| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| systeme:pam [2010/07/09 19:55] – root | systeme:pam [2013/03/19 22:33] (Version actuelle) – [Modules à connaître] root |
|---|
| Le premier champ indique le nom de l'application. Il n'existe que pour le fichier pam.conf. | Le premier champ indique le nom de l'application. Il n'existe que pour le fichier pam.conf. |
| Le deuxième indique le type de module. Il peut prendre les valeurs suivantes : | Le deuxième indique le type de module. Il peut prendre les valeurs suivantes : |
| | |
| * **auth** : Cette interface de module sert à authentifier l'utilisateur. Elle demande par exemple la saisie d'un mot de passe pour lequel elle vérifie la validité. Les modules avec cette interface peuvent également établir des certificats d'identité, tels que l'appartenance à un groupe ou des tickets Kerberos. | * **auth** : Cette interface de module sert à authentifier l'utilisateur. Elle demande par exemple la saisie d'un mot de passe pour lequel elle vérifie la validité. Les modules avec cette interface peuvent également établir des certificats d'identité, tels que l'appartenance à un groupe ou des tickets Kerberos. |
| * **account** : Cette interface de module sert à vérifier que l'accès est bien autorisé. Par exemple, elle peut vérifier si un compte utilisateur a expiré ou non, ou bien si l'utilisateur est autorisé à se connecter à un moment donné de la journée. | * **account** : Cette interface de module sert à vérifier que l'accès est bien autorisé. Par exemple, elle peut vérifier si un compte utilisateur a expiré ou non, ou bien si l'utilisateur est autorisé à se connecter à un moment donné de la journée. |
| * **password** : Cette interface de module sert à définir et vérifier les mots de passe. | * **password** : Cette interface de module sert à définir et vérifier les mots de passe. |
| * **session** : Cette interface de module ser à configurer et gérer des sessions d'utilisateurs. Les modules ayant cette interface peuvent également effectuer des tâches supplémentaires requises pour autoriser l'accès, comme par exemple pour monter le répertoire personnel d'un utilisateur ou activer sa boîte aux lettres. | * **session** : Cette interface de module sert à configurer et gérer des sessions d'utilisateurs. Les modules ayant cette interface peuvent également effectuer des tâches supplémentaires requises pour autoriser l'accès, comme par exemple pour monter le répertoire personnel d'un utilisateur ou activer sa boîte aux lettres. |
| |
| ===== comportement du module ===== | ===== comportement du module ===== |
| |
| * **required** Doit réussir, mais on continue à tester les autres modules malgré tout. Echec est renvoyé. L'avantage par rapport à requisite étant que l'on ne donne pas la raison de l'échec de la connexion. | * **required** : Le module doit être vérifié avec succès pour que l'authentification puisse se poursuivre. Si la vérification d'un module de type required échoue, l'utilisateur n'en est pas averti tant que tous les modules associés à cette interface n'ont pas été vérifiés. |
| |
| * **requisite** Doit réussir, on ne continue pas à lire les autres modules, Echec est renvoyé immédiatement. | * **requisite** : Le module doit être vérifié avec succès pour que l'authentification puisse se poursuivre. Cependant, si la vérification d'un module de type requisite échoue, l'utilisateur en est averti immédiatement par le biais d'un message lui indiquant l'échec du premier module de types required ou requisite. |
| |
| * **sufficient** Si le test est correct, on obtient immédiatement une acceptation. | * **sufficient** : En cas d'échec, les vérifications de modules sont ignorées. Toutefois, si la vérification d'un module de type sufficient est réussie et qu'aucun module précédent de type required n'a échoué, aucun autre module de ce type n'est nécessaire et l'utilisateur sera authentifié auprès du service. |
| |
| * **optional** le succès ou failure de ce module n'a pas de conséquences | * **optional** : le succès ou failure de ce module n'a pas de conséquences. |
| |
| * **include** permet d'inclure les règles d'un autre fichier commençant par le même champ type | * **include** : permet d'inclure les règles d'un autre fichier commençant par le même champ type. |
| | |
| | <note tip> |
| | L'ordre dans lequel les modules de type required sont appelés n'est pas primordial. Les indicateurs de contrôles sufficient et requisite en revanche, donnent à l'ordre une importance vitale. |
| | </note> |
| |
| ===== Modules à connaître ===== | ===== Modules à connaître ===== |
| |
| * **pam_warm :** log les informations à syslog | * **pam_warm :** log les informations à syslog |
| pam_console : permet de spécifier les autorisations d'accès à la console. Il faut alors configurer /etc/security/console.perms. | |
| | * **pam_console :** permet de spécifier les autorisations d'accès à la console. Il faut alors configurer /etc/security/console.perms. |
| |
| * **pam_stack :** généralement suivi de service=system-auth, permet de renvoyer sur system-auth. | * **pam_stack :** généralement suivi de service=system-auth, permet de renvoyer sur system-auth. |
