w sytuacji, gdy#istnieje plik /etc/nologin.auth required pam_env.so#Zamienia plik /etc/environment i pozwala także na użycie#rozszerzonej konfiguracji w pliku /etc/security/pam_env.conf.auth required pam_unix.so nullok#Standardowa Uniksowa autentykacja.Opcja "nullok" pozwala na#rozliczanie haseł.#auth optional pam_group.so#Pozwala pewnym dodatkowym grupom przyznawać użytkownikowi podstawowe#z rzeczy jak czas, terminal, usługa czy użytkownik#account requisite pam_time.so#Pozwala na ustawienie czasu wstrzymywania logowania za pomocą pliku#/etc/seecurity/time.conf.#account required pam_access.so#Pozwala na ustawianie limitów dostępu za pomocą pliku#/etc/security/access.conf.account required pam_unix.sosession required pam_unix.so#Standardowe Uniksowe rozliczanie i zarządzanie sesją.#session required pam_limits.so#Ustawia limity użytkowników za pomocą pliku#/etc/security/limits.conf.session optional pam_lastlog.so#Wyświetla ostatnią informację o pomyślnym logowaniu do systemu.session optional pam_motd.so#Wyświetla wiadomość dnia (plik /etc/motd)po pomyślnym zalogowaniu do#systemu.session optional pam_mail.so standard noenv#Wyświetla status skrzynki pocztowej po pomyślnym zalogowaniu.Można#też stąd uaktywnić zmienną środowiskową MAIL, ale lepiej jest radzić#sobie przez plik /etc/login.defs, odkąd polecenie userdel jest także#używane do upewniania się, że usunięcie użytkownika, także usuwa#jego skrzynkę pocztową.password required pam_unix.so nullok obscure min=4 max=8 md5#Jest używane tylko, kiedy wygasa ważność hasła i musi być zmienione.#Opcja "nullok" umożliwia użytkownikom zmianę pustego hasła, bo#inaczej puste hasła są traktowane jako konta zablokowane.Wpis "md5"#włącza obsługę haseł MD5.Opcje "min" i "max" egzekwują długość#nowego hasła.- 112 - M.Klesiewicz  Instalacja, konfiguracja i administrowanie serwera sieciowegoPlik /etc/pam.d/passwd# Przykładowy plik /etc/pam.d/passwdpassword required pam_unix.so nullok obscure min=4 max=8 md5#Jest używane tylko, kiedy wygasa ważność hasła i musi być zmienione [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • sp2wlawowo.keep.pl