Editer un article - Informaticien.be

Editer un article

Titre
Mots Clés
Texte	[size=18] [b]Nom[/b] [/size] Linux-PAM - Module d'authentification pour Linux [size=18] [b]Résumé[/b] [/size] [b]/etc/pam.conf[/b] 2 [size=18] [b]Description[/b] [/size] Ce manuel a pour but de vous offrir une introduction rapide à [b]Linux-PAM . [/b] Pour davantage d'informations, le lecteur est invité à lire le [b]Linux-PAM system administrators' guide.[/b] [b]Linux-PAM[/b] est un système de bibliothèques qui gèrent les tâches d'authentification des applications (services) sur le système. Les bibliothèques fournissent une interface d'abstraction stable (Application Programming Interface - API) qui accorde les privilèges aux programmes (comme [b]login (1) [/b] et [b]su (1)) [/b] en ajournant la réalisation des tâches standard d'authentification. La principale fonctionnalité de l'approche de PAM est que la nature de l'authentification est configurable dynamiquement. En d'autres termes, l'administrateur système est libre de choisir individuellement de quelle manière les applications fournisseuses de service authentifieront leurs utilisateurs. Cette configuration dynamique est constituée par le fichier de configuration de [b]Linux-PAM [/b] [b]/etc/pam.conf .[/b] Alternativement, la configuration peut être effectuée par les fichiers de configuration individuels situés dans le répertoire [b]/etc/pam.d/[/b] . [b][i]La présence de ce répertoire aura pour conséquence que Linux-PAM [/i][/b] ignorera" [b][i]/etc/pam.conf .[/i][/b] Du point de vue de l'administrateur système, pour qui ce manuel est fait, il n'est pas essentiel de comprendre le comportement de la bibliothèque [b]Linux-PAM[/b] "."Le point important est de percevoir que ce(s) fichier(s) de configuration [i]définissent[/i] des connexions entre les applications [b] (les services )[/b] et les modules d'authentification [b] ( PAM s)[/b] qui réalisent les tâches d'authentification actuelles. [b]Linux-PAM[/b] sépare les tâches d' [i]authentification[/i] en quatre groupes de gestion indépendants : [b]account management; [/b] [b]auth entication management; [/b] [b]password management; [/b] et [b]session management.[/b] (Nous soulignons les abréviations utilisées pour ces groupes dans le fichier de configuration.) Leur présence permet à ces groupes de prendre en charge les différents aspects d'une requête classique d'utilisateur concernant un service limité aux utilisateurs autorisés : [b]account - [/b] fournit une vérification des types de service du compte utilisateur : Est-ce que le mot de passe de l'utilisateur a expiré ? ; Cet utilisateur a-t-il le droit d'accéder au service demandé ? [b][/b] [b]auth entication - [/b] établit la correspondance entre l'utilisateur et celui pour lequel il prétend être. Habituellement cela se fait par une requête de défi-réponse que l'utilisateur doit satisfaire : si vous êtes celui que vous prétendez être, vous devrez entrer votre mot de passe. Toutes les authentifications ne sont pas de ce type, il existe des schémas d'authentification basés sur le matériel (comme l'utilisation de cartes ou de périphériques biométriques), avec les modules appropriés, ceux-ci peuvent être substitués sans jointure afin d'avoir une approche plus traditionnelle de l'authentification - c'est la flexibilité de [b]Linux-PAM .[/b] [b][/b] [b]password - [/b] le rôle de ce groupe est de mettre à jour les mécanismes d'authentification. Habituellement, les services sont fortement couplés avec un des groupes [b]auth .[/b] Certains mécanismes d'authentification offrent la possibilité de se mettre à jour d'eux-mêmes au moyen d'une fonction. La méthode standard sous UNX basée sur les mots de passe représente l'exemple évident : veuillez entrer un mot de passe de remplacement. [b][/b] [b]session - [/b] Ce groupe de tâches recouvre tout ce qui doit être fait en priorité pour un service donné et après qu'il soit retiré. Ces tâches incluent la maintenance de la journalisation et le montage du répertoire personnel de l'utilisateur. La gestion du groupe [b]session[/b] est importante parce qu'elle fournit un point d'accroche à l'ouverture et à la fermeture des modules qui affectent les services disponibles pour un utilisateur. [size=18] [b]Les fichiers de configuration[/b] [/size] Quand [b]Linux-PAM[/b] avise qu'il accorde des privilèges à une application, il active son lien avec l'API de PAM. Cette activation fournit un certain nombre de tâches. La plus importante étant la lecture du(des) fichier(s) de configuration : [b]/etc/pam.conf .[/b] Autrement, il s'agit du contenu du répertoire [b]/etc/pam.d/ .[/b] Ces fichiers listent le(s) [b]PAM s[/b] qui prendront en charge l'authentification requise par le service, et la conduite appropriée de l'API PAM dans le cas de problèmes individuels de [b]PAM s .[/b] La syntaxe du fichier de configuration [b]/etc/pam.conf[/b] se présente comme suit. Le fichier construit une liste de règles, chaque règle est habituellement placée sur une seule ligne, mais peut être étendue avec un caractère de fin de ligne : `<LF>'. Les commentaires sont précédés du caractère '#' et valent jusqu'à la prochaine fin de ligne. Le format de chaque règle est un espace séparé par une paire de signes, les trois premiers sont sensibles à la casse : [b][/b] [b] service type contrôle chemin paramètres[/b] La syntaxe des fichiers contenus dans le répertoire [b]/etc/pam.d/[/b] est identique excepté que le champ [i]service [/i] est absent. Dans ce cas, le [i]service[/i] est le nom du fichier dans le répertoire [b]/etc/pam.d/ . [/b] Le nom de fichier doit être en minuscules. Une importante particularité de [b]Linux-PAM , [/b] est que le nombre de règles peut être [i]empilé[/i] pour combiner les services de plusieurs PAMs pour une tâche d'authentification donnée. Le [b]service[/b] est habituellement le nom familier de l'application correspondante : [b]login[/b] et [b]su[/b] en sont de bons exemples. Le nom de [b]service , other ,[/b] est réservé pour donner des règles par [i]default . [/i] Seules les lignes qui mentionnent le service courant (ou en cas d'absence de l'entrée [b]other ) [/b] seront associées avec l'application ou le service associé. Le [b]type[/b] est le groupe de gestion auquel les règles correspondent. C'est utilisé pour spécifier à quel groupe de gestion le module qui suit sera associé. Les entrées valides sont : [b]account ; [/b] [b]auth ; [/b] [b]password ; [/b] et [b]session .[/b] La signification de chacune de ces instructions à été expliquée plus haut. Le troisième champ, [b]control , [/b] indique le comportement que L'API PAM doit avoir lorsque le module ne parvient pas à accomplir la tâche d'authentification. Les valeurs valides pour [b]control[/b] sont : [b]requisite[/b] - échec de certains résultats d'un plugin PAM à la fin du processus d'authentification ; [b]required[/b] - échec de certains plugin PAM va immédiatement mener l'API de PAM mais seulement après que les derniers modules [i]empilés[/i] (pour ce [b]service[/b] et ce [b]type )[/b] aient étés invoqués ; [b]sufficient[/b] - le succès d'un module est suffisant pour permettre les besoins de l'authentification de la pile de modules (si un module prioritaire [b]required[/b] a échoué ou si celui-ci est [b]ignoré ) ; [/b] [b]optional[/b] - seul le succès ou l'échec de ce module est important si il s'agit du seul module associé avec ce [b]service + type .[/b] [b]chemin[/b] - Il s'agit du nom de fichier et du chemin d'accès au plugin PAM utilisé par l'application. [b]paramètres[/b] - Il s'agit d'un espace séparé par une liste de valeurs qui peuvent être prises pour modifier le comportement du plugin PAM donné. Certains paramètres seront documentés pour chaque module. [size=18] [b]Fichiers[/b] [/size] [b]/etc/pam.conf - le fichier de configuration[/b] [b][/b] [b]/etc/pam.d/ - le répertoire de configuration de [/b] [b]Linux-PAM[/b] ". "S'il est présent, le fichier [b]/etc/pam.conf[/b] est ignoré. [b][/b] [b]/usr/lib/libpam.so.X - la bibliothèque dynamique[/b] [b][/b] [b]/usr/lib/security/.so - les modules d'authentification[/b] Notez que pour se conformer au standard LFS (Linux File-system Standard), les bibliothèques et les modules de votre système doivent respectivement se trouver dans [b]/lib et /lib/security .[/b] [size=18] [b]Erreurs[/b] [/size] Habituellement les erreurs générées par le système de bibliothèques [b]Linux-PAM[/b] sera consigné dans [b]syslog (3).[/b] [size=18] [b]Conformité[/b] [/size] DCE-RFC 86.0, Octobre 1995. [b][/b] Contient des spécifications additionnelles, actuellement examinées par le comité DCE-RFC. [size=18] [b]Bogues[/b] [/size] 2 Aucun connu. [size=18] [b]Lisez aussi[/b] [/size] Les trois guides sur [b]Linux-PAM[/b] , pour [b]Administrateurs système , [/b] [b]développeurs de modules , [/b] et [b]développeurs d'applications . [/b] [size=18] [b]Traduction[/b] [/size] Julien Morot, jaune@momonux.org, 2002.
Fichier