| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| systeme:pam [2010/06/12 19:53] – root | systeme:pam [2013/03/19 22:33] (Version actuelle) – [Modules à connaître] root |
|---|
| Le premier champ indique le nom de l'application. Il n'existe que pour le fichier pam.conf. | Le premier champ indique le nom de l'application. Il n'existe que pour le fichier pam.conf. |
| Le deuxième indique le type de module. Il peut prendre les valeurs suivantes : | Le deuxième indique le type de module. Il peut prendre les valeurs suivantes : |
| | |
| * **auth** authentifie l'utilisateur par une demande de mot de passe ou par une autre méthode. | |
| |
| * **account** restriction du compte : expiration, en fonction de l'heure, de la machine source, des ressources disponibles. | * **auth** : Cette interface de module sert à authentifier l'utilisateur. Elle demande par exemple la saisie d'un mot de passe pour lequel elle vérifie la validité. Les modules avec cette interface peuvent également établir des certificats d'identité, tels que l'appartenance à un groupe ou des tickets Kerberos. |
| | * **account** : Cette interface de module sert à vérifier que l'accès est bien autorisé. Par exemple, elle peut vérifier si un compte utilisateur a expiré ou non, ou bien si l'utilisateur est autorisé à se connecter à un moment donné de la journée. |
| * **password** Gestion des mots de passe. | * **password** : Cette interface de module sert à définir et vérifier les mots de passe. |
| | * **session** : Cette interface de module sert à configurer et gérer des sessions d'utilisateurs. Les modules ayant cette interface peuvent également effectuer des tâches supplémentaires requises pour autoriser l'accès, comme par exemple pour monter le répertoire personnel d'un utilisateur ou activer sa boîte aux lettres. |
| * **session** Tout ce qui concerne l'ouverture d'une session, avant et après. | |
| |
| ===== comportement du module ===== | ===== comportement du module ===== |
| |
| * **required** Doit réussir, mais on continue à tester les autres modules malgré tout. Echec est renvoyé. L'avantage par rapport à requisite étant que l'on ne donne pas la raison de l'échec de la connexion. | * **required** : Le module doit être vérifié avec succès pour que l'authentification puisse se poursuivre. Si la vérification d'un module de type required échoue, l'utilisateur n'en est pas averti tant que tous les modules associés à cette interface n'ont pas été vérifiés. |
| |
| * **requisite** Doit réussir, on ne continue pas à lire les autres modules, Echec est renvoyé immédiatement. | * **requisite** : Le module doit être vérifié avec succès pour que l'authentification puisse se poursuivre. Cependant, si la vérification d'un module de type requisite échoue, l'utilisateur en est averti immédiatement par le biais d'un message lui indiquant l'échec du premier module de types required ou requisite. |
| |
| * **sufficient** Si le test est correct, on obtient immédiatement une acceptation. | * **sufficient** : En cas d'échec, les vérifications de modules sont ignorées. Toutefois, si la vérification d'un module de type sufficient est réussie et qu'aucun module précédent de type required n'a échoué, aucun autre module de ce type n'est nécessaire et l'utilisateur sera authentifié auprès du service. |
| |
| * **optional** le succès ou failure de ce module n'a pas de conséquences | * **optional** : le succès ou failure de ce module n'a pas de conséquences. |
| |
| * **include** permet d'inclure les règles d'un autre fichier commençant par le même champ type | * **include** : permet d'inclure les règles d'un autre fichier commençant par le même champ type. |
| | |
| | <note tip> |
| | L'ordre dans lequel les modules de type required sont appelés n'est pas primordial. Les indicateurs de contrôles sufficient et requisite en revanche, donnent à l'ordre une importance vitale. |
| | </note> |
| |
| ===== Modules à connaître ===== | ===== Modules à connaître ===== |
| |
| * **pam_warm :** log les informations à syslog | * **pam_warm :** log les informations à syslog |
| pam_console : permet de spécifier les autorisations d'accès à la console. Il faut alors configurer /etc/security/console.perms. | |
| | * **pam_console :** permet de spécifier les autorisations d'accès à la console. Il faut alors configurer /etc/security/console.perms. |
| |
| * **pam_stack :** généralement suivi de service=system-auth, permet de renvoyer sur system-auth. | * **pam_stack :** généralement suivi de service=system-auth, permet de renvoyer sur system-auth. |
| session required /lib/security/pam_unix.so | session required /lib/security/pam_unix.so |
| |
| *Ligne 1 est un commentaire. | *Ligne 1 est un commentaire. |
| *Ligne 2 interdit à root de se connecter sur la console (enfin directement on peut utiliser su), si la console n'est pas autorisée dans /etc/securrety. | *Ligne 2 interdit à root de se connecter sur la console (enfin directement on peut utiliser su), si la console n'est pas autorisée dans /etc/securrety. |
| *Ligne 3 Vérifie le mot de passe, on peut aussi utiliser pam_pwdb | *Ligne 3 Vérifie le mot de passe, on peut aussi utiliser pam_pwdb |
| *Ligne 4 Vérifie l'existence du fichier /etc/nologin. Si celui-ci existe, il n'est plus possible de ce loguer sauf pour root. Affiche son contenu. | *Ligne 4 Vérifie l'existence du fichier /etc/nologin. Si celui-ci existe, il n'est plus possible de ce loguer sauf pour root. Affiche son contenu. |
| *Ligne 5 Comptabilise la "vie" du mot de passe. | *Ligne 5 Comptabilise la "vie" du mot de passe. |
| *Ligne 6 Teste la validité du mot de passe. | *Ligne 6 Teste la validité du mot de passe. |
| *Ligne 7 Impose les règles de modification du mot de passe. | *Ligne 7 Impose les règles de modification du mot de passe. |
| *Ligne 8 Ne fait rien, mais indique qu'il doit être utilisé pour gérer la session. | *Ligne 8 Ne fait rien, mais indique qu'il doit être utilisé pour gérer la session. |
| |
| ===== 7 Les liens ===== | ===== 7 Les liens ===== |
