BIGtheme.net http://bigtheme.net/ecommerce/opencart OpenCart Templates

Giới thiệu về Pluggable Authentication Modules – PAM

Quản trị mạng linux – Giới thiệu về Pluggable Authentication Modules – PAM

  • Mỗi ứng dụng có một kiểu xác thực => phức tạp hệ thống.
  • Pluggable Authentication Modules – PAM: cung cấp một phương thức xác thực tập trung.
  • Ứng dụng không trực tiếp xác thực, mà chuyển request cho PAM, yêu cầu xác thực.
  • PAM làm việc và trả về kết quả xác thực cho ứng dụng.
  • Ứng dụng quyết định cho phép user login hay không.
  • Theo cách hiểu của Windows, PAM đóng vai trò như DLL đối với các ứng dụng khác.
  • Theo cách hiểu của Linux, PAM là một thư viện.
  • PAM cung cấp nhiều module xác thực /lib/security từ đơn giản đến phức tạp.
  • Khi ứng dụng cần xác thực theo phương thức nào thì gọi phương thức đó của trong thư viện của PAM.
  • Thông tin về các module xác thực của PAM:

man [pam_module]

  • /lib/security: những module xác thực của PAM.
  • /etc/security: file cấu hình tương ứng của từng module xác thực của PAM.
  • /etc/pam.d: file cấu hình của những ứng dụng sử dụng PAM xác thực.

=> mỗi ứng dụng xác thực bằng PAM có một file cấu hình trong /etc/pam.d

module_type  control_flag  module_path  arguments

  • module_type: nhận một trong 4 giá trị: auth, account, session, password.
  • control_flag: cấu hình cách xử lí của ứng dụng với kết quả xác thực do PAM trả về.
  • module_path: đường dẫn cụ thể của module xác thực.
  • arguments: các tham số khác.
control_flag Mô tả
required Module phải chứng thực thành công, nếu không kết quả fail sẽ được gởi về.
requisite Nếu module này fail, kết quả sẽ được trả về ngay lập tức, không sử dụng đến các module sau.
sufficient Nếu module này thành công, và không có module required nào nữa, kết quả thành công sẽ được trả về.
optional Cho phép tiếp tục kiểm tra module khác, dù module này bị fail.

 

argument Mô tả
debug Log lại thông tin debug
no_warn Không gởi msg waring đến ứng dụng.
use_first_pass Lưu lại password, để sử dụng cho lần xác thực sau.
try_first_pass Giống option trên, tuy nhiên nếu password fail, yêu cầu user nhập lại.

 

  • Dùng lệnh man [pam_module] để tìm hiểu về từng module xác thực:

  Vd: man pam_nologin

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>